Un enregistrement SPF définit les domaines et serveurs de messagerie autorisés à envoyer des e-mails au nom de votre domaine. Chaque domaine peut avoir un enregistrement SPF, mais celui-ci peut spécifier des serveurs et des tiers supplémentaires autorisés à envoyer des e-mails depuis votre domaine.
- Les serveurs de réception vérifient votre enregistrement SPF pour s'assurer que les messages qui semblent avoir été envoyés depuis votre domaine l'ont bien été depuis des serveurs que vous avez autorisés.
- L'enregistrement SPF indique également aux serveurs de réception l'action à effectuer une fois les messages contrôlés.
Format des enregistrements SPF
Un enregistrement SPF est une ligne de texte brut comprenant une liste de tags et de valeurs. Ces tags sont appelés mécanismes. Les valeurs sont généralement des adresses IP et des noms de domaines.
Un enregistrement SPF est ajouté auprès du fournisseur de domaine sous la forme d'un enregistrement TXT DNS. Pour en savoir plus, consultez À propos des enregistrements TXT.
Les enregistrements SPF peuvent comporter jusqu'à 255 caractères. La taille de l'enregistrement TXT ne doit pas dépasser 512 octets.
Comprendre les adresses IP
Une adresse IP sert à identifier des appareils et à les connecter à Internet. Les adresses IP permettent aux appareils tels que les ordinateurs, les appareils mobiles et les serveurs de communiquer entre eux. Les serveurs qui envoient et reçoivent des e-mails sont identifiés par leur adresse IP unique. L'enregistrement SPF de votre domaine peut nécessiter les adresses IP des serveurs qui envoient les messages pour votre domaine.
- Les adresses IP de version 4 (IPv4) prennent la forme suivante : 203.0.113.42
- Les adresses IP de version 6 (IPv6) prennent la forme suivante : 2001:db8:14:5:1:2:bf35:2610
Les adresses IP sont généralement attribuées aux réseaux par blocs. Lorsqu'une adresse IP comporte une barre oblique (/), il s'agit d'un bloc d'adresses IP :
- IPv4 : 192.0.2.0/24
- IPv6 : 2001:db8:1234::/48
Lorsque vous utilisez un bloc d'adresses IP dans votre enregistrement SPF, celui-ci s'applique à toutes les adresses IP comprises dans le bloc.
Mécanismes des enregistrements SPF
Créez un enregistrement SPF à l'aide des mécanismes indiqués dans le tableau suivant. Les serveurs de messagerie de réception vérifient les messages en fonction des mécanismes dans l'ordre qui est indiqué dans l'enregistrement SPF.
À noter :
- Si nécessaire, vous pouvez ajouter des qualificatifs d'enregistrements SPF (plus bas sur cette page) aux mécanismes.
- L'enregistrement TXT pour SPF ne doit pas inclure plus de 10 références à d'autres domaines ou serveurs. Ces références sont appelées résolutions. Pour en savoir plus, consultez Vérifier les résolutions DNS de votre enregistrement SPF.
| Mécanisme | Description et valeurs |
|---|---|
| v |
(Obligatoire) Version SPF. Cette balise doit être la première de l'enregistrement. Pour ce mécanisme, vous devez indiquer v=spf1. |
| ip4 |
Autorise les serveurs de messagerie par adresse ou plage d'adresses IPv4. Cette valeur doit être une adresse ou une plage d'adresses IPv4 au format standard, par exemple : ip4:192.168.0.1 ou ip4:192.0.2.0/24. |
| ip6 |
Autorise les serveurs de messagerie par adresse ou plage d'adresses IPv6. Cette valeur doit être une adresse ou une plage d'adresses IPv6 au format standard, par exemple : ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF ou ip6:2001:db8:1234::/48. |
| a |
Autorise les serveurs de messagerie par nom de domaine, par exemple : a:example.com |
| mx |
Autorise un ou plusieurs serveurs de messagerie par enregistrement MX de domaine, par exemple : mx:mail.example.com. Si ce mécanisme n'est pas inclus dans l'enregistrement SPF, la valeur par défaut correspond aux enregistrements MX du domaine sur lesquels l'enregistrement SPF est utilisé. |
| include |
Autorise les expéditeurs d'e-mails tiers par domaine, par exemple : include:servers.mail.net. |
| tous |
Spécifie une correspondance avec tous les messages. Nous vous recommandons de toujours inclure ce mécanisme dans l'enregistrement SPF. Il doit s'agir du dernier mécanisme de l'enregistrement SPF. Tout mécanisme venant après all est ignoré. Quand utiliser ~all ou -all ?
