Qu’est-ce que le Sender Policy Framework (SPF) ?

8 décembre 2025

Le Sender Policy Framework (SPF) est une norme d'authentification des e-mails qui contribue à prévenir l'usurpation d'identité par e-mail.

Qu'est-ce que le cadre de politique de l'expéditeur ?

Qu’est-ce que le cadre de politique de l’expéditeur ?

Le cadre de politique d'expéditeur est un e-mail protocoles d'authentification protocole qui utilise Enregistrements DNS pour indiquer lequel E-mail servers sont autorisés à envoyer des courriels pour un objectif spécifique domaineLe propriétaire du domaine publie un enregistrement SPF dans le répertoire du domaine. DNS zone sous forme d'entrée TXT spécialement formatée. Cet enregistrement répertorie les zones autorisées adresses IP ou les noms d'hôtes et comprend des règles concernant la réception du courrier électronique servers Il convient d'évaluer les messages qui prétendent provenir de ce domaine.

Lorsqu'un courriel est reçu, le courrier du destinataire server vérifie le domaine de l'expéditeur de l'enveloppe dans le SMTP Il analyse la transaction et recherche son enregistrement SPF dans le DNS. Il compare ensuite l'envoi serverL'adresse IP est transmise aux sources autorisées définies dans cet enregistrement et renvoie un résultat tel que « réussite », « échec », « échec temporaire » ou « neutre ». En fonction de ce résultat, le système de réception accepte, signale ou rejette le message.

En vérifiant que les courriels proviennent d'une infrastructure légitime, SPF contribue à prévenir l'usurpation de domaine et favorise une plus grande précision. le spam le filtrage, et renforce la sécurité globale du courrier électronique lorsqu'il est utilisé conjointement avec d'autres mécanismes comme DKIM et DMARC.

Comment fonctionne le Sender Policy Framework ?

Le cadre de politique de l'expéditeur permet la réception du courrier servers pour vérifier si un courriel a été envoyé depuis un server L'autorisation est accordée par le propriétaire du domaine. Elle repose sur les enregistrements DNS et les vérifications effectuées lors de l'établissement de la liaison SMTP, avant que le message ne soit définitivement accepté. Voici comment se déroule le processus étape par étape :

  1. Le propriétaire du domaine publie un enregistrement SPFLe processus commence lorsque le propriétaire du domaine crée une politique SPF et la publie en tant qu'enregistrement TXT dans le DNS. Cet enregistrement répertorie les adresses IP ou les noms d'hôte des serveurs de messagerie. servers qui sont autorisés à envoyer des courriels pour ce domaine. Cette étape établit la « source de référence » officielle pour les expéditeurs légitimes.
  2. Courrier de l'expéditeur server se connecte au destinataire serverLorsqu'une personne envoie un courriel, le courrier expéditeur server ouvre une connexion SMTP au courrier du destinataire serverLors de cette première poignée de main, l'expéditeur server présente le domaine de l'expéditeur de l'enveloppe (le domaine de la commande MAIL FROM). C'est cette information que le destinataire utilise pour déterminer quel enregistrement SPF consulter.
  3. Destinataire server recherche l'enregistrement SPF dans le DNSLa réception server Le système extrait le domaine de l'expéditeur et effectue une requête DNS pour récupérer son enregistrement SPF. Cette recherche permet de récupérer l'entrée TXT publiée contenant la politique SPF. Le destinataire dispose alors de toutes les règles nécessaires pour évaluer l'expéditeur.
  4. La politique SPF est évaluée par rapport à l'adresse IP de l'expéditeur.Le destinataire server compare l'adresse IP du courrier expéditeur server à la liste des adresses IP, noms d'hôtes ou mécanismes autorisés définis dans l'enregistrement SPF. Il traite l'enregistrement de gauche à droite, en vérifiant des mécanismes tels que ip4, ip6, a, mx ou include. Cette évaluation détermine si l'expéditeur correspond à une source autorisée.
  5. Un résultat SPF est généréSur la base de l'évaluation, le récepteur server Le test SPF produit un résultat tel que « pass », « fail », « softfail », « neutral », « temperror » ou « permerror ». Un résultat « pass » indique que l’expéditeur est autorisé, tandis qu’un résultat « fail » signifie que l’expéditeur n’est pas autorisé. Les autres résultats indiquent des conditions incertaines ou temporaires.
  6. Le destinataire applique les politiques de messagerie localesLe système de messagerie utilise ensuite le résultat SPF pour décider du traitement du message. Il peut l'accepter, le placer dans le dossier spam, ajouter un en-tête d'avertissement ou le rejeter d'emblée si le résultat est « échec » et que la politique locale est stricte. Cette étape transforme l'évaluation SPF en une action concrète permettant de bloquer les courriels frauduleux ou suspects.
  7. Le résultat SPF est enregistré pour les contrôles ultérieurs.Enfin, le résultat SPF est généralement ajouté aux en-têtes de l'e-mail afin que les filtres en aval, les passerelles de sécurité et le fournisseur de messagerie de l'utilisateur puissent voir comment s'est déroulée la vérification SPF. Ces informations peuvent être combinées avec d'autres signaux, tels que les résultats DKIM et DMARC, pour un filtrage anti-spam plus précis. phishing les décisions.

