Guide de configuration des protocoles email de Red Sift
En savoir plus sur SPF
J’ai SPF, ai-je besoin de DMARC pour protéger mon domaine ? Que fait DMARC que SPF ne fait pas ?
Oui. À partir de 2026, DMARC est exigé par les principaux fournisseurs de messagerie pour les expéditeurs d’e-mails en masse et il est essentiel pour assurer une protection complète des domaines.
Ce que fait SPF
- SPF autorise les adresses IPv4/IPv6 d’envoi.
- SPF protège l’en-tête de l’e-mail qui n’est pas visible par l’utilisateur final (appelé
Return-Path,MAIL FROM, « Envelope From » ou adresse de rebond). Si cet en-tête est absent, la vérification SPF s’effectue sur l’adresseEHLO/HELO.
Ce que SPF ne fait pas
- SPF n’exige aucun alignement entre le domaine
Fromet l’adresseReturn-Pathévoquée ci-dessus, ce qui signifie que les deux adresses n’ont pas besoin de correspondre du point de vue SPF. - SPF ne propose aucune fonction de rapport, c’est-à-dire que le destinataire de l’e-mail ne renverra aucun compte-rendu à l’expéditeur sur les résultats d’authentification de l’e-mail.
- SPF ne survit pas au transfert automatique ni aux flux de messagerie indirects.
Ces limites ont conduit à l’introduction de DMARC, qui indique explicitement aux destinataires comment agir et fournit des rapports d’authentification. Ces rapports ont permis à l’expéditeur de prendre les mesures nécessaires pour corriger les flux d’e-mails légitimes. Dès 2026, DMARC est devenu la norme de l’authentification des courriels, exigée par Google, Yahoo et Microsoft pour les envois en masse.
DMARC repose sur SPF comme l’une de ses bases mais ajoute aussi des fonctionnalités supplémentaires car il :
- Se concentre sur l’en-tête
Fromvisible par l’utilisateur (« Header From »). - Exige que le domaine utilisé par SPF soit aligné (soit une correspondance exacte, soit un sous-domaine) avec le domaine affiché dans l’adresse
Fromvisible de l’e-mail. - Ignore les subtilités entre échec « soft » et « hard » dans votre configuration SPF, c’est-à-dire que
~allet-allsont tous deux considérés comme un échec SPF. - Fournit une fonction de rapport permettant d’envoyer les résultats d’authentification d’e-mail au propriétaire du
Fromafin qu’il puisse savoir si son domaine a été mal utilisé. Cela aide aussi à résoudre les problèmes de délivrabilité, puisque les rapports aident à identifier toute mauvaise configuration chez vos expéditeurs légitimes. - Propose une politique qui indique aux destinataires ce qu’il faut faire pour un e-mail ayant échoué à l’authentification. Cette politique est appliquée par les destinataires, alors qu’aucune mesure obligatoire n’est prévue quand SPF est utilisé seul, sans DMARC.
Les principaux fournisseurs de messagerie utilisent désormais des indicateurs visuels dans leurs messageries pour signaler si un courriel est authentifié. Par exemple, Gmail affiche un point d’interrogation (?) pour les e-mails non authentifiés – voir l’exemple ci-dessous. Cet indicateur visuel est devenu la norme chez tous les fournisseurs de boîtes mail en 2026.
Effectuez un test SPF gratuit avec Red Sift, aucun compte requis.
Qu’est-ce qu’une instruction include SPF ?
Un include est un mécanisme SPF qui pointe vers un domaine à interroger lors de la vérification si l’IP d’envoi est autorisée ou non. Si l’IP d’envoi fait partie du include, cela aboutit à une correspondance et SPF est validé.
Par exemple, si votre enregistrement SPF contient include:_spf.google.com et que l’IP d’origine de l’e-mail est une IP de Google, cela aboutira à une correspondance car vous avez autorisé Google à envoyer en votre nom et l’IP d’envoi figure dans le mécanisme include.
