Tout ce que vous devez savoir sur le protocole SPF

Qu’est-ce que le protocole SPF ?

SPF (pour Sender Policy Framework) est un protocole d’authentification, comme DKIM ou DMARC. Il permet aux serveurs de réception des emails que vous envoyez de vous identifier comme expéditeur légitime, et donc de limiter l’envoi global de spam dans le monde. Surtout, ce processus d’authentification limite les risques de phishing (ou hameçonnage, en bon français), puisque SPF associe votre nom de domaine d’envoi à des adresses IP spécifiques, rendant l’usurpation d’identité beaucoup plus compliquée.

Le protocole SPF est donc un outil essentiel pour toute équipe de marketing sérieuse qui utilise l’email comme canal de communication. Après tout, vous voulez que vos courriels soient acceptés par les boîtes de réception vers lesquelles vous envoyez.

Mais SPF est bien plus que ça et répond d’abord à un besoin concret : celui d’échanges plus sûrs sur Internet.

La genèse de SPF

Remettons-nous en contexte : nous sommes au début des années 2000. Les foyers s’équipent de plus en plus en informatique, le haut débit se démocratise, les plateformes d’e-commerce émergent, et les utilisateurs découvrent le merveilleux monde du World Wide Web et des achats en ligne sans trop se soucier des questions de sécurité. C'est une époque où la régulation est encore très souple (peut-être vous souvenez-vous du ver informatique ILOVEYOU, pour lequel l’auteur n’a pas été condamné faute de législation condamnant la cybercriminalité dans son pays d’origine...). Il n’en fallait pas plus pour que des personnes mal attentionnées s’engouffrent dans cette brèche et envoient à tout va spams et tentatives de phishing.

Les acteurs et actrices de l’emailing ont réagi en progressivement, dès 2000, en suggérant des idées de processus d’identification de l’expéditeur, inclus dans l’email envoyé. Ces idées émergent parfois à la suite d’échanges, d’autres fois spontanément et indépendamment. Parmi les développeurs et développeuses qui ont permis la naissance de SPF, nous pouvons ainsi compter sur Paul Vixie, Dana Valerie Reese, Hadmudt Danish et Gordon Fecyk. Aujourd’hui, SPF est enregistré dans la RFC 7208.

Pourquoi SPF est si important ?

SPF autorise un ou plusieurs expéditeurs, identifiés par des adresses IP autorisées, à envoyer des emails depuis un nom de domaine ou sous-domaine donné. Non seulement ce protocole facilite la tâche des serveurs de réception, puisqu’ils savent qui peut envoyer des emails.

Mais en plus, comme l’enregistrement SPF intègre les adresses IP autorisées à envoyer des emails depuis un nom de domaine donné, il limite les possibilités de phishing. Il indique que vous possédez bien le nom de domaine à partir duquel vous envoyez. Si une adresse IP de votre domaine d’envoi n’est pas listée dans l’entrée SPF de votre domaine, cette IP sera considérée comme illégitime par le serveur de destination.

C’est aussi pour cette raison que l’utilisation d’adresses fournies par les webmails grand public comme Gmail, Microsoft Outlook ou Yahoo Mail pour effectuer des envois de masse est plus que déconseillé. Non seulement ils limitent ce type d’envois, mais en plus, de votre côté, vous ne pourrez pas prouver que vous possédez bien ces noms de domaine (à moins, bien évidemment, que vous ne possédiez Google).

Enfin, en signant vos emails avec le protocole SPF, vous montrez au monde de l’emailing votre volonté de bien faire : vous adoptez un comportement d’expéditeur légitime (ce que vous êtes, après tout). Cela ne peut qu’améliorer votre délivrabilité sur le long terme.

Comment fonctionne le protocole SPF ?

Mais concrètement, comment est-ce que SPF fonctionne ? Depuis le début de cet article, nous parlons d’enregistrements, d’identifications par des serveurs, de noms de domaines et d’adresses IP, sans trop préciser comment tout ceci s’agence. Rentrons donc dans le vif du sujet.

En tant que norme d’authentification, SPF repose sur l’échange d’informations entre le serveur d’expédition – celui que vous utilisez – et les serveurs de destination. Quand vous envoyez un email, votre destinataire (enfin, son serveur de messagerie en tout cas) peut lire votre adresse IP.