Qu'est-ce qu'un exemple de cadre d'envoi de politiques ?

exemple de SPF

Un exemple de cadre de politique d'expéditeur est un simple enregistrement SPF publié pour un domaine qui utilise des adresses e-mail spécifiques. servers pour envoyer des e-mails. Par exemple, supposons le domaine example.com n'envoie des courriels que depuis deux adresses IPv4 et depuis son propre serveur MX. serversLe propriétaire du domaine ajouterait cet enregistrement TXT dans le DNS :

v=spf1 ip4:203.0.113.10 ip4:203.0.113.20 mx ~all

Dans cet exemple, v=spf1 déclare la version SPF, ip4:203.0.113.10 et ip4:203.0.113.20 autorisent ces adresses IP comme expéditeurs valides, mx autorise tout server répertorié comme un record MX pour example.comet ~all signale toutes les autres sources comme non autorisées (échec temporaire). Lorsqu'un courrier d'un destinataire server reçoit un courriel prétendant provenir de example.comIl vérifie cet enregistrement SPF et contrôle si l'adresse IP d'envoi correspond à l'une des entrées autorisées avant de décider d'accepter, de signaler ou de rejeter le message.

Qui devrait utiliser le Sender Policy Framework ?

Le cadre de politique d'expéditeur (SPF) est utile à toute organisation qui envoie des e-mails depuis son propre domaine et souhaite protéger sa réputation et ses utilisateurs contre l'usurpation d'identité. Il est particulièrement important lorsque plusieurs services envoient des e-mails au nom du même domaine (par exemple, les plateformes marketing, les systèmes de billetterie, les outils CRM). Voyons qui bénéficie du SPF :

  • Entreprises de toutes taillesToute entreprise envoyant des courriels transactionnels ou marketing devrait utiliser le protocole SPF pour empêcher les pirates d'usurper son domaine. Cela permet de protéger les factures, les courriels de réinitialisation de mot de passe et les notifications contre l'usurpation d'identité et réduit le risque que les clients reçoivent des messages d'hameçonnage semblant provenir de l'entreprise.
  • Fournisseurs de services en ligne et de SaaS. Applications Web, SaaS Les plateformes et les places de marché en ligne dépendent fortement des e-mails automatisés tels que les confirmations de compte, les alertes et les reçus. La mise en œuvre du protocole SPF augmente les chances que ces messages passent les filtres anti-spam et atteignent la boîte de réception des utilisateurs, tout en compliquant la tâche des pirates informatiques qui tentent d'usurper l'identité de la marque dans le cadre de campagnes d'hameçonnage.
  • fournisseurs de services de messagerie et plateformes marketingLes fournisseurs de services de messagerie (ESP) et les plateformes d'envoi d'emails en masse qui envoient des emails pour le compte de leurs clients doivent avoir un enregistrement SPF correctement configuré (souvent via des domaines d'envoi personnalisés ou des inclusions) pour garantir une bonne délivrabilité. Un alignement SPF correct indique que les emails reçus sont bien reçus. servers que la plateforme est un expéditeur autorisé, ce qui améliore le placement en boîte de réception de toutes les campagnes.
  • Organisations ayant plusieurs expéditeurs tiersLes organisations qui utilisent plusieurs systèmes externes pour l'envoi d'e-mails (CRM, assistance technique, outils RH, systèmes de surveillance, etc.) tirent profit de l'utilisation du SPF comme politique centralisée. En répertoriant toutes les sources autorisées dans un seul enregistrement, elles conservent le contrôle sur les personnes pouvant envoyer des e-mails depuis leur domaine et peuvent révoquer rapidement un accès en mettant à jour l'entrée SPF.
  • Secteur public, financier et marques à forte confianceLes agences gouvernementales, les banques, les établissements de santé et autres entités de confiance sont fréquemment la cible d'attaques de phishing. Le protocole SPF, associé à DKIM et DMARC, renforce considérablement la sécurité des attaquants qui tentent d'usurper ces domaines et contribue à protéger les citoyens, les clients et les patients contre les messages frauduleux.

