Comment créer un enregistrement SPF TXT

Créer votre enregistrement SPF en 4 étapes simples

Après avoir lu cet article, vous serez en mesure de créer votre propre enregistrement SPF TXT, en supposant que vous êtes familier avec les enregistrements DNS et DNS TXT.

Autoriser les expéditeurs d'e-mails avec SPF

Le Sender Policy Framework (SPF) est une technique d'authentification des e-mails utilisée pour lutter contre l'usurpation d'e-mail. La mise en place d'un enregistrement SPF permet d'éviter que des personnes malveillantes n'utilisent votre domaine pour envoyer des e-mails non autorisés (malveillants), ce que l'on appelle également l'usurpation d'e-mail (email spoofing). Le protocole SPF est utilisé comme l'une des méthodes standard pour lutter contre le spam et est également utilisé dans la spécification DMARC.

Que sont les enregistrements SPF ?

Un enregistrement SPF est un enregistrement TXT qui fait partie du DNS (Domain Name Service) d'un domaine. Un enregistrement SPF répertorie tous les noms d'hôtes/adresses IP autorisés à envoyer des e-mails pour le compte de votre domaine.

Quel effet un enregistrement SPF a-t-il ?

Certains destinataires d'e-mails exigent strictement le SPF. Si vous n'avez pas publié d'enregistrement SPF pour votre domaine, votre e-mail peut être marqué comme spam ou, pire encore, l'e-mail sera rejeté. Si un e-mail est envoyé par un serveur de messagerie non autorisé, il peut être marqué comme spam. Disposer d'un enregistrement SPF correctement configuré améliorera la délivrabilité de vos e-mails et aidera à protéger votre domaine contre les e-mails malveillants envoyés en votre nom. Le système de validation des e-mails DMARC établit un lien entre SPF et DKIM.

Comment créer votre enregistrement SPF ?

Pour protéger votre marque contre les attaques de spoofing et de phishing, vous devez authentifier votre e-mail. Créez votre enregistrement SPF en suivant les étapes suivantes :

Étape 1 : Collectez toutes les adresses IP utilisées pour envoyer des e-mails

Le Sender Policy Framework (SPF) permet d'authentifier votre e-mail et de spécifier quelles adresses IP sont autorisées à envoyer des e-mails pour le compte d'un domaine spécifique.

Pour mettre en œuvre avec succès le protocole SPF, vous devez d'abord identifier les serveurs de messagerie utilisés pour envoyer des e-mails pour votre domaine. Ces serveurs de messagerie peuvent être n'importe quelle organisation d'envoi, vous devez penser à votre fournisseur de services de messagerie, au serveur de messagerie Office et à tout autre serveur de messagerie tiers qui peut être utilisé pour envoyer des e-mails pour vous.

Avez-vous rassemblé tous les serveurs d'envoi d'e-mails ?

Maintenant que vous avez une vue d'ensemble claire de tous les domaines d'envoi, vous devez créer un enregistrement SPF pour chaque domaine, même si le domaine n'envoie pas activement d'e-mail (plus d'informations sur : Comment sécuriser les domaines inactifs/parqués).

Étape 2 : Créez votre enregistrement SPF

1. Commencez par la version SPF. Cette partie définit l'enregistrement comme SPF. Un enregistrement SPF doit toujours commencer par le numéro de version v=spf1 (version 1). Cette balise définit l'enregistrement en tant que SPF. Il existait auparavant une deuxième version de SPF (appelée SenderID), mais elle a été abandonnée.
2. Après avoir inclus la balise de version SPF  v=spf1, vous devez suivre avec toutes les adresses IP qui sont autorisées à envoyer des e-mails en votre nom. Par exemple : v=spf1 ip4:34.243.61.237 ip6:2a05:d018:e3:8c00:bb71:dea8:8b83:851e
3. Ensuite, vous pouvez inclure une balise d'inclusion pour chaque organisation tierce utilisée pour envoyer des e-mails en votre nom, par ex. include:thirdpartydomain.com. Cette balise indique que ce tiers particulier est autorisé à envoyer des e-mails au nom de votre domaine. Vous devez consulter le tiers pour savoir quel domaine utiliser comme valeur pour l'instruction « include ».
4. Une fois que vous avez mis en œuvre toutes les adresses IP et les balises Include, vous devez terminer votre enregistrement par une balise ~all ou -all. La balise all joue un rôle important dans l'enregistrement SPF, car elle indique la politique à appliquer lorsque les FAI détectent un serveur qui n'est pas répertorié dans votre enregistrement SPF. Si un serveur non autorisé envoie des e-mails au nom de votre domaine, des mesures sont prises conformément à la politique publiée (par ex. rejeter l'e-mail ou le marquer comme spam). Quelle est la différence entre ces balises ? Vous devez indiquer avec quelle rigueur les serveurs doivent traiter les e-mails. La balise ~all indique un échec léger et la balise -all indique un échec grave. La balise all possède les marqueurs de base suivants :
• -all Échec : les serveurs qui ne figurent pas dans l'enregistrement SPF ne sont pas autorisés à envoyer des e-mails (les e-mails non conformes seront rejetés).
• ~all Échec léger : si l'e-mail est reçu d'un serveur qui n'est pas répertorié, l'e-mail sera marqué comme un échec temporaire (les e-mails seront acceptés, mais marqués).
• +all : nous vous recommandons fortement de ne pas utiliser cette option, cette balise permet à n'importe quel serveur d'envoyer des e-mails depuis votre domaine.

