Un e-mail en erreur est un message qui n'a pas pu atteindre son destinataire et qui a été renvoyé avec un message d'erreur de distribution. Un taux de rebond élevé nuit...
Vos e-mails atterrissent-ils constamment dans les spams ou sont-ils rejetés ? La présence de plusieurs enregistrements SPF sur votre domaine pourrait en être la cause. Malheureusement, malgré la fréquence de ce problème, les erreurs de configuration SPF sont difficiles à repérer si l'on ne sait pas où et quand chercher. Alors, qu'est-ce qu'un enregistrement SPF exactement ? Un enregistrement Sender Policy Framework (SPF) est un enregistrement TXT de votre système de noms de domaine (DNS) qui répertorie tous les serveurs autorisés à envoyer des e-mails au nom de votre domaine. Cependant, bien que le SPF soit conçu pour protéger votre domaine contre l'usurpation d'identité et les attaques de phishing, la présence de plusieurs enregistrements SPF aura un impact négatif. impacter la délivrabilité de vos e-mailsDans cet article, nous aborderons les raisons pour lesquelles la présence de plusieurs enregistrements SPF pose problème, comment les détecter et comment les résoudre afin de garantir que vos e-mails parviennent à destination.
Est-il acceptable d'avoir plusieurs enregistrements SPF ?
Il n'est pas acceptable d'avoir plusieurs enregistrements SPF. RFC 7208 Les directives standard SPF stipulent clairement qu'il ne doit y avoir qu'un seul enregistrement par domaine.
Lorsqu'un serveur de messagerie destinataire vérifie le DNS de votre domaine et trouve plusieurs enregistrements TXT commençant par « v=spf1 » (l'identifiant de l'enregistrement SPF), il ne saura pas lequel privilégier. Par conséquent, tous les e-mails envoyés depuis ou pour le compte de votre domaine généreront une erreur permanente (PermError) d'authentification SPF. Cet échec de validation entraînera la suspension de votre compte. courriels à renvoyer ou être signalés comme spam, même s'ils sont légitimes. Heureusement, vous pouvez fusionner les différents enregistrements en un seul enregistrement complet incluant tous les expéditeurs autorisés. Mais avant d'aborder la correction de vos configurations d'enregistrements SPF multiples, voyons comment vérifier la présence de plusieurs enregistrements SPF.
Comment vérifier la présence de plusieurs enregistrements SPF ?
Pour éviter le problèmes de délivrabilité des e-mails Il est important de vérifier si votre domaine possède plusieurs enregistrements SPF, car certains sont mal configurés. Voici trois méthodes fiables pour effectuer cette vérification.
Utilisez les vérificateurs de dossiers SPF en ligne
L'utilisation d'outils de validation SPF est l'un des moyens les plus rapides et les plus simples de vérifier plusieurs enregistrements SPF. Voici quelques outils de vérification d'enregistrements SPF fiables :
- Vérification SPF de MXToolbox
- Vérificateur SPF EasyDMARC
- Vérification des enregistrements SPF de l'analyseur DMARC
- Vérificateur de dossiers SPF DMARCLY
- Outil de test des enregistrements SPF de Kitterman
Pour la plupart de ces outils en ligne, il suffit de saisir un seul nom de domaine dans le champ prévu à cet effet sur le site web de l'outil et de cliquer sur le bouton d'action pour lancer la vérification de l'enregistrement SPF.
L'outil effectuera une recherche DNS pour les enregistrements TXT de votre domaine. Il analysera ensuite ces enregistrements afin de déterminer si l'un d'eux commence par l'identifiant d'enregistrement SPF v=spf1. La plupart des outils de vérification indiqueront explicitement s'ils ont trouvé plusieurs enregistrements SPF pour votre domaine. Par exemple, un outil peut afficher un message tel que « Plusieurs enregistrements SPF trouvés » ou lister chaque enregistrement SPF détecté séparément.
Vérifier manuellement les enregistrements DNS
Si vous avez accès à vos paramètres DNS via la plateforme de gestion DNS de votre registraire de domaine ou de votre hébergeur, vous pouvez identifier les enregistrements TXT associés à votre domaine. Recherchez les enregistrements commençant par v=spf1. Si vous voyez plusieurs enregistrements v=spf1, cela signifie que votre domaine comporte des doublons. Vous pouvez également vérifier si la présence de plusieurs enregistrements est due à différents fournisseurs de messagerie actifs ou à des configurations obsolètes. Cette vérification vous permettra de déterminer quels enregistrements doivent être supprimés et lesquels doivent être fusionnés en un seul enregistrement SPF valide.
