Comprendre et résoudre les résultats "SPF Authentication Failed" (échec de l'authentification SPF)
Nous avons tous entendu parler de SPF (Sender Policy Framework ). Vous ne vous en rendez peut-être pas compte, mais l'authentification SPF est un élément essentiel de votre communication en ligne. Elle protège chaque jour des millions de domaines contre les tentatives d'usurpation et d'hameçonnage. Avec DMARC, DKIM et BIMI, elle constitue la base de l'authentification du courrier électronique.
Sender Policy Framework (SPF) est une forme d'authentification utilisée par les propriétaires de domaines pour vérifier les courriels envoyés par d'autres organisations. Cependant, une mauvaise configuration peut entraîner des erreurs connues sous le nom de "Échec de l'authentification SPF".
Dans de nombreux cas, les enregistrements SPF échouent et provoquent des erreurs telles que des échecs de SPF, des erreurs temporelles, etc. Ces situations sont coûteuses en temps et en argent et doivent être corrigées immédiatement.
Pour ceux qui ne connaissent pas bien SPF, il peut être difficile de comprendre pourquoi SPF échoue, comment les erreurs SPF sont interprétées dans DMARC, et comment les corriger ? Nous avons donc simplifié les choses pour vous.
Qu'est-ce que l'authentification SPF ?
Il est essentiel de comprendre ce qu'est le SPF pour pouvoir le dépanner. SPF (Sender Policy Framework) est un protocole d'authentification des courriels utilisé pour vérifier que l'expéditeur du courriel correspond au nom de domaine figurant dans le champ du message.
Le MTA d'envoi vérifie si l'adresse IP de l'hôte de connexion figure dans la liste préconfigurée des serveurs SPF publiés dans le DNS du domaine extrait. Si elle s'y trouve, il en résulte un 'SPF Pass'.
Toutefois, si l'adresse IP n'est pas répertoriée, il donne un "Échec". résultat. Cela peut être dû à différentes raisons, telles que des incohérences dans la manière dont les enregistrements sont configurés, le dépassement de la limite de consultation DNS, etc.
Pour que ces échecs n'affectent pas vos efforts de marketing par courriel, vous devez comprendre pourquoi les courriels échouent à la validation SPF. Une fois que vous connaissez la cause du problème, vous pouvez jouer votre rôle pour protéger votre entreprise.
Pourquoi l'authentification SPF échoue-t-elle ?
Les raisons qui conduisent à un échec de l'authentification SPF sont les suivantes :
Le MTA récepteur ne parvient pas à trouver l'enregistrement SPF publié dans votre DNS.
Le contrôle a permis de découvrir plusieurs enregistrements SPF publiés dans votre DNS pour le même domaine.
Les adresses IP n'ont pas été mises à jour ou répertoriées dans votre enregistrement SPF.
La recherche de vide dépasse la limite autorisée de 2
La longueur de l'enregistrement SPF aplati dépasse la limite de 255 caractères SPF.
L'enregistrement est syntaxiquement incorrect.
Lorsque l'un des scénarios ci-dessus se vérifie, vous rencontrez un échec de l'authentification SPF. Nous allons expliquer chacun d'entre eux ci-dessous :
Différents cas où l'authentification SPF échoue.
Lorsque le rapport DMARC est activé, le MTA renvoie les résultats d'échec de l'authentification SPF en utilisant différents codes. Ces codes sont les suivants :
Cas 1 : FPS Aucun
Lorsque le serveur de messagerie récepteur ne trouve pas le nom de domaine dans le DNS, il renvoie un message SPF Aucun erreur. Un résultat "Aucun" est également produit lorsqu'il n'y a pas de Enregistrement SPF est situé sur le domaine.
En d'autres termes, l'erreur SPF None survient lorsque l'expéditeur n'a pas configuré l'authentification SPF ou que le serveur ne la trouve pas. L'erreur SPF None est traitée comme un échec DMARC. Cette erreur peut être corrigée en publiant un enregistrement SPF valide.
Cas 2 : SPF neutre
Le résultat SPF neutre est généré lorsque l'enregistrement SPF du domaine indique qu'il ne confirme pas si l'adresse IP est autorisée ou non.