C’est là que l’enregistrement SPF associé à votre email entre en jeu. Il se présente sous la forme d’un enregistrement de type TXT contenant les adresses IP autorisées à envoyer des emails pour le domaine d’envoi donné ; généralement, il s’agit de l’URL du site de votre marque. Si l’adresse IP du serveur d’expédition de l’enregistrement TXT correspond à une des adresses inscrites dans l’enregistrement SPF, le serveur de réception considérera le message comme légitime. Dans le cas contraire, l’adresse IP d’envoi sera considérée comme illégitime, ce qui pourra entraîner un rejet de l’email, voire une mise en spam.

Les limites du protocole SPF

Si SPF est un outil très efficace, il n’en reste pas moins limité. Du fait de son grand âge – à l’échelle de l’histoire d’Internet évidemment – il n’a pas vraiment évolué, et les mauvais acteurs ont appris à le contourner.

Certains spammeurs ne se contentent donc désormais que d’usurper l’adresse contenue dans le champ « De : » présent dans l’en-tête, plutôt que de chercher à usurper le nom de domaine de l’expéditeur. Ils peuvent chercher à se faire passer pour quelqu'un d'autre avec une adresse du type « marketing[at]amazom[point]com », présentant un enregistrement SPF légitime aux serveurs de destinations (puisque contenant de « vraies » informations). Le lecteur inattentif pourra avoir l’impression de recevoir un email légitime d’une plateforme d’e-commerce bien connue et cliquer sur des liens nocifs.

En outre, SPF n’aura pas d’effet si votre email est transféré.

C’est pourquoi, pour contourner ces problèmes, nous vous recommandons chaudement d’associer votre enregistrement SPF à des enregistrements DKIM et DMARC, qui vous permettent de protéger toujours un peu plus votre identité d’expéditeur, et de garantir votre légitimité.

Enfin, bien évidemment, si la mise en place d’une signature SPF dans vos emails envoie un signal positif aux fournisseurs d’accès à Internet (FAI) et webmails, elle ne vous garantit pas une délivrabilité optimale. SPF n’est qu’un outil dans l’arsenal mis à votre disposition pour atteindre les boîtes de réception. Veillez donc à suivre les bonnes pratiques de l’emailing.

Implémenter le protocole SPF avec Mailjet

Évidemment, Mailjet vous permet de paramétrer les enregistrements SPF pour vos différents domaines. Sans reprendre l’intégralité de notre documentation très bien faite, voici les grandes étapes à suivre pour configurer SPF avec nos services.

Dans votre compte Mailjet, rendez-vous dans les Informations du compte, puis cliquez sur « Configuration de l’authentification SPF/DKIM ». En parallèle, ouvrez la page correspondant à votre domaine sur le site de votre hébergeur, pour trouver vos enregistrements DNS.

Cliquez sur le bouton « Gérer » correspondant au nom de domaine que vous voulez valider.

Dans la page suivante, vous trouverez les éléments à copier et coller dans la zone DNS de votre hébergeur.

Bravo, vous venez de créer un nouvel enregistrement SPF ! Vous devriez pouvoir suivre la progression de la validation de cet enregistrement depuis votre page Mailjet.

Notez que si vous configurez un nouveau domaine pour obtenir votre enregistrement SPF, nous vous encourageons chaudement à faire de même avec avec votre enregistrement DKIM. Après tout, les informations dont vous avez besoin du côté de Mailjet sont réunies sur la même page, et vos envois n’en seront que plus sécurisés.

SPF, une norme faite pour durer

Si SPF est une norme ancienne, elle a également fait ses preuves. Le fait qu’elle soit toujours largement utilisée aujourd’hui en est la preuve. Aussi, avant de commencer vos envois avec ce nouveau nom de domaine rutilant que vous venez de créer, ayez le bon réflexe, et paramétrez votre SPF.

Notez que SPF est loin d’être le seul protocole existant vous permettant d’effectuer des envois d’emails plus sûrs. Dans cet article, nous avons évoqué DKIM, mais sachez que vous pouvez compléter la sécurisation de votre stratégie d’emailing avec DMARC et BIMI. Nous avons compilé toutes les informations essentielles à propos de ces normes dans cet article.