Comment configurer le Sender Policy Framework ?

La mise en place d'un cadre de politique d'expéditeur implique la publication d'un enregistrement DNS qui indique au monde entier quel expéditeur envoyer des e-mails servers sont autorisés à envoyer des courriels pour votre domaine. La procédure est simple, mais doit être effectuée avec soin afin de garantir que tous les expéditeurs légitimes soient inclus :

  1. Identifiez tout servers et les services qui envoient des e-mails pour votre domaineCommencez par lister tous les systèmes qui envoient des courriels en utilisant votre nom de domaine : votre messagerie principale server, outils marketing, systèmes CRM, cloud services ou plateformes d'assistance. Cela vous évite de bloquer accidentellement des messages légitimes.
  2. Générez une politique SPF avec l'autorisation serversCréez une règle SPF incluant toutes vos sources d'envoi. Vous pouvez les spécifier par adresse IP, nom de domaine ou inclure les enregistrements de fournisseurs tiers. La règle SPF commencera par v=spf1 et se terminera par un qualificateur tel que -all ou ~all pour définir le traitement des expéditeurs non autorisés.
  3. Ajoutez l'enregistrement SPF à votre Paramètres DNSConnectez-vous au portail de gestion de votre fournisseur DNS et créez un nouvel enregistrement TXT pour votre domaine. Collez la règle SPF que vous avez générée, par exemple :
    v=spf1 mx inclure:mailprovider.com -tous
    La publication de ce document rend votre politique publiquement visible aux destinataires du courrier.
  4. Attendre Propagation DNSLa mise à jour de l'enregistrement DNS peut prendre de quelques minutes à plusieurs heures pour se propager dans le monde entier. Pendant ce temps, certains courriels peuvent ne pas être envoyés. servers peut encore s'appuyer sur l'ancienne configuration.
  5. Tester et valider la configuration SPFUtilisez des outils de validation SPF en ligne ou votre plateforme de sécurité de messagerie pour vérifier que l'enregistrement est correctement publié et couvre tous les expéditeurs autorisés. Les tests garantissent que les messages légitimes réussissent la vérification SPF et que les messages frauduleux sont rejetés ou signalés.
  6. Maintenir et mettre à jour en cas de changement d'expéditeurLorsque vous ajoutez ou supprimez des services de messagerie, mettez à jour votre enregistrement SPF en conséquence. Une maintenance régulière garantit une protection continue et une délivrabilité optimale de vos e-mails.

Avantages et limites de la protection solaire

Le protocole SPF (Sender Policy Framework) offre des avantages indéniables en matière de sécurité et de délivrabilité des e-mails, mais ne constitue pas une solution complète à lui seul. Comprendre ses atouts et ses limites permet aux propriétaires de domaines de déployer efficacement le SPF, d'éviter les erreurs de configuration qui bloquent les e-mails légitimes et de déterminer quand l'associer à d'autres technologies comme DKIM et DMARC pour une protection renforcée.

Quels sont les avantages du cadre de politique d'expéditeur ?

Le SPF améliore la sécurité des e-mails en compliquant la tâche des attaquants qui tentent d'usurper votre domaine et en renforçant la réception des messages. servers Des signaux plus clairs permettent d'identifier les messages légitimes. Ses avantages sont optimaux lorsque le protocole SPF est correctement configuré et maintenu à jour.