En d'autres termes, quelle que soit la conclusion des contrôles d'authentification SPF, le MTA de réception produira un résultat neutre. Si le résultat est neutre, vous autorisez les adresses IP non autorisées à vous envoyer des courriels.
Cas 3 : Échec progressif du SPF
Le SPF soft fail est similaire au Neutral car le MTA acceptera même les courriers non autorisés. Toutefois, les courriers électroniques dont l'adresse IP ne figure pas dans l'enregistrement SPF seront marqués comme étant du spam. Le SPF soft fail se produit si vous configurez ~tous des mécanismes à votre Enregistrement SPF.
En d'autres termes, le SPF soft fail est une déclaration faible indiquant que l'hôte n'est probablement pas autorisé. DMARC l'interprète comme un Passé". ou Échec en fonction des paramètres du serveur.
En voici un exemple :
v=spf1 include:spf.google.com ~all
Cas 4 : Échec cuisant du FPS
Également connu sous le nom de SPF fail, le hard fail se produit lorsque le MTA récepteur rejette tous les courriels provenant d'une source qui n'est pas répertoriée dans votre enregistrement SPF. Il est configuré par l'intermédiaire d'un paramètre '-tous' mécanisme.
En d'autres termes, le Échec du FPS est une affirmation explicite que l'hôte n'est pas autorisé à utiliser le domaine. DMARC traite cette affirmation comme un Échec quelles que soient les conditions. Il est donc recommandé pour votre enregistrement SPF car il offre une protection maximale contre l'usurpation d'adresse électronique.
En voici un exemple :
v=spf1 include:spf.google.com -all
Cas 5 : Erreur temporaire SPF
Comme son nom l'indique, cette erreur est temporaire et souvent inoffensive. Elle est due à une erreur DNS, comme un dépassement de délai DNS. Toutefois, une tentative ultérieure peut donner un résultat SPF positif sans autre action de l'opérateur DNS.
En d'autres termes, SPF Temperror constitue un échec provisoire. DMARC l'interprète comme non pertinent car cette erreur renvoie un code d'état 4xx mettant fin à la session SMTP. Par conséquent, l'e-mail peut être délivré plus tard, en fonction de votre politique de réessai.
Cas 6 : Erreur permanente du SPF
L'erreur SPF PermError est à l'origine de la plupart des échecs d'authentification SPF. Elle se produit lorsque votre enregistrement SPF est rendu invalide par le MTA de réception lors des recherches DNS :
Le SPF Permerror se produit dans les situations suivantes :
La longueur de l'enregistrement SPF dépasse la limite de 255 caractères.
L'enregistrement SPF n'est pas à jour
Les recherches de nullité dépassent 2.
En d'autres termes, SPF Permerror est une erreur permanente signifiant que le contrôle SPF n'a pas pu interpréter correctement les enregistrements publiés du domaine. DMARC l'interprète comme Échec. Cette situation nécessite donc l'intervention d'un opérateur DNS pour corriger l'enregistrement SPF. Dans le cas contraire, cela aura un impact négatif sur la délivrabilité des courriels.
Dernières paroles
Skysnag automatise SPF pour vous, empêchant la génération de plusieurs enregistrements SPF. Cela vous évite les problèmes et le temps nécessaires à la configuration manuelle. Évitez immédiatement les échecs d'authentification PermError SPF et utilisez le logiciel automatisé de Skysnag pour protéger la réputation de votre domaine contre les courriels professionnels compromis, le vol de mot de passe et les pertes financières potentiellement importantes. Commencez votre parcours de mise en application avec l'authentification des courriels et authentifiez SPF de manière autonome avec Skysnag.
Vous pourriez être intéressé par la lecture de ce document :
Vérifiez la conformité de votre domaine à la norme DMARC
Appliquer DMARC, SPF et DKIM en quelques jours - et non en quelques mois
Skysnag aide les ingénieurs occupés à appliquer DMARC, répond à toute mauvaise configuration pour SPF ou DKIM, ce qui augmente la délivrabilité des e-mails, et élimine l'usurpation d'identité et l'usurpation d'identité.
