Comment Microsoft 365 utilise SPF (Sender Policy Framework) pour empêcher l’usurpation d’identité

  • Article

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft 365 Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender pour Office 365 de 90 jours sur le hub d’essais du portail Microsoft 365 Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

S’applique à

Résumé: Cet article décrit comment Microsoft 365 utilise l’enregistrement TXT SPF (Sender Policy Framework) dans DNS pour s’assurer que les systèmes de messagerie de destination approuvent les messages envoyés à partir de votre domaine personnalisé. Cela s’applique aux messages sortants envoyés à partir de Microsoft 365. Les messages envoyés de Microsoft 365 à un destinataire dans Microsoft 365 passent toujours SPF.

Un enregistrement TXT SPF est un enregistrement DNS qui permet d'éviter l' usurpation et le hameçonnage en vérifiant le nom du domaine à partir duquel les messages électroniques sont envoyés. SPF valide l'origine des messages électroniques en vérifiant l'adresse IP de l'expéditeur par rapport à celle du prétendu propriétaire du domaine d'expédition.

Remarque

Les types d'enregistrement SPF ont été déconseillés par le groupe de travail IETF (Internet Engineering Task Force) en 2014. À la place, veillez à utiliser des enregistrements TXT dans le système DNS pour publier vos informations SPF. Le reste de cet article utilise le terme « enregistrement TXT SPF » pour plus de clarté.

Les administrateurs de domaine publient des informations SPF dans les enregistrements TXT au sein du système DNS. Les informations SPF identifient les serveurs de messagerie sortants autorisés. Les systèmes de messagerie électronique de destination vérifient que les messages proviennent de serveurs de messagerie sortants autorisés. Si vous connaissez déjà SPF, ou si vous disposez d’un déploiement simple et que vous avez simplement besoin de savoir ce qu’il faut inclure dans votre enregistrement TXT SPF dans DNS pour Microsoft 365, vous pouvez accéder à Configurer SPF dans Microsoft 365 pour empêcher l’usurpation d’identité. Si vous n’avez pas de déploiement entièrement hébergé dans Microsoft 365, ou si vous souhaitez plus d’informations sur le fonctionnement de SPF ou sur la résolution des problèmes liés à SPF pour Microsoft 365, poursuivez votre lecture.

Remarque

Auparavant, vous deviez ajouter un autre enregistrement TXT SPF à votre domaine personnalisé si vous utilisiez également SharePoint Online. Cela n'est plus nécessaire. Ce changement doit réduire le risque que les messages de notification SharePoint Online terminent dans le dossier Courrier indésirable. Vous n’avez pas besoin d’apporter des modifications immédiatement, mais si vous recevez l’erreur « Trop de recherches », modifiez votre enregistrement TXT SPF comme décrit dans Configurer SPF dans Microsoft 365 pour empêcher l’usurpation d’identité.

Fonctionnement de SPF pour empêcher l’usurpation d’identité et l’hameçonnage dans Microsoft 365

SPF détermine si un expéditeur est autorisé à envoyer des messages au nom d'un domaine. Si l’expéditeur n’est pas autorisé à le faire, c’est-à-dire si l’e-mail échoue à l’case activée SPF sur le serveur de réception, la stratégie de courrier indésirable configurée sur ce serveur détermine ce qu’il faut faire avec le message.

Chaque enregistrement TXT SPF contient trois parties : la déclaration selon laquelle il s’agit d’un enregistrement TXT SPF, les adresses IP autorisées à envoyer des messages à partir de votre domaine et les domaines externes qui peuvent envoyer au nom de votre domaine et une règle d’application. Ces trois éléments sont obligatoires pour un enregistrement TXT SPF valide. Cet article décrit la façon dont vous formez votre enregistrement TXT SPF et fournit les meilleures pratiques pour utiliser les services dans Microsoft 365. Des liens vers des instructions sur l’utilisation de votre bureau d’enregistrement de domaine pour publier votre enregistrement dans DNS sont également disponibles.

