SPF (Sender Policy Framework)
Qu'est-ce que SPF (Sender Policy Framework) ?
SPF (Sender Policy Framework)Mécanisme d'authentification d'e-mail du RFC 7208 permettant à un domaine de publier dans le DNS quelles adresses IP ou quels hôtes sont autorisés à émettre du courrier avec son domaine dans le MAIL FROM d'enveloppe.
Le Sender Policy Framework (SPF), spécifié par le RFC 7208, permet au titulaire d'un domaine de publier un enregistrement TXT (par ex. v=spf1 ip4:192.0.2.0/24 include:_spf.example.net -all) listant les expéditeurs autorisés. Les MTA récepteurs comparent le domaine du MAIL FROM (return-path) à cette politique et produisent un résultat (pass, fail, softfail, neutral, temperror). SPF n'authentifie que l'enveloppe, pas le champ From: visible par l'utilisateur, donc il n'arrête pas seul l'usurpation du nom affiché. Il est l'un des trois piliers de DMARC avec DKIM. Il faut respecter la limite de dix lookups DNS, choisir les bons qualifieurs et préférer -all (échec dur) à ~all pour une vraie application.
● Exemples
- 01
Publier v=spf1 include:_spf.google.com -all pour autoriser les IP sortantes de Google Workspace et refuser le reste.
- 02
Utiliser un service tiers de SPF flattening pour ne pas dépasser la limite de dix lookups DNS.
● Questions fréquentes
Qu'est-ce que SPF (Sender Policy Framework) ?
Mécanisme d'authentification d'e-mail du RFC 7208 permettant à un domaine de publier dans le DNS quelles adresses IP ou quels hôtes sont autorisés à émettre du courrier avec son domaine dans le MAIL FROM d'enveloppe. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie SPF (Sender Policy Framework) ?
Mécanisme d'authentification d'e-mail du RFC 7208 permettant à un domaine de publier dans le DNS quelles adresses IP ou quels hôtes sont autorisés à émettre du courrier avec son domaine dans le MAIL FROM d'enveloppe.
Comment fonctionne SPF (Sender Policy Framework) ?
Le Sender Policy Framework (SPF), spécifié par le RFC 7208, permet au titulaire d'un domaine de publier un enregistrement TXT (par ex. v=spf1 ip4:192.0.2.0/24 include:_spf.example.net -all) listant les expéditeurs autorisés. Les MTA récepteurs comparent le domaine du MAIL FROM (return-path) à cette politique et produisent un résultat (pass, fail, softfail, neutral, temperror). SPF n'authentifie que l'enveloppe, pas le champ From: visible par l'utilisateur, donc il n'arrête pas seul l'usurpation du nom affiché. Il est l'un des trois piliers de DMARC avec DKIM. Il faut respecter la limite de dix lookups DNS, choisir les bons qualifieurs et préférer -all (échec dur) à ~all pour une vraie application.
Comment se défendre contre SPF (Sender Policy Framework) ?
Les défenses contre SPF (Sender Policy Framework) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de SPF (Sender Policy Framework) ?
Noms alternatifs courants : Sender Policy Framework.
● Termes liés
- network-security№ 333
DMARC
Standard d'authentification d'e-mail défini par le RFC 7489 qui permet au propriétaire d'un domaine de publier une politique indiquant aux récepteurs que faire des messages échouant SPF/DKIM et l'alignement.
- network-security№ 330
DKIM
Standard d'authentification d'e-mail (RFC 6376) permettant à un domaine expéditeur d'apposer une signature cryptographique aux messages sortants, pour que les destinataires vérifient que l'en-tête et le corps n'ont pas été altérés.
- attacks№ 375
Usurpation d'e-mail
Falsification des en-têtes d'un e-mail pour qu'il semble provenir d'un expéditeur de confiance, généralement à des fins de phishing, fraude ou diffusion de malware.
- attacks№ 135
Compromission de messagerie d'entreprise
Fraude ciblée où un attaquant usurpe ou prend le contrôle d'une boîte mail d'entreprise pour pousser un employé à virer de l'argent, modifier des coordonnées bancaires ou exfiltrer des données.
- network-security№ 984
Passerelle de messagerie sécurisée
Service périmétrique ou cloud filtrant le courrier entrant et sortant à la recherche de spam, phishing, malware, fuites de données et violations de politique avant arrivée dans les boîtes.
- network-security№ 095
BIMI
Standard de messagerie qui permet d'afficher un logo de marque vérifié à côté des messages authentifiés dans les clients compatibles, à condition que le domaine applique une politique DMARC en quarantine ou reject.