Dans cet article, nous allons vous expliquer comment fusionner des enregistrements SPF.
Pourquoi fusionner des enregistrements SPF ?
Un enregistrement SPF permet de certifier que l’adresse IP d’expédition est autorisée à envoyer des emails. Cela permet d’éviter l’utilisation frauduleuse de votre nom de domaine et est particulièrement efficace contre les tentatives d’hameçonnage.
Un domaine ne peut avoir qu’un seul enregistrement SPF. Le fait de posséder plus d’un enregistrement SPF peut nuire à la réputation de votre domaine ainsi qu’à votre délivrabilité, et faciliter les tentatives de fraude. Si vous avez besoin d’ajouter plusieurs enregistrements SPF à votre domaine, vous devriez les fusionner en un seul enregistrement.
Syntaxe d’un enregistrement SPF
Analysons les différentes parties d’un enregistrement SPF d’après l’exemple suivant :
Un enregistrement SPF commence toujours par le numéro de version « v=spf1 » (version 1). Cette partie indique que l’enregistrement est de type SPF. Une deuxième version du SPF (appelée « SenderID ») était auparavant utilisée, mais a été abandonnée.
La deuxième partie de l’enregistrement SPF comprend les mécanismes. Ceux-ci indiquent différentes règles de vérification du SPF et peuvent inclure un préfixe (appelé « qualificateur »).
- ip4 : indique la plage d’adresses IPv4 autorisée à envoyer des emails, par exemple : ip4:<ip4-address> ou ip4:<ip4-network>/<prefix-length>.
Si aucune longueur de préfixe (« prefix-length ») n’est indiquée, /32 est utilisé par défaut (permettant d’isoler une adresse d’hébergement individuelle). Veillez à indiquer une longueur de préfixe supérieure à /16, car la livraison vers de plus petits récepteurs d’emails peut être affectée.
- ip6 : indique la plage d’adresses IPv6 autorisée à envoyer des emails, par exemple : ip6:<ip6-address> ou ip6:<ip6-network>/<prefix-length>.
L'argument du mécanisme « ip6 » est une plage d’adresses IPv6. Si aucune longueur de préfixe (« prefix-length ») n’est indiquée, /128 est utilisé par défaut (permettant d’isoler une adresse d’hébergement individuelle). - a : indique le nom de domaine du serveur de messagerie autorisé à envoyer des emails en se référant à un enregistrement de domaine A, par exemple : a:brevo.com
Les enregistrements A doivent correspondre exactement à l’adresse IP du client, à moins qu’une longueur de préfixe ait été fournie. Dans ce cas, chaque adresse IP résultant de la recherche A sera étendue à son préfixe CIDR correspondant, et l’adresse IP du client sera recherchée au sein de ce sous-réseau. - mx : indique que le serveur de messagerie devrait être utilisé pour transmettre les emails en se référant à un enregistrement de domaine MX, par exemple : mail.brevo.com.
Les enregistrements A doivent correspondre exactement à l’adresse IP du client, à moins qu’une longueur de préfixe ait été fournie. Dans ce cas, chaque adresse IP résultant de la recherche A sera étendue à son préfixe CIDR correspondant, et l’adresse IP du client sera recherchée au sein de ce sous-réseau. - include : indique le serveur de messagerie autorisé à envoyer des emails de la part du domaine (expéditeurs d’emails tiers). Il doit toujours être placé au milieu de l’enregistrement SPF.
Une correspondance est recherchée pour le domaine spécifié. Si la recherche ne renvoie pas de correspondance ou d’erreur, le traitement passe à la directive suivante. Si le domaine n’a pas d’enregistrement SPF valide, il en résulte une erreur permanente. Certains récepteurs d’emails rejetteront les emails en cas de résultat « PermError ». - all : correspond à tous les serveurs de messagerie et indique comment un email doit être traité lorsqu’un expéditeur ne correspond à aucun des mécanismes précédents. Il est utilisé avec un qualificateur et doit toujours être placé à la fin de l’enregistrement SPF.
Un qualificateur est un préfixe pouvant être ajouté devant un mécanisme et indique comment un email doit être traité lorsqu’un expéditeur ne correspond à aucun des mécanismes précédents.
Voici les qualificateurs disponibles :
- + : il s’agit du qualificateur par défaut et signifie Pass (authentification réussie). Le serveur avec une adresse IP ou un domaine correspondant à un mécanisme avec ce qualificateur est authentifié par le contrôle SPF et autorisé à envoyer pour ce domaine.
- - : signifie Fail (échec). Le serveur avec une adresse IP ou un domaine correspondant à un mécanisme avec ce qualificateur est rejeté par le contrôle SPF et n’est pas autorisé à envoyer pour ce domaine.
- ~ : signifie Soft fail (échec partiel). Le serveur avec une adresse IP ou un domaine correspondant à un mécanisme avec ce qualificateur est partiellement rejeté par le contrôle SPF et peut être autorisé à envoyer pour ce domaine. Le serveur de réception acceptera l’email, mais le signalera en tant qu’échec SPF.
- ? : signifie Neutral (neutre). Le serveur avec une adresse IP ou un domaine correspondant à un mécanisme avec ce qualificateur n'est ni authentifié ni rejeté par le contrôle SPF car l’enregistrement n’indique pas clairement si l’adresse IP ou le domaine est autorisé à envoyer pour ce domaine.
Fusionner des enregistrements SPF
Pour fusionner des enregistrements SPF, vous devez combiner différentes parties des enregistrements. Voici comment combiner les exemples d’enregistrements SPF suivants pour Google Workspace et Brevo.
v=spf1 include:_spf.google.com ~all
v=spf1 include:spf.brevo.com mx ~all
- Un enregistrement SPF commence toujours par le numéro de version.
v=spf1
- Ensuite, nous ajoutons les deux mécanismes « include » à notre nouvel enregistrement.
v=spf1 include:_spf.google.com include:spf.brevo.com
- L’enregistrement SPF de Brevo contient un mécanisme « mx ». Nous devons donc également l’inclure dans notre nouvel enregistrement.
v=spf1 include:_spf.google.com include:spf.brevo.com mx
- Enfin, nous devons définir la manière dont les emails doivent être traités lorsqu’un expéditeur ne correspond à aucun des mécanismes précédents. On utilise pour cela le mécanisme « all ».
v=spf1 include:_spf.google.com include:spf.brevo.com mx ~all
Ce nouvel enregistrement SPF remplace l’ancien. Il permet à Google Workspace et à Brevo d’envoyer des emails avec votre nom de domaine, tandis que tous les autres expéditeurs sont bloqués grâce au mécanisme « ~all ».
🤔 Vous avez des questions ?
Pour toute question, n’hésitez pas à contacter notre service client en créant un ticket à partir de votre compte. Si vous n’avez pas encore de compte, vous pouvez nous contacter ici.
Si vous avez besoin d'aide pour un projet impliquant Brevo, nous pouvons vous mettre en relation avec un Partenaire Brevo certifié.