Il existe de nombreuses balises SPF disponibles. Pour plus d'informations, veuillez consulter la page d'explication des parties du SPF.

Après avoir défini votre enregistrement SPF, celui-ci pourrait ressembler à ceci :

&#x2028&#x2028v=spf1 ip4:34.243.61.237 ip6:2a05:d018:e3:8c00:bb71:dea8:8b83:851e include:thirdpartydomain.com -all

Pour les domaines qui n'envoient pas d'e-mails, nous vous recommandons de publier l'enregistrement suivant : v=spf1 -all

N'oubliez pas que votre enregistrement SPF ne peut pas comporter plus de 255 caractères et plus de 10 balises Include, également connues sous le nom de « recherches ». Veuillez noter que les « recherches imbriquées » seront également prises en compte. Si un enregistrement comporte une recherche A et MX, celles-ci seront toutes deux comptabilisées comme des recherches pour votre domaine.

Maintenant que vous avez créé votre enregistrement SPF TXT, vous pouvez le publier dans votre DNS.

Étape 3 : Publiez votre enregistrement SPF dans votre DNS

Enfin, après avoir défini votre enregistrement SPF, il est temps de publier dans votre DNS. Ce faisant, les destinataires d'e-mail tels que Gmail, Hotmail et d'autres peuvent en faire la demande. Un enregistrement SPF doit être publié dans votre DNS par votre gestionnaire DNS. Il peut s'agir d'un rôle interne à votre organisation, vous pouvez avoir accès vous-même à un tableau de bord fourni par votre fournisseur de DNS, ou vous pouvez demander à votre fournisseur de DNS de publier l'enregistrement.

Assurez-vous que votre enregistrement SPF ne dépasse pas le maximum de 10 recherches ! Veuillez noter que les « recherches imbriquées » seront également prises en compte. Si un domaine « inclus » comporte une recherche A et MX, celles-ci seront toutes deux comptabilisées comme des recherches pour votre domaine. Vous pouvez prévalider votre enregistrement SPF en utilisant notre vérificateur d'enregistrement SPF gratuit.

Accédez à votre gestionnaire DNS

Votre enregistrement SPF doit être publié dans votre DNS :

1. Connectez-vous à votre compte de domaine chez votre fournisseur d'hébergement de domaine.
2. Localisez la page pour mettre à jour les enregistrements DNS de votre domaine (comme la gestion DNS ou la gestion des serveurs de noms).
3. Sélectionnez le domaine dont vous souhaitez modifier les enregistrements.
4. Ouvrez le gestionnaire DNS.
5. Connectez-vous à votre compte de domaine chez votre fournisseur d'hébergement de domaine.
6. Créez un nouvel enregistrement TXT dans la section TXT (texte).
7. Définissez le champ Host sur le nom de votre domaine.
8. Remplissez le champ Valeur TXT avec votre enregistrement SPF (c'est-à-dire “v=spf1 a mx include: exampledomain.com ~all””).
9. Spécifiez la durée de vie (TTL), saisissez 3 600 ou laissez la valeur par défaut.
10. Cliquez sur « Enregistrer » ou « Ajouter un enregistrement » pour publier l'enregistrement SPF TXT dans votre DNS.

Votre nouvel enregistrement SPF peut prendre jusqu'à 48 heures pour entrer en vigueur. Pour obtenir de l'aide sur l'ajout d'enregistrements TXT, contactez votre hébergeur de domaine.

Étape 4 : testez votre enregistrement SPF avec le vérificateur d'enregistrement SPF

La configuration d'un enregistrement SPF est une partie essentielle de vos paramètres techniques. Pour en savoir plus sur la vérification et la validation de votre enregistrement SPF ou tester directement votre enregistrement SPF, utilisez notre le vérificateur d'enregistrement SPF.

L'enregistrement SPF est correctement configuré lorsque :

• Le vérificateur d'enregistrement SPF a détecté un enregistrement SPF.
• Votre enregistrement SPF ne dépasse pas le nombre maximal de 10 recherches.
• Les adresses IP configurées sont de véritables adresses utilisées pour envoyer des e-mails.

Il existe de nombreuses balises SPF disponibles. Pour plus d'informations, veuillez consulter la page d'explication des parties du SPF.

SPF et DMARC

SPF est l'une des techniques d'authentification des e-mails sur lesquelles repose la DMARC. Le système de validation des e-mails DMARC établit un lien entre SPF et DKIM. DMARC utilise le résultat des vérifications SPF et ajoute une vérification de l'alignement des domaines pour déterminer ses résultats. Plus d'informations sur DMARC.