  • Réduit l'usurpation d'adresse électronique et l'abus de domaineEn listant explicitement lesquels servers Vous pouvez envoyer des courriels pour votre domaine, mais le protocole SPF permet de bloquer les courriels provenant d'adresses IP non autorisées. Cela réduit les tentatives d'usurpation d'identité réussies, où les attaquants se font passer pour des utilisateurs de votre domaine.
  • Protège la réputation de la marque et la confiance des utilisateursLorsque moins d'e-mails frauduleux semblent provenir de votre domaine, les destinataires sont moins susceptibles d'associer votre marque à l'hameçonnage ou au spam. Cette protection contribue à maintenir la confiance dans les messages importants tels que les factures, les alertes et les e-mails de réinitialisation de mot de passe.
  • Améliore le filtrage des spams et des tentatives d'hameçonnageLes résultats SPF indiquent la réception du courrier servers Un signal fort qu'ils peuvent utiliser dans leurs filtres anti-spam. Les messages qui réussissent le test SPF ont plus de chances d'être considérés comme légitimes, tandis que ceux qui échouent peuvent être signalés ou rejetés, renforçant ainsi les défenses anti-spam globales.
  • Favorise une meilleure délivrabilité des e-mailsDes enregistrements SPF corrects facilitent la réception des e-mails légitimes dans les boîtes de réception plutôt que dans les dossiers de courriers indésirables. De nombreux fournisseurs vérifient le SPF dans le cadre de leur processus d'authentification ; une configuration valide améliore donc la délivrabilité des newsletters, des e-mails transactionnels et des notifications.
  • Contrôle centralisé des expéditeurs autorisésLe protocole SPF centralise la configuration DNS et permet de spécifier tous les systèmes autorisés à envoyer des requêtes au nom de votre domaine. Ce contrôle centralisé simplifie la gestion, notamment lorsque vous utilisez plusieurs services tiers, et vous permet de révoquer un accès en modifiant un seul enregistrement.
  • Fonctionne parfaitement avec DKIM et DMARCLe protocole SPF est conçu pour compléter les autres méthodes d'authentification, et non pour les remplacer. Combiné à DKIM et appliqué via DMARC, il contribue à une défense multicouche qui rend le phishing et l'usurpation de domaine considérablement plus difficiles.

Quelles sont les limites du cadre de politique de l'expéditeur ?

Le SPF est précieux, mais présente des limitations importantes que les propriétaires de domaines doivent comprendre. À lui seul, il ne peut empêcher totalement le phishing ou l'usurpation d'identité et doit être géré avec soin pour éviter de bloquer les messages légitimes. Voici les principales limitations :

  • Ne protège pas l'adresse « De » visible par elle-mêmeLe protocole SPF valide l'expéditeur de l'enveloppe utilisée au niveau SMTP, et non nécessairement l'adresse affichée dans le champ « De » par l'utilisateur. Les attaquants peuvent associer un domaine validé par SPF à une adresse visible différente et trompeuse ; par conséquent, le protocole SPF seul ne peut pas bloquer toutes les tentatives d'hameçonnage.
  • Se casse facilement avec le transfert d'emailsLorsqu'un courriel est transféré, le transfert serverL'adresse IP de l'expéditeur n'est généralement pas enregistrée dans l'enregistrement SPF de l'expéditeur initial. Par conséquent, les vérifications SPF chez le destinataire final peuvent échouer même si le message est légitime. Cela rend le SPF moins fiable dans les environnements où les transferts de messages sont fréquents ou les listes de diffusion sont nombreuses.
  • Limitations de la recherche DNS et de la longueur des enregistrementsL'évaluation de l'indice SPF est limitée à 10 Recherches DNSLes enregistrements trop complexes peuvent atteindre cette limite ou devenir difficiles à gérer. Les chaînes d'inclusion longues ou imbriquées, les nombreuses plages d'adresses IP et les modifications fréquentes augmentent le risque de mauvaise configuration, entraînant des erreurs temporaires ou des résultats incorrects.
  • Aucune protection du contenu ou de l'intégrité des messagesLe protocole SPF valide uniquement l'adresse IP d'envoi par rapport au domaine déclaré. Il ne signe ni ne protège le corps ou les en-têtes du courriel. Un attaquant utilisant un compte autorisé server, un compte compromis ou un relais ouvert pourraient toujours envoyer du contenu malveillant qui passe le test SPF.
  • Nécessite une maintenance continue en raison des changements d'émetteursChaque fois que vous ajoutez, modifiez ou supprimez des fournisseurs de messagerie et des infrastructures d'envoi, votre enregistrement SPF doit être mis à jour. Si cette maintenance est négligée, les courriels légitimes provenant de nouveaux services risquent d'échouer aux vérifications SPF et d'être classés comme spam ou rejetés.
  • Valeur limitée sans DKIM et DMARCÀ lui seul, SPF n'offre qu'une authentification partielle. Sans DKIM pour vérifier le contenu et DMARC pour spécifier la gestion des échecs et aligner les adresses visibles, sa capacité à bloquer les campagnes d'hameçonnage sophistiquées est limitée. Il est plus efficace lorsqu'il est intégré à une stratégie d'authentification des courriels plus globale.

