SPF (Sender Policy Framework) : Prévention de la contrefaçon d'adresses mails
Contents
1 Introduction
SPF est l'acronyme de Sender Policy Framework (Cadre de Politique d'Expéditeur). SPF vise à être une norme anti-contrefaçon pour prévenir la contrefaçon d'adresses de courriels.
SPF est né en 2003. Son créateur, Meng Weng Wong, a repris les meilleures fonctionnalités de Reverse MX et DMP (Designated Mailer Protocol ou Protocole Désigné de Courrier) pour faire naître SPF.
SPF utilise le chemin de retour (return-path ou MAIL FROM) présent dans l'en-tête de message, puisque tous les MTA travaillent avec ces champs. Cependant, il y a une nouvelle notion, proposée par Microsoft : le PRA, qui signifie Purported Responsible Address (Adresse Prétendue Responsable). Le PRA correspond à l'adresse de l'utilisateur final qu'un MUA (comme Thunderbird) utilise.
Ainsi, quand nous mettons ensemble le SPF et le PRA, nous pouvons obenir le prétendu Sender ID qui permet, à un utilisateur recevant un courriel, d'effectuer les vérifications des champs MAIL FROM (vérification SPF) et PRA. D'une certaine manière, il est dit que les MTA vont vérifier le champ MAIL FROM et que les MUA vont vérifier le champ PRA.
Pour le moment, SPF a besoin du DNS pour fonctionner correctement. Cela signifie que les enregistrements « reverse MX » doivent être publiés. Ces enregistrements spécifient quelles machines envoient un courriel pour un domaine donné. C'est différent des enregistrements MX, utilisés de nos jours, qui spécifient les machines qui reçoivent un courriel pour un domaine donné.
2 De quoi a besoin SPF pour fonctionner ?
Pour protéger votre système avec SPF, vous devez :
- Configurer votre DNS pour ajouter l'enregistrement TXT où sont introduites les informations que SPF requiert.
- Configurer votre système de courriel (qmail, sendmail) pour utiliser SPF ; cela signifie d'effectuer la vérification sur chaque message reçu sur votre serveur.
La première étape sera accomplie sur le serveur DNS où le domaine se trouve. Dans la section suivante, nous allons discuter les détails des enregistrements. Une chose que vous devez garder à l'esprit est la syntaxe que votre serveur DNS utilise (bind ou djbdns). Mais ne soyez pas effrayés : le site officiel de SPF fournit une aide excellente qui vous instruira.
3 L'enregistrement TXT de SPF
L'enregistrement SPF est contenu dans un enregistrement TXT et son format est le suivant :
v=spf1 [[pre] type [ext] ] ... [mod]
La signification de chaque paramètre est la suivante :
Paramètres | Descriptions | ||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
v=spf1 | Version de SPF. Lorsque vous utilisez SenderID, vous pourriez voir v=spf2 | ||||||||||||||||
pre | Définit un code de retour lorsqu'une correspondance survient. Les valeurs possibles sont :
| ||||||||||||||||
type | Définit le type à utiliser pour les vérifications Les valeurs possibles sont :
| ||||||||||||||||
ext | Définit une extension en option au type. S'il est omis, alors un seul enregistrement est utilisé pour l'interrogation. | ||||||||||||||||
mod | C'est la dernière directive de type et elle agit comme modificateur d'enregistrement.
|
4 Dans le cas où je suis un FAI
Les FAI auront quelques « problèmes » avec leurs utilisateurs itinérants s'ils utilisent des mécanismes comme POP-before-Relay à la place de SASL SMTP.
Bien, si vous êtes un FAI inquiet du spam et des contrefaçons, vous devez considérer votre politique à propos des courriels et commencer à utiliser SPF.
Voici quelques étapes que vous devriez considérer :
- Tout d'abord, configurez votre MTA pour utiliser SASL ; par exemple, vous pouvez l'activer sur les ports 25 et 587.
- Avertissez vos utilisateurs sur la politique que vous êtes en train d'implémenter (le spf.pobox.com vous fournit un exemple, voyez les références).
- Donnez à vos utilisateurs une période de grâce ; cela signifie que vous allez publier vos enregistrements SPF dans le DNS mais avec un échec mou (softfail) (~all) à la place d'un échec (-all) aux tests.
Et, avec cela, vous protégez vos serveurs, vos clients et le monde contre le spam...
Il y a beaucoup d'informations pour vous sur le site officiel de SPF... Qu'est-ce que vous attendez ?
5 Quelles sont les choses auxquelles il faut faire attention ?
SPF est une solution parfaite pour vous protéger contre la fraude. Elle a cependant une limitation : le suivi (forwarding) traditionnel de courriel ne fonctionnera plus. Vous ne pouvez pas simplement recevoir un courriel dans votre MTA et le renvoyer. Vous devez réécrire l'adresse de l'expéditeur. Des correctifs pour les MTA répandus sont fournis sur le site de SPF. En d'autres mots, si vous commencez à publier des enregistrements SPF dans le DNS, vous devriez également mettre à jour votre MTA pour qu'il réécrive les adresses d'expéditeur, même si vous ne vérifiez pas encore les enregistrements SPF.
6 Conclusion
Vous pourriez penser que l'implémentation de SPF pourrait être quelque peu confuse. Et bien, en effet, ce n'est pas compliqué et, en passant, vous avez une aide géniale qui vous aide à accomplir votre mission (voyez la section des références).
Si vous êtes préoccupés à propos du spam, alors SPF vous aidera en protégeant votre domaine de contrefaçons et tout ce que vous avez à faire est ajouter une ligne de texte dans votre serveur DNS et configurer votre serveur de courrier électronique.
Les avantages que SPF apporte sont géants. Cependant, comme je l'ai dit à quelqu'un, ce n'est pas une aussi grande différence qu'entre le jour et la nuit. Les bénéfices de SPF viendront avec le temps, lorsque les autres y adhéreront.
J'ai fait référence au Sender ID et sa relation à SPF, mais je ne me suis pas étendu en explications à ce sujet. Vous en connaissez déjà probablement la raison : la politique de Microsoft est toujours la même, à savoir le brevetage de logiciels. Dans les références, vous pouvez voir la position d'openspf.org sur SenderID.
Dans un prochain article, nous parlerons de la configuration de MTA. A plus tard !
J'espère vous avoir donné une courte introduction à SPF. Si vous souhaitez en apprendre plus à ce sujet, utilisez simplement les références qui ont été utilisées pour écrire cet article.
7 Références
Le site officiel de SPF
La FAQ officielle de SPF
L'aide officielle de SPF
La position d'openspf.org à propos de SenderID
Un excellent article à propos de SenderID et SPF
Avertissez vos utilisateurs sur la conversion SASL
COMMENT (HOWTO) - Définir un enregistrement SPF