Sender Policy Framework

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir SPF.

Sender Policy Framework (SPF) est une norme de vérification du nom de domaine de l'expéditeur d'un courrier électronique, normalisé dans la RFC 4408. L'adoption de cette norme est de nature à réduire le spam.

Description[modifier | modifier le code]

Le protocole Simple Mail Transfer Protocol (SMTP) utilisé pour le transfert du courrier électronique sur Internet ne prévoit pas de mécanisme de vérification de l'expéditeur, c'est-à-dire qu'il est facile d'envoyer un courrier avec une adresse d'expéditeur factice, voire usurpée. SPF vise à réduire les possibilités d'usurpation en publiant, dans le DNS, un enregistrement (de type SPF ou, autrefois, de type TXT)[1] indiquant quelles adresses IP sont autorisées ou interdites à envoyer du courrier pour le domaine considéré.

L'identité testée par SPF est celle indiquée par la commande MAIL FROM dans la session SMTP. C'est donc une information qui appartient à l'enveloppe du courrier, pas à ses en-têtes. (Dans certaines conditions, SPF peut aussi utiliser le nom de la machine expéditrice, tel que spécifié dans la commande HELO.)

Voici par exemple l'enregistrement SPF d'ietf.org via la commande "dig TXT ietf.org" ou via "dig SPF ietf.org" selon l'enregistrement dans la zone DNS :

ietf.org. IN SPF "v=spf1 ip4:64.170.98.0/26 ip4:64.170.98.64/28 ip4:64.170.98.80/28 ip4:64.170.98.96/29 ip4:208.66.40.224/27 ip6:2001:1890:1112:1::0/64 -all"

Seuls les blocs d'adresses IPv4 et IPv6 indiqués sont habilités à envoyer du courrier avec un expéditeur du domaine ietf.org. Un serveur de courrier participant à SPF peut donc rejeter un mail provenant d'autres blocs d'adresses que ceux-ci.

Il n’est pas obligatoire de publier un enregistrement SPF, ni de faire usage des records SPF existants. Les sites qui ne participent pas à cette initiative ne sont donc pas affectés par celle-ci. SPF ne garantit pas que la partie locale de l'adresse de courrier électronique (à gauche du signe @) est authentique.

Notes et références[modifier | modifier le code]

  1. Rapport sur l'utilisation respective de SPF et TXT Il semble toutefois que le nouveau type SPF est un échec, et il est recommandé d'utiliser TXT

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]

  • (en) openspf.org Le site officiel
  • (en) RFC 4408 Meng Weng Wong, Wayne Schlitt, Sender Policy Framework (SPF) for Authorizing Use of Domains in E-Mail, Version 1, IETF, avril 2006