Concepts de base SPF : adresses IP autorisées à envoyer des messages à partir de votre domaine personnalisé

Examinez la syntaxe de base pour une règle SPF :

v=spf1 règle d’application <IP><>

Par exemple, supposons que la règle SPF suivante existe pour contoso.com :

v=spf1 <adresse IP #1><adresse IP #2><adresse IP #3><règle d’application>

Dans cet exemple, la règle SPF demande au serveur de messagerie de réception d'accepter uniquement les messages provenant de ces adresses IP pour le domaine contoso.com :

  • Adresse IP 1

  • Adresse IP 2

  • Adresse IP 3

Cette règle SPF indique au serveur de messagerie de réception que si un message provient de contoso.com, mais pas de l'une de ces trois adresses IP, le serveur de réception doit appliquer la règle de mise en œuvre au message. La règle de mise en œuvre est généralement l'une des options suivantes :

  • Échec sévère. Marquez « échec sévère » dans l'enveloppe du message, puis suivez la stratégie de courrier indésirable configurée du serveur de réception pour ce type de message.

  • Échec partiel. Marquez « échec partiel » dans l'enveloppe du message. En règle générale, les serveurs de messagerie sont configurés pour remettre ce type de message. La plupart des utilisateurs finaux ne voient pas cette marque.

  • Neutre. Ne rien faire, c’est-à-dire ne pas marquer l’enveloppe du message. Il est réservé à des fins de test et est rarement utilisé.

Les exemples suivants montrent comment SPF fonctionne dans plusieurs situations différentes. Dans ces exemples, contoso.com est l’expéditeur et woodgrovebank.com est le destinataire.

Exemple 1 : authentification de messagerie d’un message envoyé directement de l’expéditeur au destinataire

SPF fonctionne de manière optimale lorsque le chemin entre l’expéditeur et le destinataire est direct, par exemple :

Diagramme illustrant comment SPF authentifie le courrier électronique lorsqu'il est envoyé directement d'un serveur à l'autre.

Quand woodgrovebank.com reçoit le message, si l’adresse IP 1 se trouve dans l’enregistrement TXT SPF pour contoso.com, le message passe la vérification SPF et est authentifié.

Exemple 2 : l’adresse d’expéditeur falsifiée ne passe pas la vérification SPF

Supposons qu’un auteur de hameçonnage trouve un moyen d’usurper contoso.com :

Diagramme illustrant la façon dont SPF authentifie le courrier électronique envoyé à partir d'un serveur falsifié.

Étant donné que l’adresse IP #12 n’est pas dans l’enregistrement TXT SPF de contoso.com, le message échoue à l’case activée SPF et le destinataire peut choisir de la marquer comme courrier indésirable.

Exemple 3 : messages transférés et SPF

SPF présente un désavantage qui réside dans le fait qu'il ne fonctionne pas lorsqu'un message électronique a été transféré. Par exemple, supposons que l'utilisateur woodgrovebank.com a défini une règle de transfert pour envoyer tous les messages électroniques vers un compte outlook.com :

Diagramme indiquant comment SPF ne peut pas authentifier le courrier électronique lorsque le message est transféré.

Le message transmet initialement l’case activée SPF à woodgrovebank.com, mais le case activée SPF échoue à outlook.com car l’adresse IP #25 n’est pas dans l’enregistrement TXT SPF de contoso.com. Outlook.com peut ensuite marquer le message comme courrier indésirable. Pour contourner ce problème, utilisez SPF avec d’autres méthodes d’authentification par e-mail telles que DKIM et DMARC.