Conseil : Pour empêcher le spoofing de domaines qui n'envoient pas d'e-mails, utilisez l'enregistrement SPF suivant pour le domaine : vspf1 ~all. |
| exists |
Exécute une requête A sur le domaine spécifié avec le mécanisme exists dans l'enregistrement SPF. Lorsqu'un résultat est trouvé, le domaine est résolu et l'authentification réussit. Si le domaine n'est pas reconnu, l'authentification échoue. |
Qualificatifs des enregistrements SPF
Un qualificatif est un préfixe facultatif que vous pouvez ajouter à n'importe quel mécanisme de votre enregistrement SPF. Un qualificatif indique au serveur de messagerie de réception s'il doit considérer un message comme authentifié en cas de correspondance avec une valeur de mécanisme, par exemple :
v=spf1 include:_spf.google.com ~all
Les mécanismes sont vérifiés dans l'ordre dans lequel ils apparaissent dans l'enregistrement SPF. Si un mécanisme ne comporte aucun qualificatif et qu'une correspondance est établie, l'action par défaut est d'approuver l'authentification. En l'absence de correspondance, l'action par défaut est neutre : le message n'est ni authentifié, ni rejeté.
Ces qualificatifs vous permettent, si nécessaire, d'indiquer aux serveurs de réception comment gérer les messages en cas de correspondance avec les mécanismes de l'enregistrement SPF.
| Qualificatif | Action du serveur de réception en cas de correspondance |
|---|---|
| + | L'authentification est approuvée. Le serveur associé à l'adresse IP correspondante est autorisé à envoyer des messages pour votre domaine. Les messages sont authentifiés. C'est l'action par défaut du mécanisme en l'absence de qualificatif. |
| - | L'authentification échoue. Le serveur associé à l'adresse IP correspondante n'est pas autorisé à envoyer des messages pour le domaine. L'enregistrement SPF n'inclut pas le domaine ni l'adresse IP du serveur d'envoi, si bien que les messages ne seront pas authentifiés. |
| ~ | Authentification par échec partiel. Le serveur associé à l'adresse IP correspondante ne sera probablement pas autorisé à envoyer des messages pour le domaine. Généralement, le serveur de réception accepte les messages, mais les marque comme suspects. |
| ? | Neutre. L'authentification n'est ni approuvée, ni refusée. L'enregistrement SPF n'indique pas explicitement que l'adresse IP est autorisée à envoyer des messages pour le domaine. Les enregistrements SPF dont les résultats sont neutres utilisent souvent ?all. |
Modificateurs d'enregistrement SPF (avancé)
Les modificateurs SPF sont des paires de noms ou de valeurs séparées par =, qui apparaissent à la fin d'une chaîne de texte d'enregistrement SPF. Les modificateurs indiquent des informations supplémentaires, des exceptions aux règles et des différences par rapport aux valeurs par défaut. Par exemple, cet enregistrement SPF utilise le mécanisme include pour vérifier les enregistrements SPF de Google et le modificateur redirect pour faire référence à l'enregistrement SPF d'un autre domaine.
v=spf1 include:_spf.google.com redirect=example.com
| Modificateur | Description |
|---|---|
| redirect |
Redirige vers l'enregistrement SPF d'un autre domaine pour l'authentification. Utilisez le modificateur redirect si vous souhaitez que plusieurs domaines utilisent le même enregistrement SPF. N'utilisez le modificateur redirect que si vous gérez tous les domaines concernés. Pour les domaines que vous ne gérez pas, utilisez le mécanisme include. Si votre enregistrement SPF utilise le mécanisme all, le modificateur redirect est ignoré. |
| exp |
Fournit une raison personnalisée pour laquelle un message a échoué au contrôle d'authentification SPF. Disponible uniquement lorsque l'enregistrement SPF contient un qualificatif d'échec ou d'échec partiel. Ce modificateur active une résolution DNS pour un enregistrement TXT incluant l'explication de l'échec. Utilisez des macros SPF pour personnaliser cette explication. |