SPF — Sender Policy Framework
SPF est un mécanisme d'authentification email qui liste, dans le DNS du domaine émetteur, les serveurs IP autorisés à envoyer du mail en son nom.
À quoi ça sert
Quand un destinataire reçoit un mail prétendument envoyé depuis contact@example.fr, son serveur mail peut interroger le DNS de example.fr pour récupérer le record SPF. Si l'IP du serveur expéditeur n'est pas dans la liste autorisée, le mail est considéré comme une usurpation potentielle.
Exemple de record SPF
example.fr. IN TXT "v=spf1 ip4:54.37.215.172 include:_spf.google.com -all"Lecture : « Les mails de example.fr peuvent légitimement venir de l'IP 54.37.215.172 OU des serveurs Google (Workspace). Tout autre source doit être rejetée (`-all` = fail strict). »
Niveaux SPF
- +all — accepter tout (équivalent à pas de SPF, ne JAMAIS utiliser)
- ~all — softfail (accepter en marquant suspect)
- -all — fail strict (rejeter)
- ?all — neutral (pas d'opinion)
FrozenSpam recommande -all en production.
Limites de SPF
- SPF ne protège que l'enveloppe SMTP (`MAIL FROM`), pas l'en-tête `From:` visible par l'utilisateur. Un spammeur peut envoyer depuis son propre domaine avec SPF parfait et mettre `From: contact@votreboite.fr` dans l'en-tête visible.
- SPF casse sur les forwards (un mail forwardé garde l'expéditeur original mais part d'un autre serveur).
- SPF est limité à 10 lookups DNS par évaluation.
Solution : combiner SPF avec DKIM et DMARC.