Concepts de base SPF : intégration de domaines tiers pouvant envoyer des messages au nom de votre domaine

En plus des adresses IP, vous pouvez également configurer votre enregistrement TXT SPF pour inclure des domaines en tant qu'expéditeurs. Ces domaines sont ajoutés à l'enregistrement TXT SPF comme des instructions « Include ». Par exemple, contoso.com souhaitez inclure toutes les adresses IP des serveurs de messagerie de contoso.net et contoso.org, dont elle est également propriétaire. Pour ce faire, contoso.com publie un enregistrement TXT SPF qui ressemble à ceci :

v=spf1 include:contoso.net include:contoso.org -all

Lorsque le serveur de réception voit cet enregistrement dans DNS, il effectue également une recherche DNS sur l’enregistrement TXT SPF pour contoso.net, puis pour contoso.org. S’il trouve une autre instruction include dans les enregistrements pour contoso.net ou contoso.org, il les suivra également. Afin d’empêcher le refus d’attaque de service, le nombre maximal de recherches DNS pour un seul message est de 10. Chaque instruction Include représente une recherche DNS supplémentaire. Si un message dépasse la limite de 10, le message échoue lors de la vérification SPF. Une fois qu’un message atteint cette limite, selon la façon dont le serveur de réception est configuré, l’expéditeur peut recevoir un message indiquant que le message a généré « trop de recherches » ou que le « nombre maximal de tronçons pour le message a été dépassé » (ce qui peut se produire lorsque la boucle de recherche et dépasse le délai d’expiration DNS). Pour obtenir des conseils sur la façon d’éviter cela, consultez Résolution des problèmes : Meilleures pratiques pour SPF dans Microsoft 365.

Configuration requise pour votre enregistrement TXT SPF et Microsoft 365

Si vous configurez la messagerie lors de la configuration de Microsoft 365, vous avez déjà créé un enregistrement TXT SPF qui identifie les serveurs de messagerie Microsoft comme une source légitime de courrier pour votre domaine. Cet enregistrement ressemble probablement à ce qui suit :

v=spf1 include:spf.protection.outlook.com -all

Si vous êtes un client entièrement hébergé, c’est-à-dire que vous n’avez aucun serveur de messagerie local qui envoie du courrier sortant, il s’agit du seul enregistrement TXT SPF que vous devez publier pour Office 365.

Si vous avez un déploiement hybride (c’est-à-dire que vous avez des boîtes aux lettres locales et d’autres hébergées dans Microsoft 365), ou si vous êtes un client autonome Exchange Online Protection (EOP) (autrement dit, votre organization utilise EOP pour protéger vos boîtes aux lettres locales), vous devez ajouter l’adresse IP sortante de chacun de vos serveurs de messagerie edge locaux à l’enregistrement TXT SPF dans DNS.

Former votre enregistrement TXT SPF pour Microsoft 365

Utilisez les informations de syntaxe de cet article afin de formuler l'enregistrement TXT SPF pour votre domaine personnalisé. Bien qu'il existe des options de syntaxe qui ne sont pas mentionnées ici, il s'agit des options les plus fréquemment utilisées. Une fois que vous avez formé votre enregistrement, vous devez mettre à jour l’enregistrement auprès de votre registraire de domaine.

Pour plus d’informations sur les domaines que vous devez inclure pour Microsoft 365, consultez Enregistrements DNS externes requis pour SPF. Utilisez les instructions pas à pas pour mettre à jour les enregistrements SPF (TXT) dans votre bureau d'enregistrement de domaines.

Syntaxe d’enregistrement TXT SPF pour Microsoft 365

Un enregistrement TXT SPF classique pour Microsoft 365 a la syntaxe suivante :

v=spf1 [<ip4>|<ip6>:<IP address>] [include:<domain name>] <enforcement rule>

Par exemple :

v=spf1 ip4:192.168.0.1 ip4:192.168.0.2 include:spf.protection.outlook.com -all

où :

  • v=spf1 est obligatoire. Cet élément définit l'enregistrement TXT en tant qu'enregistrement TXT SPF.