Que sont les macros SPF ?
Une macro SPF désigne un mécanisme utilisé dans les enregistrements SPF pour définir des ensembles d’adresses IP réutilisables. Les macros SPF améliorent la souplesse et la maintenabilité des enregistrements SPF en vous permettant de définir des ensembles complexes d’adresses IP dans un seul mécanisme, qui peuvent ensuite être référencés dans plusieurs enregistrements SPF. Cela facilite la gestion de grands groupes de serveurs d’envoi autorisés sans dupliquer les mêmes informations à plusieurs endroits.
Par exemple, au lieu de lister toutes les adresses IP des serveurs mail autorisés dans votre enregistrement SPF, vous pouvez définir une macro comme ceci :
@spf.salesforce.com IN TXT "v=spf1 exists:%{i}.spf.mta.salesforce.com -all"
Dans cet exemple, la macro est le mécanisme %{i}, qui appelle l’IP expéditrice de l’e-mail. Cela signifie que le domaine devient quelque chose comme 233.124.65.65._spf.mta.salesforce.com.
Administrer SPF de cette façon vous permet de gérer une grande liste d’IP sans atteindre la limite de consultations SPF et masque également les IP que vous autorisez à la consultation publique.
Le problème des macros SPF
Le risque avec les macros SPF est que la majorité des infrastructures de messagerie héritées ne les supportent pas, ce qui entraîne des problèmes de délivrabilité majeurs. Nous savons, grâce à des études techniques et notre propre expérience, qu’environ 75% des serveurs SMTP gèrent correctement les macros. C’est pourquoi, en 2026, les organisations adoptent de plus en plus la gestion dynamique du SPF plutôt que de s’appuyer sur les macros ou un aplatissement manuel.
Si un serveur mail ne prend pas en charge les macros SPF, le comportement constaté peut être :
Pas d’expansion
Si le serveur de messagerie destinataire ne gère pas les macros SPF, il ne développera ni ne traitera aucune macro référencée dans l’enregistrement SPF. À la place, il considérera la référence de macro comme une chaîne de caractères littérale. Cela signifie que l’enregistrement SPF perd sa fonctionnalité prévue, ce qui peut entraîner des vérifications incomplètes ou erronées. Même si les macros ne sont pas utilisées en production, ce comportement de « non-expansion » est présent sur des serveurs mails comme iCloud.
Échecs SPF possibles
Selon la structure de l’enregistrement SPF avec macros, l’absence d’expansion peut entraîner des échecs SPF ou des résultats « Neutre » (indiqués par le mécanisme ?all). Dans les deux cas, cela pourrait empêcher d’autoriser comme prévu des serveurs d’envoi légitimes.
Impact sur la délivrabilité
Si les macros SPF jouent un rôle critique dans l’autorisation des serveurs légitimes d’envoi, les e-mails pourraient davantage échouer la vérification SPF ou être marqués comme suspects par les serveurs qui s’appuient sur SPF pour l’authentification.
Questions fréquemment posées : Guide de configuration des protocoles email
À l’époque pré-DMARC, les enregistrements SPF utilisaient couramment le mécanisme « -all » pour appliquer strictement les politiques d’expéditeur. Cependant, les recommandations actuelles de l’industrie en 2026 privilégient « ~all » pour équilibrer sécurité et délivrabilité, évitant le rejet inutile d’emails légitimes qui pourraient échouer au SPF mais réussir le DKIM et DMARC.
Cela s’explique car « ~all », lorsqu’il est mis en œuvre avec DMARC (à p=reject), permettra toujours de rejeter le courrier non authentifié si SPF et DKIM échouent, sans pour autant bloquer les emails légitimes, ce qui améliore la délivrabilité globale.
La spécification DMARC (RFC 7489) précise qu’un préfixe « - » sur le mécanisme SPF de l’expéditeur, comme « -all », peut déclencher un rejet anticipé, donc avant toute analyse DMARC. Utilisez « -all » uniquement pour les domaines inactifs qui n’envoient jamais d’emails. DMARC ne tient pas compte des nuances entre soft fail et hard fail dans la configuration SPF, les considérant tous deux comme des échecs SPF.
