Authentifier vos serveurs de mail avec SPF


Comment éviter de se faire usurper son nom de domaine

Mercredi 17 mars 2010 par Christine

Aujourd’hui, les hackers s’approprient sans aucun scrupule des noms de domaine qui ne leur appartiennent pas pour véhiculer des spams. De ce fait, non seulement les filtres anti-spams sont de plus en plus sollicités, mais également, cela conduit quelquefois à exclure les noms de domaine en question qui font du tort et nuisent au bon déroulement des communications. Le principe du Sender Policy Framework (RFC 4408) permet de réduire ces risques et inconvénients. En effet, grâce à cette norme, une liste des adresses IP autorisées ou non à adresser des emails pour un domaine donné peut être établie.

Le principe du SPF est de définir un champ de type TXT sur son nom de domaine afin de définir la liste des serveurs de messagerie autorisés ou non à envoyer du courriel au nom du domaine en question.

L’entrée de type TXT se présente par exemple sous cette forme :
altospam.com. IN TXT « v=spf1 +ip4:1.2.3.4 ~all »

Un ensemble, dans notre exemple ci-dessus « +ip4:1.2.3.4 » comprend une action «  + », un sélecteur « ip4 »et une valeur « 1.2.3.4 ». Selon le principe du Sender Policy Framework, il existe quatre actions possibles:
+ : autorisé (pass), ? : neutre (neutral), ~ : suspect (soft fail) ou – : interdit (fail).

Ces actions s’utilisent avec un des sélecteurs listés ci-dessous :
– a : se réfère aux enregistrements DNS de type A,
– ptr : se réfère au reverse DNS du serveur émetteur,
– mx : se réfère aux enregistrements DNS de type MX,
– ip4 : se réfère à une adresse IPv4,
– ip6 : idem, pour une adresse IPv6,
– all : désigne tout.

La valeur est facultative pour les sélecteurs a, ptr et mx, auquel cas le domaine courant est sélectionné de manière implicite.

Voici donc la traduction de l’exemple du début :
– +ip4 :1.2.3.4: autorise l’adresse IP 1.2.3.4 à envoyer des emails pour le domaine altospam.com
– ~all : n’autorise pas (de manière souple) les autres adresses IP à envoyer du courriel au nom d’altospam.com

Il est possible de mélanger les sélecteurs comme vous l’entendez. Veuillez trouver ci-dessous un autre exemple :
altospam.com. IN TXT « v=spf1 +a:oktey.com +mx +ip4:1.2.3.4 ~ip4:5.6.7.8 -all »

Dans ce cas, nous autorisons toutes les entrées DNS de type A du domaine oktey.com ainsi que les entrées DNS de type MX du domaine altospam.com et l’adresse IP 1.2.3.4 à envoyer des emails au nom d’altospam.com. L’adresse IP 5.6.7.8 pourra envoyer des emails mais sera pénalisée et les emails provenant de toute autre adresse IP devront être refusés.

Information importante : l’administrateur du serveur distant de réception est libre dans la gestion des différentes règles suivant le niveau d’action demandé par l’émetteur (+,?,~,-). Il peut notamment très bien considérer qu’un « refuse » (fail) pour non respect du SPF est une action trop sévère et se contenter, dans ce cas, de suspecter le mail comme étant un spam.

Votez...

  • del.icio.us
  • Twitter
  • Facebook
  • LinkedIn
  • RSS
  • StumbleUpon
  • Digg


Tags : , ,


Articles similaires:
- Limites des techniques d'authentification d’expéditeurs SPF, DKIM (58.8%)
- Authentifiez vos emails sortants pour une meilleure délivrabilité (58.8%)
- Test de Turing : origine et applications actuelles (54.9%)
- Analyse des spams DANS le protocole SMTP (50%)
- Gestion des utilisateurs distants et call-out (50%)

Laisser un commentaire

*


English Espa?ol Italiana Deutsche

Copyright © 2002-2014 OKTEY - Tous droits réservés - Accessibilité - Mentions légales - Plan du site - Google+   Flux RSS