  • ip4 indique que vous utilisez des adresses IP version 4. ip6 indique que vous utilisez des adresses IP version 6. Si vous utilisez des adresses IP IPv6, remplacez ip4 par ip6 dans les exemples de cet article. Vous pouvez également spécifier des plages d'adresses IP à l'aide de la notation CIDR, par exemple ip4:192.168.0.1/26.

  • IP address est l'adresse IP à ajouter à l'enregistrement TXT SPF. En règle générale, il s'agit de l'adresse IP du serveur de messagerie sortant pour votre organisation. Vous pouvez répertorier plusieurs serveurs de messagerie sortants. Pour plus d’informations, consultez Exemple : Enregistrement TXT SPF pour plusieurs serveurs de messagerie locaux sortants et Microsoft 365.

  • domain name est le domaine que vous souhaitez ajouter en tant qu'expéditeur légitime. Pour obtenir la liste des noms de domaine que vous devez inclure pour Microsoft 365, consultez Enregistrements DNS externes requis pour SPF.

  • La règle de mise en œuvre est généralement l'une des règles suivantes :

    • -all

      Indique un échec sévère. Si vous connaissez toutes les adresses IP autorisées pour votre domaine, répertoriez-les dans l’enregistrement TXT SPF et utilisez le qualificateur -all (échec dur). En outre, si vous utilisez uniquement SPF, c’est-à-dire que vous n’utilisez pas DMARC ou DKIM, vous devez utiliser le qualificateur -all. Nous vous recommandons de toujours utiliser ce qualificateur.

    • ~all

      Indique un échec partiel. Si vous n'êtes pas sûr de disposer de la liste complète des adresses IP, utilisez le qualificateur ~all (échec partiel). En outre, si vous utilisez DMARC avec p=quarantaine ou p=reject, vous pouvez utiliser ~all. Dans le cas contraire, utilisez -all.

    • ?all

      Indique un résultat neutre. Il est utilisé lors des essais SPF. Nous vous déconseillons d’utiliser ce qualificateur dans votre déploiement en direct.

Exemple : enregistrement TXT SPF à utiliser lorsque tous vos messages sont envoyés par Microsoft 365

Si tout votre courrier est envoyé par Microsoft 365, utilisez-le dans votre enregistrement TXT SPF :

v=spf1 include:spf.protection.outlook.com -all

Exemple : enregistrement TXT SPF pour un scénario hybride avec une Exchange Server locale et Microsoft 365

Dans un environnement hybride, si l'adresse IP du serveur Exchange local est 192.168.0.1, afin de définir la règle de mise en œuvre SPF sur échec sévère, formez l'enregistrement TXT SPF comme suit :

v=spf1 ip4:192.168.0.1 include:spf.protection.outlook.com -all

Exemple : enregistrement TXT SPF pour plusieurs serveurs de messagerie sortants locaux et Microsoft 365

Si vous avez plusieurs serveurs de messagerie sortants, ajoutez l'adresse IP de chaque serveur de messagerie dans l'enregistrement TXT SPF et séparez chaque adresse IP par un espace suivi par une instruction « ip4: ». Par exemple :

v=spf1 ip4:192.168.0.1 ip4:192.168.0.2 ip4:192.168.0.3 include:spf.protection.outlook.com -all

Étapes suivantes : Configurer SPF pour Microsoft 365

Une fois que vous avez formulé votre enregistrement TXT SPF, suivez les étapes décrites dans Configurer SPF dans Microsoft 365 pour empêcher l’usurpation pour l’ajouter à votre domaine.

Bien que SPF soit conçu pour empêcher l’usurpation d’identité, il existe des techniques d’usurpation contre laquelle SPF ne peut pas se protéger. Pour vous protéger contre ces erreurs, une fois que vous avez configuré SPF, vous devez également configurer DKIM et DMARC pour Microsoft 365. Pour commencer, consultez Utiliser DKIM pour valider les e-mails sortants envoyés à partir de votre domaine personnalisé dans Microsoft 365. Ensuite, consultez la rubrique Utiliser DMARC pour valider les e-mails dans Microsoft 365.

