Pour réduire le spam, la RFC 4408 a introduit le standard SPF (Sender Policy Framework), permettant de s’assurer qu’un e-mail a bien été envoyé par un serveur autorisé et de le refuser en cas de suspection d’usurpation. Cette technologie est aujourd’hui mise en œuvre sur la grande majorité des serveurs mail.
Avant d’envoyer un e-mail depuis un serveur, il est donc fortement recommandé de configurer correctement le champ SPF dans ses enregistrements DNS de son nom de domaine.
La syntaxe du champ SPF
Le champ SPF est un enregistrement de type TXT, qui précise les noms de domaine ou les adresses IP ayant le droit d’expédier des e-mails au nom du domaine.
Il a généralement la forme suivante :
où
- v=spf1 indique la version de SPF utilisée.
- a autorise l’envoi depuis toutes les adresses IP répertoriées dans l’enregistrement A de votre zone DNS (c’est à dire celles de vos serveurs Web).
- mx autorise l’envoi depuis toutes les adresses IP répertoriées dans l’enregistrement MX de votre zone DNS (c’est à dire celles de vos serveurs de courrier).
- ~all considère les envois par d’autres serveurs que ceux listés comme potentiellement illégitimes.
Pluisieurs autres options sont disponibles pour élargir la liste des serveurs autorisés.
- ip4:xxx.xxx.xxx.xxx autorise l’envoi à partir d’un serveur ayant l’adresse IPv4 mentionnée.
- ip6:xxxx:xxx:x:xxxx:x:x:xxxx:xxxx autorise l’envoi à partir d’un serveur ayant l’adresse IPv6 mentionnée.
- ptr autorise les serveurs associés à votre nom de domaine.
- ptr:bidule.fr autorise les serveurs associés au nom de domaine bidule.fr.
- include:bidule.fr ajoute les autorisations spécifiées dans le champ SPF du domaine bidule.fr.
Le champ all peut avoir 3 valeurs :
- -all n’autorise strictement aucun envoi autrement que par l’un des éléments listés (échec grave : à n’utiliser que si vous êtes sûr de votre paramétrage)
- ~all considère les envois par d’autres serveurs comme potentiellement illégitimes (échec non grave).
- ?all signale qu’il existe des serveurs supplémentaires qui peuvent faire des envois.
Vous pouvez personnaliser les conditions :
- a:bidule.fr,chose.com autorise l’envoi depuis toutes les adresses IP correspondant aux enregistrements A des noms de domaines bidule.fr et chose.com.
- mx:bidule.fr,chose.com autorise l’envoi depuis toutes les adresses IP correspondant aux enregistrements MX des noms de domaines bidule.fr et chose.com.
Mise en place en pratique
De nombreux hébergeurs disposent aujourd’hui d’assistants pour mettre en place votre champ SPF. C’est notamment le cas d’OVH ou d’Amen. Rendez-vous pour cela dans votre interface d’administration et affichez la section Domaines & DNS / Zone DNS.
Laissez-vous ensuite guider.
Si votre hébergeur ne met pas pas d’assistant pour le SPF à disposition, vous pouvez utiliser l’un des assistants suivants (en anglais) : Microsoft, MailRadar ou MTGSY. A la fin de la procédure, une entrée SPF vous sera proposée. Il vous faudra l’ajouter à la zone DNS du domaine utilisé pour l’envoi (TXT record).
Notez qu’après modification du champ SPF, il vous faudra attendre quelques heures pour que l’information se propage sur tous les serveurs DNS du Net.
Vérifier si le SPF est mis en place
Pour savoir si le SPF est valide pour votre domaine, rendez-vous sur DNSstuff (en anglais), entrez le nom de votre domaine dans le champ DNSreport et vérifiez la ligne SPF (vous pouvez aussi utiliser les services de Mxtoolbox ou Kitterman.com).
Au fait, vous aussi, vous pouvez afficher votre propre avatar dans les commentaires.