Utiliser les outils de ligne de commande
Si vous êtes à l'aise avec l'informatique, vous pouvez effectuer une simple requête DNS à l'aide du terminal ou de l'invite de commandes. Utilisez `dig` (sous Linux et macOS) et `nslookup` (sous Windows).
- Pour creuser : creuser TXT votredomaine.com
- Pour nslookup : nslookup -type=TXT votredomaine.com
Une fois les instructions exécutées, vous obtiendrez la liste de tous les enregistrements SPF de votre domaine. Si plusieurs enregistrements SPF apparaissent, cela signifie qu'il existe des doublons qu'il convient de fusionner ou de supprimer afin de garantir la conformité aux normes SPF et la bonne distribution des e-mails. Effectuez régulièrement des vérifications SPF pour maintenir la conformité de vos enregistrements SPF à la norme RFC 7208. De plus, vérifiez systématiquement les enregistrements TXT DNS de votre domaine avant d'ajouter une nouvelle entrée SPF, assurez-vous que toutes les équipes ou administrateurs de messagerie gérant votre DNS respectent ces procédures afin d'éviter les doublons et tenez à jour une liste précise des expéditeurs autorisés. Plateforme IA Un outil comme Writer permet de générer en quelques minutes des guides internes clairs et conformes à la RFC 7208 concernant la configuration ou le dépannage des enregistrements SPF. Ces ressources contribueront grandement à garantir que tous les utilisateurs ayant accès à vos paramètres DNS partagent les mêmes connaissances.
Comment fusionner plusieurs enregistrements SPF ?
Vous avez donc confirmé la présence de plusieurs enregistrements SPF. Comment les fusionner en un seul ? Voyons comment fusionner les principaux mécanismes de vos entrées SPF en un seul enregistrement fonctionnel et conforme.
mécanismes « d’inclusion »
Le mécanisme « include » permet à votre enregistrement SPF d'autoriser des services tiers, comme les plateformes de marketing par e-mail, à envoyer des e-mails au nom de votre domaine. Par exemple, si vous utilisez Google Workspace pour envoyer des e-mails professionnels et GetResponse pour… mener des campagnes de newsletter par e-mail, vous pourriez initialement avoir deux enregistrements SPF distincts, comme : v=spf1 inclure : _spf.google.com ~ tous v=spf1 inclure:_spf.getresponse.com ~tous Mais comme vous ne pouvez pas avoir plusieurs enregistrements SPF ni simplement copier-coller un enregistrement TXT dans un autre, vous devrez tous les fusionner en un seul enregistrement, comme indiqué ci-dessous. v=spf1 include:_spf.google.com include:_spf.getresponse.com ~tous N'oubliez pas que chaque directive « include » est comptabilisée dans la limite de 10 requêtes DNS. Par conséquent, limitez le nombre de directives « include » que vous ajoutez.
mécanismes « ip4 » et « ip6 »
Les mécanismes « ip4 » et « ip6 » des enregistrements SPF permettent d’autoriser des adresses IP ou des plages d’adresses IP spécifiques à envoyer des e-mails au nom de votre domaine. Si votre domaine possède plusieurs enregistrements SPF, chacun peut spécifier une ou plusieurs adresses IP différentes à l’aide de « ip4 » ou « ip6 ». v=spf1 ip4:203.0.113.5 ~tous v=spf1 ip4:198.51.100.8 ip6:2001:db8::2 ~all Une fois la fusion effectuée correctement, l'enregistrement devrait ressembler à ceci : v=spf1 ip4:203.0.113.5 ip4:198.51.100.8 ip6:2001:db8::2 ~all Cet enregistrement SPF indique aux serveurs de messagerie que les courriels 203.0.113.5 et 198.51.100.8 (tous deux IPv4), et 2001:db8::2 (IPv6) sont légitimes.
mécanismes « a » et « mx »
Les mécanismes « a » et « mx » des enregistrements SPF permettent aux serveurs de messagerie d'authentifier les expéditeurs en fonction des configurations liées au domaine.
- Le mécanisme « a » indique aux serveurs de messagerie de faire confiance aux adresses IP associées à l'enregistrement A (IPv4) du domaine.
- Le mécanisme « mx » autorise les serveurs de messagerie spécifiés dans les enregistrements MX du domaine à envoyer des courriels en votre nom.
