Comment fonctionne le champ SPF pour l’envoi de mail

Un champ SPF est un paramètre défini pour un nom de domaine (ici envoi.com par exemple) qui permettent d’autoriser une liste de machine à envoyer des mails en tant que @envoi.com. Ainsi que le comportement à adopter si la machine qui envoi n’est pas autorisée.

Pour information, voici comment ce compose la structure d’un champ SPF :

v=spf1 a mx ip4 :1.2.3.4 ~all

• v=spf1 : déclare qu’il s’agit d’un champ SPF
• a : signifie que l’on autorise le site web vers lequel pointe envoi.com à envoyer des mail
• mx : signifie que l’on autorise le serveur de réception des mails vers @envoi.com à envoyer à envoyer des mails
• ip4 :x.x.x.x : signifie que l’on autorise une machine ayant pour ip x.x.x.x à envoyer des mails
• ~all : Permet de définir comment réagir dans les cas ou la machine qui envoi le mail ne rentre pas dans les cas précédent.
  • +all : Autorise le mail sans avertissement (risque de sécurité important)
  • –all : Refuse le mail (sécurité maximal mais configuration rigoureuse)
  • ~all : Autorise le mail avec avertissement (sécurité moyenne)
  • ?all : Définit comme neutre (risque de sécurité et de refus par le serveur destinataire)

Lors de l’envoi d’un mail, la procédure de vérification pour savoir si celui-ci doit être considéré comme spam se déroule de cette manière.

1. L’expéditeur (contact@envoi.com) envoi un mail à un destinataire (contact@destinataire.com)
2. Une fois le mail envoyé, il va transité par le serveur d’envoi (ici « Serveur Mail Z-INDEX » ) ayant une IP spécifique (1.2.3.4)
3. Le serveur destinataire, à la réception du mail, va vérifier l’origine de ce dernier et notamment, si le serveur d’envoi 1.2.3.4 est bien autorisé à envoyer des mails en tant que @envoi.com. C’est ici que le SPF entre en jeu. Le serveur destinataire envoi donc une requête sur les DNS (paramètres du nom de domaine « envoi.com ») afin d’effectuer la vérification.
4. Si l’adresse IP 1.2.3.4 est autorisé dans le champ SPF, alors le mail est légitime et va directement en boite de réception, si ce n’est pas le cas, 3 solutions se présente.

• • Refus du mail, contact@envoi.com est alors averti que son envoi a été refusé ( –all )
  • Mail accepté avec avertissement (dossier SPAM) – ou rejeté en fonction de la configuration du serveur du destinataire ( ~all )
  • Mail accepté sans contrainte ( ?all ou +all )

Vous l’aurez compris, soit vous conservez un niveau de configuration simple ( ~all ) et une sécurité moyenne. Soit vous mettez en place une sécurité accrue ( –all ) et lister toutes les machines qui envoient des mails.

Exemple d’attaque commune avec ( ~all ), le spearphishing :

Cette attaque repose généralement sur une usurpation de l’identité de l’expéditeur, et procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblée.
Exemple : vous recevez un mail de votre propre adresse mail dans les SPAM disant que votre mail a été piraté. C’est évidemment faux et il s’agit juste de Social Engineering.

Pour vous protéger au maximum, nous pouvons également vous proposer la mise en place de l’outil MailInBlack, donc CarryWeb (Agence de Communication de Z-Index) est revendeur partenaire.

Cet outil permet de filtrer en amonts les SPAMs, mails suspects (phishing, spear phishing, etc.) ainsi que les mails contenant des virus. Vous posséderez donc une protection optimale contre tout type d’attaque.

Pour plus de détail, vous pouvez télécharger le fiche de présentation en cliquant ici