DMARC ne nécessite pas seulement que SPF ou DKIM passe, mais exige aussi qu’au moins un des domaines utilisés par SPF ou DKIM s’aligne avec le domaine trouvé dans l’en-tête From. Un alignement correct est essentiel pour la délivrabilité email en 2026, car les principaux fournisseurs de messagerie imposent désormais ces exigences.
Pour SPF, l’alignement des identifiants signifie que la vérification MAIL FROM/Return-PATH doit passer et que la partie domaine du MAIL FROM/Return-PATH doit correspondre au domaine de l’adresse From. En mode d’alignement strict, les domaines doivent être identiques alors qu’en mode relâché, les sous-domaines sont également acceptés tant qu’ils appartiennent au même domaine organisationnel.
Par exemple, si le MAIL-FROM/RETURN-PATH est @ondmarc.com et que l’en-tête From est @knowledge.ondmarc.com, ils ne sont pas alignés en mode strict. Cependant, en mode relâché, DMARC validerait l’email.
Un rapport agrégé DMARC contient des informations sur l’état d’authentification des messages envoyés au nom d’un domaine. Il s’agit d’un rapport de retour XML conçu pour offrir une visibilité sur les emails ayant passé ou échoué aux contrôles SPF et DKIM. Ce rapport offre aux propriétaires de domaine une vision précise des sources qui envoient en leur nom et du sort réservé à ces emails (la politique appliquée par le récepteur).
Les destinataires consulteront le tag 'rua' de votre enregistrement DMARC pour envoyer les rapports. Vous pouvez spécifier l’intervalle des rapports agrégés avec le tag ri dans votre enregistrement DMARC (par défaut, défini à 86400 secondes, soit 24h). Les rapports médico-légaux contiennent des informations plus détaillées sur chaque échec d’authentification. Toute information personnelle est retirée, mais les données utiles à l’investigation du problème DMARC sont incluses, comme les informations d’échec d’en-tête SPF et DKIM, l’adresse complète de l’expéditeur et l’objet du courriel.
L’adresse de réception des rapports médico-légaux DMARC est spécifiée par le tag 'ruf' de votre enregistrement. Tous les systèmes destinataires ne prennent pas en charge l’envoi de rapports médico-légaux. Red Sift OnDMARC est l’une des rares solutions DMARC du marché à les recevoir grâce à son partenariat avec Yahoo.
Une macro SPF désigne un mécanisme utilisé dans les enregistrements SPF permettant de définir des ensembles réutilisables d’adresses IP. Les macros SPF offrent une flexibilité et une maintenabilité accrues en permettant de définir des ensembles complexes d’IP dans un seul mécanisme, qui peut ensuite être référencé dans plusieurs enregistrements SPF. Par exemple, au lieu d’énumérer chaque adresse IP autorisée, vous pouvez définir une macro comme « %{i} » qui fait appel à l’IP d’expédition de l’email. Gérer SPF de cette manière offre un meilleur contrôle sur de grandes listes IP sans dépasser la limite de consultation SPF, tout en masquant les IP autorisées lors d’une requête publique.
Cependant, selon la structure de l’enregistrement SPF avec macros, l’absence de développement des macros peut entraîner des échecs SPF ou des résultats « Neutre » (notés ?all). Si les macros SPF jouent un rôle clé dans l’autorisation de serveurs d’envoi légitimes, les emails risquent de plus facilement échouer aux contrôles SPF ou d’être considérés comme suspects par les systèmes utilisant SPF pour l’authentification.
Mail Transfer Agent Strict Transport Security (MTA-STS) est une norme qui permet de chiffrer les messages envoyés entre deux serveurs de messagerie. Elle indique aux serveurs expéditeurs que les emails ne peuvent être transmis qu’en connexion sécurisée via Transport Layer Security (TLS), empêchant ainsi l’interception par des cybercriminels.