Résolution des problèmes : Meilleures pratiques pour SPF dans Microsoft 365

Vous ne pouvez créer qu'un seul enregistrement TXT SPF pour votre domaine personnalisé. La création de plusieurs enregistrements entraîne une situation alternée et l'échec de SPF. Pour éviter cela, vous pouvez créer des enregistrements distincts pour chaque sous-domaine. Par exemple, créez un enregistrement pour contoso.com et un autre enregistrement pour bulkmail.contoso.com.

Si un message électronique provoque plus de 10 recherches DNS avant d’être remis, le serveur de messagerie de réception répond avec une erreur permanente, également appelée permerror, et provoque l’échec du message de l’case activée SPF. Le serveur de réception peut également répondre avec une notification d'échec de remise qui contient une erreur semblable à celles-ci :

  • Le message a dépassé le nombre de sauts.

  • Le message a demandé trop de recherches.

Éviter l’erreur « trop de recherches » lorsque vous utilisez des domaines tiers avec Microsoft 365

Certains enregistrements TXT SPF pour les domaines tiers indiquent au serveur de réception d'effectuer un nombre élevé de recherches DNS. Par exemple, au moment de la rédaction, Salesforce.com contient 5 instructions Include dans son enregistrement :

v=spf1 include:_spf.google.com
include:_spfblock.salesforce.com
include:_qa.salesforce.com
include:_spfblock1.salesforce.com
include:spf.mandrillapp.com mx ~all

Pour éviter l'erreur, vous pouvez implémenter une stratégie selon laquelle toute personne envoyant des messages électroniques en bloc, par exemple, doit utiliser un sous-domaine spécialement à cette fin. Ensuite, définissez un autre enregistrement TXT SPF pour le sous-domaine comprenant la messagerie électronique en bloc.

Dans certains cas, comme dans l'exemple salesforce.com, vous devez utiliser le domaine dans votre enregistrement TXT SPF, mais dans d'autres cas, le domaine tiers a peut-être déjà créé un sous-domaine pour votre utilisation. Par exemple, exacttarget.com a créé un sous-domaine que vous devez utiliser pour votre enregistrement TXT SPF :

cust-spf.exacttarget.com

Lorsque vous incluez des domaines tiers dans votre enregistrement TXT SPF, vous devez vérifier auprès du tiers le domaine ou le sous-domaine à utiliser pour éviter d’atteindre la limite de 10 recherches.

Comment afficher votre enregistrement TXT SPF et déterminer le nombre de recherches nécessaires

Vous pouvez utiliser nslookup pour afficher vos enregistrements DNS, y compris votre enregistrement TXT SPF. Il existe de nombreux outils en ligne gratuits que vous pouvez utiliser pour afficher le contenu de votre enregistrement TXT SPF. En consultant votre enregistrement TXT SPF et en suivant la chaîne d'instructions Include et de redirections, vous pouvez déterminer le nombre de recherches DNS dont l'enregistrement a besoin. Certains outils en ligne peuvent même compter et afficher ces recherches pour vous. Le suivi de ce numéro permet d’empêcher les messages envoyés à partir de votre organization de déclencher une erreur permanente, appelée erreur de perm, à partir du serveur de réception.

Pour plus d'informations

Vous avez besoin d’aide pour ajouter l’enregistrement TXT SPF ? Lisez l’article Créer des enregistrements DNS sur n’importe quel fournisseur d’hébergement DNS pour Microsoft 365 pour obtenir des informations détaillées sur l’utilisation de Sender Policy Framework avec votre domaine personnalisé dans Microsoft 365. Les en-têtes de message anti-courrier indésirable incluent la syntaxe et les champs d’en-tête utilisés par Microsoft 365 pour les vérifications SPF.