SMTP - Fonctionnement de SPF : Différence entre versions
De PedroWiki
(→Factorisation des entrées) |
|||
Ligne 67 : | Ligne 67 : | ||
Eviter des listes d'IP exhaustives dans les entrées SPF, privilégier un nom DNS configuré en round robin sur l'ensemble des IP concernées. | Eviter des listes d'IP exhaustives dans les entrées SPF, privilégier un nom DNS configuré en round robin sur l'ensemble des IP concernées. | ||
− | Ex: | + | <u>Ex:</u> |
Eviter | Eviter |
Version du 27 février 2020 à 08:55
Sommaire
Introduction
Cet article servira de bloc note et de recueil d'infos sur le fonctionnement de SPF: Sender Policy Framework).
SPF est une techno utilisée dans le cadre de la lutte anti spam, cette technologie est utilisée par les serveurs SMTP en réception pour vérifier l'authenticité d'un émetteur pour un domaine donné.
Liens utiles
Théorie
- Sender Policy Framework sur Wikipedia
- Infos théorique sur Altospam
- Infos sur le blog d'Oceanet Technology
Outils
Définition de SPF
- RFC de référence: RFC 72081 (section 3.1).
- Technique d'authentification de l'émetteur.
- Technologie définie par Microsoft.
- Se base sur le "MAIL FROM:" de l'enveloppe du message et non sur le "from:" des headers.
- Le paramétrage de SPF pour un domaine d'expédition se fait via l'ajout d'une entrée TXT dans la zone DNS du domaine concerné.
- Objectif de ce paramétrage:
- préciser la version de SPF utilisée.
- lister les serveurs de messagerie autorisés à émettre pour ce domaine.
- définir le comportement par défaut si l'IP émettrice n'est pas listée.
Limites du SPF
- les spammeurs peuvent forger eux même leurs entêtes.
- SPF identifie les IP émettrices légitimes, mais pas les adresses unitaires ni le contenu dans les messages.
- pose problème lors des transferts d'emails.
Paramètres des entrées SPF
Mécanismes
- ALL: "Tout le reste". Combiné avec les qualifieurs, permet de définir un comportement par défaut au delà de la configuration explicite décrite dans l'entrée SPF.
- A
- IP4
- IP6
- MX: désigne l'ensemble des serveurs désignés par l'entrée DNS "MX" d'un domaine (tous les MTA d'un domaine sont considérés comme légitimes).
- EXISTS
- INCLUDE
Qualifieurs
- +
- ?
- ~
- -
Modifieurs
- exp
- redirect
Bonnes pratiques
Les "bonnes pratiques" ci dessous sont une synthèse des précos trouvées sur le net.
Factorisation des entrées
Eviter des listes d'IP exhaustives dans les entrées SPF, privilégier un nom DNS configuré en round robin sur l'ensemble des IP concernées.
Ex:
Eviter
v=spf1 ip4:<ip1> ip4:<ip2> .... -all
Privilégier:
v=spf1 spf.mondomaine.tld -all
Avec:
spf.mondomaine.tld IN A <ip1> spf.mondomaine.tld IN A <ip2> ...