Vérifiez instantanément et validez votre enregistrement SPF. Nous vérifions les erreurs de syntaxe, les enregistrements en double et le dépassement du nombre maximal de requêtes DNS, puis nous vous montrons exactement comment corriger les problèmes. C’est rapide et gratuit.
SPF permet jusqu’à 10 recherches DNS maximum. Si vous dépassez 10, les serveurs destinataires retournent une PermerError et tous vos emails échouent.
Un domaine utilisant Google Workspace, Salesforce et Mailchimp HubSpot peut dépasser ce seuil sans même s’en rendre compte.
Vous ne pouvez avoir qu’un seul enregistrement SPF TXT par domaine. Si vous en avez deux, les serveurs destinataires retournent une PermerError.
Cela arrive souvent après avoir changé de fournisseur de messagerie sans supprimer l’ancien enregistrement. Supprimez le doublon et fusionnez les informations.
Un espace mal placé ou une faute de frappe peut rendre invalide tout votre enregistrement.
Exemples courants : "inlcude" au lieu de include, ou un enregistrement qui ne commence pas par v=spf1. Le Vérificateur SPF signale ces erreurs en rouge et indique leur emplacement exact.
?all (neutre) n’exclut pas les expéditeurs non autorisés — les messages sont quand même délivrés. Évitez-le. Pour un domaine actif qui envoie des emails, préférez ~all combiné à DMARC en p=reject — cela rejette les emails non authentifiés sans risquer la bonne livraison des messages légitimes.
Réservez -all uniquement pour les domaines inactifs qui n’envoient aucun email.
« SubdoMailing », ou l’envoi d’emails via sous-domaine, est une méthode d’attaque avancée exploitant les angles morts de l’application DMARC. En envoyant des messages depuis des sous-domaines légitimes qui passent l’authentification, les cybercriminels peuvent usurper l’identité d’organisations de confiance et tromper les destinataires.
À l’aide de ce guide, découvrez :
SPF signifie « Sender Policy Framework ». C’est un protocole d’authentification d’email qui agit comme une liste blanche, précisant les expéditeurs autorisés à envoyer des emails en votre nom. Son objectif est d’empêcher l’usurpation d’identité par email.
SPF signifie « Sender Policy Framework ». C’est un protocole d’authentification d’email qui agit comme une liste blanche, précisant les expéditeurs autorisés à envoyer des emails en votre nom. Son objectif est d’empêcher l’usurpation d’identité par email.
Enregistrement DNS TXT qui indique aux serveurs de messagerie destinataires quelles adresses IP/hôtes sont autorisés à envoyer des emails pour un domaine.
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:203.0.113.5 -all
Il commence par v=spf1, liste les expéditeurs autorisés au centre, et se termine par un qualificatif all. Un seul enregistrement par domaine — sans exception.
L’arborescence SPF fournie par le Vérificateur SPF illustre chaque étape de la résolution de l’enregistrement SPF, montrant comment chaque mécanisme est évalué (succès, échec ou neutre). Cela permet de comprendre la hiérarchie des mécanismes SPF et d’identifier des problèmes ou mauvaises configurations dans l’enregistrement SPF.
Le 27 février 2024, les chercheurs de Guardio ont découvert une vaste campagne de fraude publicitaire par email basée sur des milliers de domaines et sous-domaines compromis. Pour en savoir plus sur l’attaque SubdoMailing et comment vous protéger, consultez cet article ici.
L’outil Vérificateur SPF Red Sift détecte si votre enregistrement SPF contient des includes compromis laissant votre domaine vulnérable à l’usurpation. La visualisation dynamique de l’arbre SPF permet de mettre en évidence l’endroit exact où se trouvent les includes empoisonnés. Si des includes compromis sont découverts, nous vous recommandons de les supprimer immédiatement de votre enregistrement SPF.
Vérifier la configuration SPF de votre domaine permet de s’assurer qu’elle est correctement paramétrée pour authentifier les emails envoyés depuis votre domaine, limitant ainsi le risque que vos messages soient marqués comme spam ou rejetés par les serveurs destinataires.
En fonction de la configuration SPF du domaine indiqué, des messages d’informations s’affichent avec la possibilité de « surligner dans l’arbre SPF ».
Oui, le Vérificateur SPF peut détecter les erreurs dans les includes imbriqués des enregistrements tiers en analysant chaque enregistrement SPF inclus dans la hiérarchie. Cela permet aux utilisateurs d’identifier et corriger les problèmes de configuration SPF chez des tiers susceptibles d’affecter l’authentification de leur propre domaine.
Vous pouvez accéder à l’enregistrement SPF de votre domaine en interrogeant ses enregistrements DNS avec des outils comme nslookup ou dig. Vous pouvez aussi utiliser des outils en ligne de recherche SPF ou accéder à l’interface de gestion DNS de votre hébergeur ou bureau d’enregistrement.
Une requête vide correspond à un mécanisme dans l’enregistrement SPF qui entraîne une requête DNS ne renvoyant aucun résultat, révélant souvent une mauvaise configuration ou une entrée invalide. Cela peut causer des échecs d’authentification SPF et doit être corrigé pour garantir la fiabilité de la configuration SPF.
Corrigez une erreur de syntaxe dans un enregistrement SPF en relisant les règles de syntaxe SPF et en vous assurant que l’enregistrement est correctement formaté. Les erreurs courantes incluent des mécanismes manquants ou mal placés, des caractères invalides et de mauvais espaces. Une fois identifiées, ces erreurs peuvent être corrigées via l’interface d’administration DNS de votre hébergeur ou bureau d’enregistrement.
Les mécanismes SPF sont les éléments d’un enregistrement SPF qui spécifient quels serveurs de messagerie sont autorisés à envoyer des emails pour un domaine. Il peut s’agir d’adresses IP, de noms de domaines ou de qualificatifs définissant la façon d’interpréter le mécanisme. En configurant les bons mécanismes SPF, un propriétaire de domaine contrôle quelles machines sont autorisées à envoyer des emails en son nom, renforçant l’authentification et la sécurité des emails.
Lancez une recherche et vérifiez qu’il existe un seul enregistrement, une syntaxe valide, et pas plus de 10 requêtes DNS.
Il s’agit généralement d’enregistrements multiples, de problèmes de syntaxe ou d’un trop grand nombre de requêtes « include ».
La RFC 7208 limite SPF à 10 mécanismes générant une requête DNS afin de protéger les serveurs de réception contre la surcharge. Chaque include, a, mx, ptr et redirect compte dans cette limite. Si vous dépassez, SPF échoue sur chaque mail, même légitime. Le Vérificateur SPF affiche votre nombre actuel de recherches et leur origine.
?all (neutre) n’exclut pas les expéditeurs non autorisés — les messages sont quand même délivrés. Évitez-le. Pour un domaine actif qui envoie des emails, préférez ~all combiné à DMARC en p=reject — cela rejette les emails non authentifiés sans risquer la bonne livraison des messages légitimes.
Réservez -all uniquement pour les domaines inactifs qui n’envoient aucun email.
Oui, et vous devriez ! SPF sur votredomain.com ne couvre pas mail.votredomaine.com ni newsletter.votredomaine.com. Chaque sous-domaine émetteur a besoin de son propre enregistrement. Les sous-domaines sans SPF sont vulnérables à l’usurpation.
