- Les enregistrements SPF
Pourquoi un enregistrement SPF ?
Un enregistrement SPF est un enregistrement DNS type TXT qui renseigne sur les passerelles SMTP autorisées à envoyer des mails pour un domaine donné.
Ex : le domaine “domain.xyz” utilise la passerelle SMTP suivante “smtp.domain.xyz” pour envoyer ses emails, et uniquement celle-çi.
L’enregistrement SPF consiste à indiquer que seul smtp.domain.xyz envoie des emails avec pour expéditeur *@domain.xyz.
Cet enregistrement peut alors être utilisé par la passerelle de destination selon le schéma suivant :
- Réception sur smtp.cible.xyz d’un email envoyé par toto@domain.xyz
- smtp.cible.xyz interroge les DNS pour savoir si “domain.xyz” possède un enregistrement SPF (ce qui est le cas ici)
- L’enregistrement indique que cet email ne peut venir que de la machine smtp.domain.xyz
- Si c’est le cas, le mail est traité par la passerelle; dans le cas contraire le mail est rejeté.
- Si l’enregistrement SPF n’existe pas, le mail sera traité par la passerelle, mais peut-être avec des règles de filtrage plus strictes.
L’enregistrement SPF pour le domaine “domain.xyz” sera le suivant :
“v=spf1 a:smtp.domain.xyz ~all”
ou encore “v=spf1 mx ~all“
Dans le premier cas, on indique que seul (~all) le serveur smtp.domain.xyz envoie des emails venant du domaine “domain.xyz”.
Le deuxième cas, équivalent au premier, indique que seul le(s) serveur(s) enregistré(s) comme MX du domaine sont habilités à envoyer ces emails.
Vous pouvez consulter le site OpenSPF qui possède un wizard pour créer ses enregistrements SPF.
D’autres techniques similaires existent comme le SenderID de Microsoft ou le DKIM de Yahoo et Cisco, plutôt basé sur des certificats, mais ces systèmes sont plus lourds à mettre en place.
Point faible : ces systèmes sont efficaces seulement si tout le monde joue le jeu.
A suivre…