SPF signifie Sender Policy Framework. L'enregistrement SPF permet de spécifier quelles adresses IP sont autorisées à envoyer des messages pour un domaine donné.
Le spoofing est une pratique d'usurpation d'identité. Les messages envoyés par les spammeurs semblent provenir de votre domaine. Pour lutter contre ces pratiques peu scrupuleuses le SPF 1) est de plus en plus mis en place.
Le SPF utilise le service DNS pour déclarer quels serveurs sur votre domaine sont légitimes pour communiquer des mails. Le domaine ne peut contenir qu'un seul enregistrement SPF mais celui-ci peut définir plusieurs politiques pour plusieurs serveurs.
Pour rappel, le SPF reste une indication donnée aux serveurs recevant des mails, dont les vôtres. Reste à ces derniers d'appliquer ou non ce qui est spécifié dans le SPF des domaines pour lesquels ils reçoivent des messages.
Les politiques de validation des mails sont définies à l'aide d'un qualificateur placé en préfixe:
+ | Peut être omis, les mails en provenance de cette source sont légitimes et sont acceptés par le mécanisme de validation. |
---|---|
- | Les mails provenant de la source désignée doivent être refusés car illégitimes. |
~ | Les mails peuvent être acceptés mais sont potentiellement illégitimes. |
? | Marqueur de neutralité, pas d'incidence sur la validation des mails par le contrôle SPF. |
v=spf1 +a +mx ~all
L' ensemble des enregistrements de type A et MX du domaine courant sont légitimes. Les mails provenant de toute autre machine doit être considérés comme potentiellement illégitimes.
Équivalent:
v=spf1 a mx ~all
v=spf1 ip4:217.167.240.158 ~all
Pour vérifier la déclaration du SPF, de nombreux outils en ligne existent, un exemple ci-dessous:
La commande dig permet également de le faire
dig @nameserver -t TXT domain.fqdn