Recherchez et validez instantanément votre enregistrement SPF. Nous testons les erreurs de syntaxe, les doublons et le dépassement de la limite « trop de consultations DNS », puis nous indiquons exactement comment corriger les problèmes. C’est rapide et gratuit.
SPF autorise au maximum 10 consultations DNS. Si vous dépassez 10, les serveurs receveurs retournent une PermerError et chaque email envoyé échoue.
Un domaine utilisant Google Workspace, Salesforce et Mailchimp HubSpot peut atteindre cette limite sans s’en rendre compte.
Vous ne pouvez avoir qu’un seul enregistrement SPF TXT par domaine. Si vous en avez deux, les serveurs receveurs retournent une PermerError.
Cela arrive généralement après une migration de fournisseur d’e-mails, quand l’ancien enregistrement n’a pas été supprimé. Supprimez le doublon et regroupez tout.
Un espace en trop ou une faute de frappe peut casser tout votre enregistrement.
Exemples courants : inlcude au lieu de include, ou un enregistrement qui ne commence pas par v=spf1. Le Vérificateur SPF signale ces erreurs en rouge et indique précisément où se trouve le problème.
~all (softfail) et ?all (neutre) ne rejettent pas fermement les expéditeurs non autorisés — les mails sont quand même livrés.
Si votre liste d’expéditeurs est stable, utilisez -all.
Le « SubdoMailing », ou l’envoi d’emails via des sous-domaines, est une technique d’attaque avancée qui exploite les angles morts dans l’application de DMARC. En envoyant des messages depuis des sous-domaines parfaitement légitimes qui passent la vérification d’authentification, les cybercriminels peuvent usurper de façon crédible des organisations de confiance et tromper les destinataires.
Avec ce guide, découvrez :
SPF signifie Sender Policy Framework. Il s’agit d’un protocole d’authentification mail qui sert de liste blanche en précisant les expéditeurs autorisés à envoyer des emails depuis votre nom de domaine. Son but est d’éviter l’usurpation d’email.
SPF signifie Sender Policy Framework. Il s’agit d’un protocole d’authentification mail qui sert de liste blanche en précisant les expéditeurs autorisés à envoyer des emails depuis votre nom de domaine. Son but est d’éviter l’usurpation d’email.
Enregistrement DNS TXT qui dit aux serveurs de réception de mails quelles IPs/hôtes sont autorisés à envoyer des emails pour un domaine.
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:203.0.113.5 -all
Il commence par v=spf1, la liste d’expéditeurs autorisés se trouve au milieu et se termine par un qualificateur all. Un seul enregistrement par domaine — sans exception.
La visualisation de l’arbre SPF fournie par le Vérificateur SPF illustre chaque étape de résolution de l’enregistrement SPF, montrant comment chaque mécanisme est évalué et s’il aboutit à une réussite, un échec ou un résultat neutre. Cette visualisation aide les utilisateurs à comprendre la hiérarchie des mécanismes SPF et à détecter les problèmes ou les erreurs de configuration potentielles dans l’enregistrement SPF.
Le 27 février 2024, des chercheurs de Guardio ont découvert une vaste campagne de fraude publicitaire basée sur l’email exploitant des milliers de domaines et sous-domaines détournés. Vous pouvez en savoir plus sur l’attaque SubdoMailing et comment vous protéger ici.
L’outil de vérification SPF de Red Sift détecte si votre enregistrement SPF contient des inclusions compromises qui exposent votre domaine à des attaques par usurpation. La visualisation dynamique de l’arbre SPF permet de mettre en évidence les inclusions corrompues. Si elles sont découvertes, il est recommandé de supprimer ces entrées de votre enregistrement SPF immédiatement.
Lancer une vérification SPF sur la configuration de votre domaine garantit que celle-ci est correctement paramétrée pour authentifier les emails envoyés depuis votre domaine, réduisant ainsi le risque que vos emails soient considérés comme du spam ou refusés par les serveurs destinataires.
Selon la configuration SPF du domaine renseigné, des messages d’information sont affichés avec l’option « mettre en évidence dans l’arbre SPF ».
Oui, le Vérificateur SPF peut identifier les erreurs dans les inclusions imbriquées provenant d’enregistrements tiers en analysant chaque enregistrement SPF inclus dans la hiérarchie. Cela permet aux utilisateurs de détecter et corriger des problèmes dans la configuration SPF de tiers pouvant impacter l’authentification des emails de leur propre domaine.
Vous pouvez accéder à l’enregistrement SPF de votre domaine en interrogeant les enregistrements DNS via des outils comme nslookup ou dig. Vous pouvez aussi utiliser des outils en ligne de recherche SPF ou accéder à la gestion DNS via votre bureau d’enregistrement ou hébergeur.
Une consultation vide se produit lorsqu’un mécanisme du SPF conduit à une requête DNS sans résultat, signalant une erreur de configuration ou une entrée invalide. Les consultations vides peuvent entraîner des échecs d’authentification SPF et doivent être corrigées pour garantir l’intégrité du paramétrage SPF.
Les erreurs de syntaxe dans un enregistrement SPF se corrigent en se référant aux instructions de syntaxe SPF et en veillant à ce que l’enregistrement soit bien formaté. Les erreurs courantes incluent des mécanismes manquants ou mal placés, des caractères invalides et des espaces incorrects. Une fois repérées, ces erreurs se corrigent via l’interface de gestion DNS de votre hébergeur ou bureau d’enregistrement.
Les mécanismes SPF sont les éléments d’un enregistrement SPF qui précisent quels serveurs de messagerie sont autorisés à envoyer des emails pour un domaine. Cela inclut des adresses IP, des noms de domaine et des qualificateurs pour interpréter le mécanisme. Paramétrer correctement ces mécanismes permet au propriétaire du domaine de contrôler quels serveurs peuvent utiliser son nom et ainsi renforcer l’authentification et la sécurité des emails.
Faire une vérification et vérifier qu’il y a un seul enregistrement, une syntaxe valide, ≤10 consultations DNS.
Généralement à cause de plusieurs enregistrements, de problèmes de syntaxe ou de trop d’inclusions « include ».
La RFC 7208 fixe le SPF à 10 mécanismes interrogeant le DNS pour protéger les serveurs de réception contre la surcharge. Chaque include, a, mx, ptr et redirect compte dans cette limite. Au-delà, SPF échouera pour chaque mail, même légitime. Le Vérificateur SPF affiche votre nombre actuel de consultations et leur origine.
-all (hard fail) rejette systématiquement les emails des expéditeurs non autorisés. ~all (softfail) les accepte mais les dirige généralement en spam. ?all (neutre) ne fait aucune déclaration et n’assure aucune protection. Pour un domaine en production, -all est le bon réglage. Utilisez ~all seulement pendant l’identification de vos expéditeurs légitimes.
Oui, et c’est recommandé. SPF sur yourdomain.com ne couvre pas mail.yourdomain.com ni newsletter.yourdomain.com. Chaque sous-domaine émetteur doit avoir son propre enregistrement. Les sous-domaines sans SPF peuvent être usurpés facilement.