Voici un exemple d'enregistrement fusionné « a » et « mx ». v=spf1 a mx ip4:192.168.1.1 include:_spf.example.com -all Ces deux éléments n'apparaissent qu'une seule fois, au début de l'enregistrement. Assurez-vous que le mécanisme « a » corresponde à l'adresse IP de votre domaine actuel. De plus, si les enregistrements MX de votre domaine ne gèrent que la réception des e-mails (mais pas leur envoi), il est inutile d'inclure « mx ». Vous pouvez vous contenter des directives « include » listant les domaines expéditeurs autorisés.
Nouvelle mise en œuvre des enregistrements SPF
Une fois que vous avez fusionné avec succès plusieurs enregistrements SPF en un seul enregistrement valide, l'étape suivante consiste à l'implémenter correctement dans les paramètres DNS de votre domaine. Commencez par vous connecter à votre fournisseur d'hébergement DNS (GoDaddy, Cloudflare, DreamHost, Namecheap, etc.). Depuis le tableau de bord, accédez à la section de gestion DNS où vous pouvez consulter ou modifier les enregistrements DNS. S'il existe plusieurs entrées v=spf1, remplacez-les par la nouvelle version fusionnée, vérifiez la structure et enregistrez les modifications. S'il n'y a pas d'enregistrement SPF, créez un nouvel enregistrement TXT. Après avoir enregistré votre nouvel enregistrement SPF, vous devrez attendre la propagation DNS, ce qui peut prendre jusqu'à 48 heures selon votre fournisseur. Le processus de mise à jour de vos enregistrements DNS peut également varier selon le fournisseur d'hébergement DNS.
Meilleures pratiques pour la fusion de plusieurs enregistrements SPF
Voici deux des meilleures pratiques à suivre lors de la combinaison d'enregistrements SPF :
Maintien des limites de recherche DNS
Les enregistrements SPF sont limités à 10 requêtes DNS. Une requête DNS correspond au nombre de fois où le serveur de messagerie destinataire interroge des enregistrements DNS externes pour vérifier l'identité de l'expéditeur. Chaque directive « include », « a », « mx » ou tout autre mécanisme déclenchant une requête DNS est comptabilisé dans cette limite. Si la configuration SPF dépasse 10 requêtes, l'authentification SPF échoue et une erreur PermError est renvoyée. Pour que votre enregistrement combiné reste dans la limite de requêtes DNS :
- Limitez le nombre d’« inclusions ».
- Supprimez les services inutilisés ou obsolètes.
- Utilisez des outils comme MXToolbox ou Kitterman SPF validateur pour tester vos comptages de recherches.
Vous pouvez également choisir d'aplatir votre enregistrement SPF en listant directement toutes les adresses IP incluses dans les enregistrements actifs des services tiers, au lieu d'utiliser le mécanisme « include ». Cependant, cette option n'est recommandée que si vous disposez d'un système performant de surveillance et de mise à jour de la liste d'adresses IP dans votre enregistrement SPF.
Respect des limites de caractères dans les enregistrements SPF
Les enregistrements SPF sont limités à 255 caractères par chaîne. Cela signifie que chaque partie d'un enregistrement SPF ne peut pas dépasser 255 caractères. Si votre enregistrement SPF est plus long que 255 caractères, vous pouvez le scinder en plusieurs chaînes, comme indiqué ci-dessous. « v=spf1 ip4:203.0.113.5 include:_spf.service1.com » « include:_spf.service2.com -all » Les serveurs DNS combinent automatiquement ces chaînes de caractères distinctes en une seule lors de leur traitement. Cependant, certains serveurs de messagerie peuvent mal interpréter les enregistrements fractionnés ; c’est pourquoi il est recommandé de limiter au maximum la longueur des enregistrements SPF en évitant les entrées et mécanismes redondants.
Conclusion
Avoir plusieurs enregistrements SPF nuit à la délivrabilité de vos e-mails et à votre réputation d'expéditeur. Si certaines entrées peuvent être supprimées si elles sont inutiles, redondantes ou obsolètes, d'autres sont essentielles et la meilleure solution consiste à les fusionner en une seule. Pour que votre enregistrement SPF fusionné soit conforme à la norme RFC 7208, assurez-vous qu'il respecte les limites de résolution DNS et de longueur des chaînes de caractères. Effectuez également des vérifications SPF régulières et veillez à ce que toutes les équipes gérant vos paramètres DNS collaborent afin d'éviter les doublons.