FAQ sur le cadre de politique de l'expéditeur

Voici les réponses aux questions les plus fréquemment posées concernant le cadre de politique d'envoi.

Pourquoi mon courrier a-t-il été rejeté par SPF ?

Si votre courrier a été rejeté en raison du SPF, cela signifie que le courrier de réception server Il a été déterminé que l'adresse IP ou le service d'envoi du message n'était pas autorisé dans l'enregistrement SPF de votre domaine. Cela se produit souvent lorsqu'un nouveau service de messagerie n'est pas ajouté à l'enregistrement SPF, lorsqu'un transfert invalide la validation SPF ou lorsque la politique se termine par un qualificateur strict tel que « -all » qui indique aux destinataires de rejeter les expéditeurs non autorisés. La mise à jour de votre enregistrement SPF afin d'y inclure tous les systèmes d'envoi légitimes et la vérification de sa configuration résolvent généralement le problème.

Le SPF bloque-t-il tout le phishing ?

Non, le SPF n'empêche pas toutes les tentatives d'hameçonnage. Il contribue cependant à empêcher les attaquants d'envoyer des courriels semblant provenir de votre domaine en bloquant les courriers non autorisés. serversLe protocole SPF vérifie uniquement l'expéditeur de l'enveloppe et ne protège ni l'adresse « De » visible ni le contenu du message. Les attaquants peuvent toujours utiliser des domaines similaires, des comptes compromis ou des noms d'affichage trompeurs pour mener des attaques d'hameçonnage. Pour une protection renforcée, il est recommandé de combiner SPF avec DKIM et DMARC afin d'assurer la cohérence et la détection des attaques, tant au niveau de l'identité de l'expéditeur que de l'intégrité du message.

Quelle est la différence entre SPF, DKIM et DMARC ?

Voici un tableau comparatif clair et concis qui explique la différence entre SPF, DKIM et DMARC :

FonctionnalitéSPFDKIMDMARC
Objectif principalVérifie si le courrier d'envoi server est autorisé à envoyer des courriels pour ce domaine.Vérifie l'intégrité du contenu du courriel grâce à une signature cryptographique.Assure l'alignement entre SPF/DKIM et l'adresse « From » visible et indique aux destinataires comment gérer les échecs.
FonctionnementVérifie l'adresse IP de l'expéditeur par rapport à l'enregistrement DNS SPF du domaine.Vérifie la signature numérique dans l'en-tête de l'e-mail par rapport à un Clé publique dans le DNS.Évalue les résultats SPF et/ou DKIM et applique la politique du domaine (aucune, quarantaine, rejet).
Protège contreUsurpation d'adresse de l'expéditeur.Altération du contenu des courriels et falsification de l'identité de l'expéditeur.Lutter contre l'usurpation d'identité et le phishing en imposant l'alignement et en signalant les échecs d'authentification.
Ce qu'il garantitDomaine de l'expéditeur de l'enveloppe SMTP.En-têtes et intégrité du corps du message.Authentification et contrôle des politiques du domaine « De » visibles.
Enregistrement DNS requisEnregistrement TXT avec envoi approuvé servers.Enregistrement TXT avec clé publique.Enregistrement TXT avec règles d'alignement et options de rapport.
Impact sur la délivrabilitéAméliore l'acceptation du courrier légitime s'il est valide.Améliore considérablement la confiance et le placement dans la boîte de réception.Offre un contrôle optimal, réduit l'usurpation d'identité et améliore globalement la réputation des e-mails.
Anastasie
Spasojevic
Anastazija est une rédactrice de contenu expérimentée avec des connaissances et une passion pour cloud l'informatique, les technologies de l'information et la sécurité en ligne. À phoenixNAP, elle se concentre sur la réponse à des questions brûlantes concernant la garantie de la robustesse et de la sécurité des données pour tous les acteurs du paysage numérique.