L’adoption de MTA-STS a fortement progressé, les organisations en 2026 considérant la sécurité de la couche transport comme essentielle pour protéger les emails en transit. Pour activer MTA-STS sur un domaine destinataire, il faut annoncer la prise en charge MTA-STS dans le DNS et publier un fichier de politique sur son site web.
L’activation de MTA-STS doit se faire avec précaution afin d’éviter de bloquer la réception d’emails. Il est conseillé de d’abord déployer MTA-STS en mode test, afin que les rapports TLS permettent de détecter et corriger les éventuelles erreurs avant de passer à l’application stricte. Cette démarche progressive deviendra probablement la norme en 2026 pour les organisations renforçant la sécurité du transport.
Le SMTP TLS Reporting (ou TLS-RPT) permet de rapporter les problèmes de connectivité TLS rencontrés par les MTAs expéditeurs, conformément à RFC8460. À l’instar de DMARC, TLS-RPT utilise des rapports transmis par email pour avertir le propriétaire d’un domaine en cas d’échec de livraison dû à des problèmes TLS. Ces rapports incluent les politiques MTA-STS détectées, des statistiques de trafic, les connexions échouées et les raisons de l’échec.
Avec la fonction MTA-STS de Red Sift OnDMARC, vous n’avez plus besoin de gérer un déploiement complexe. Il suffit simplement d’ajouter les Smart Records MTA-STS fournis par OnDMARC à votre DNS et Red Sift prend en charge tout le reste : hébergement du fichier de politique MTA-STS, gestion du certificat SSL, et signalement de toute violation détectée via un rapport TLS. En 2026, les plateformes DMARC modernes incluent de plus en plus MTA-STS hébergé par défaut, facilitant ainsi le déploiement de la sécurité du transport.
Publié sous RFC 7671, DANE (DNS-based Authentication of Named Entities) introduit une nouvelle norme Internet pour établir une communication TLS entre client et serveur sans dépendre des Autorités de Certification (CA) classiques.
Le modèle traditionnel requiert qu’un CA puisse délivrer un certificat pour n’importe quel domaine. DANE procède autrement, s’appuyant sur l’infrastructure DNSSEC (Domain Name System Security Extensions) pour lier un nom de domaine à un certificat. DANE exploite le protocole DNSSEC existant pour garantir l’authenticité et l’intégrité des données reçues.
DANE introduit aussi un nouvel enregistrement DNS de type TLSA qui signale au client que le serveur supporte TLS. Il est recommandé de mettre en place à la fois MTA-STS et DANE. DANE est requis par de nombreuses administrations, en particulier dans l’UE pour les organismes publics.
DANE et MTA-STS ne sont utiles que si l’expéditeur les prend en charge, or beaucoup ne supportent qu’un seul de ces mécanismes. Déployer les deux améliore donc la sécurité générale. En 2026, les organisations mettent souvent d’abord en place MTA-STS pour une compatibilité maximale, puis ajoutent DANE là où le niveau de sécurité doit être renforcé.
La politique de sous-domaine permet aux administrateurs de protéger différents domaines et sous-domaines selon leur niveau d’avancement dans l’adoption de DMARC. Par exemple, si tous vos services d’envoi au nom du domaine principal sont bien configurés avec SPF et DKIM, vous pouvez protéger votre domaine principal avec une politique DMARC p=reject tout en utilisant p=none sur les sous-domaines, voire l’inverse.
Par ailleurs, si un de vos services d’envoi n’est pas compatible DMARC (il ne prend pas en charge SPF ou DKIM), vous pouvez décider de lui attribuer un sous-domaine dédié et une politique DMARC différente, sans pour autant que cela empêche la protection de vos autres domaines. Cela permet de répartir le trafic sur plusieurs sous-domaines et de protéger chacun en fonction de son besoin.