{"id":1352,"date":"2024-12-06T14:02:58","date_gmt":"2024-12-06T13:02:58","guid":{"rendered":"https:\/\/mailnjoy.com\/blog\/?post_type=glossary&p=1352"},"modified":"2025-02-11T19:41:49","modified_gmt":"2025-02-11T18:41:49","slug":"spf","status":"publish","type":"glossary","link":"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/","title":{"rendered":"SPF"},"content":{"rendered":"

Le SPF, <\/strong>signifiant “Sender Policy Framework”,<\/strong> est un protocole email permettant de garantir l’authenticit\u00e9 d’un domaine exp\u00e9diteur, et ainsi de se pr\u00e9munir contre les tentatives d’usurpation d’identit\u00e9 de ce dernier.<\/span><\/p>\n

 <\/p>\n

Au d\u00e9but des ann\u00e9es 2000, lors de la popularisation progressive des emails, aucun m\u00e9canisme d’authentification n’avait \u00e9t\u00e9 d\u00e9fini et il \u00e9tait donc tr\u00e8s facile pour une personne mal intentionn\u00e9e de falsifier l’adresse email \u00e9mettrice<\/strong> (le FROM de l’ent\u00eate de l’email) pour faire croire que l’email envoy\u00e9 provenait d’une adresse email voulue.
\nCe manque technique emp\u00eachait le destinataire de pouvoir d\u00e9terminer de mani\u00e8re s\u00fbre si l’adresse email exp\u00e9ditrice \u00e9tait bien celle qui avait envoy\u00e9 l’email en question, et posait donc un vrai probl\u00e8me de confiance sur le contenu \u00e9chang\u00e9.
\n<\/span>Il \u00e9tait donc possible sans aucune contrainte de se faire passer par exemple pour une adresse email du gouvernement, de la police, m\u00eame encore d’une loterie pour facilement monter des arnaques ou du phishing.<\/span><\/p>\n

 <\/p>\n

Face \u00e0 la multitude de spam et de tentative d’usurpation d’identit\u00e9 num\u00e9rique qui sont vite devenus des probl\u00e8mes majeurs dans le monde num\u00e9rique (et donc \u00e9galement dans les emails), des protocoles ont peu \u00e0 peu vu le jour dans le but de rajouter des m\u00e9canismes d’authentification et de s\u00e9curisation des emails<\/strong>.<\/span>
\nLe but ici \u00e9tant d’\u00eatre en mesure de prouver que l’adresse exp\u00e9ditrice (d’un email re\u00e7u) est bien celle qu’elle pr\u00e9tend \u00eatre, et donc que son authenticit\u00e9 soit prouv\u00e9e<\/strong>.<\/span><\/p>\n

 <\/p>\n

Le protocole SPF est le premier protocole email qui a \u00e9t\u00e9 cr\u00e9\u00e9 dans le but de rajouter un m\u00e9canisme d’authentification du domaine exp\u00e9diteur dans les emails<\/strong>.
\nNormalis\u00e9 dans la RFC 7208, le SPF utilise un champ sp\u00e9cifique dans le DNS du domaine \u00e9metteur<\/strong>, afin d’indiquer quelles adresses IP ont le droit d’envoyer des emails en tant que ce domaine sp\u00e9cifique.
\nLe principe ici \u00e9tant de lister l’ensemble des adresses IP qui sont susceptibles d’envoyer des emails en tant que ce domaine exp\u00e9diteur,<\/strong> et ainsi permettre aux ESP de r\u00e9ception (gmail, hotmail, yahoo, etc) de d\u00e9terminer si l’exp\u00e9diteur d’un email re\u00e7u est bien celui qu’il pr\u00e9tend \u00eatre.
\nAinsi, les emails re\u00e7us dont l’exp\u00e9diteur ne correspond pas aux adresses IP list\u00e9es dans cet enregistrement DNS ont beaucoup plus de chances d’\u00eatre de l’usurpation d’identit\u00e9 num\u00e9rique, et peuvent ainsi etre plus facilement taggu\u00e9s en SPAM par les ESP email de r\u00e9ception.<\/span><\/p>\n

 <\/p>\n

L’enregistrement DNS du SPF est une simple entr\u00e9e de type “TXT”, ou il est sp\u00e9cifi\u00e9 quelles adresses emails ou noms DNS sont autoris\u00e9s \u00e0 envoyer en tant que ce domaine exp\u00e9diteur.
\nVoici un exemple de record SPF du domaine “france.fr” :<\/span><\/p>\n

 <\/p>\n

“v=spf1 ip4:83.166.152.41 include:turbo-smtp.com include:spf.protection.outlook.com -all”<\/span><\/p><\/blockquote>\n

 <\/p>\n

Dans cet exemple, on peut d\u00e9duire ceci :<\/span><\/p>\n

 <\/p>\n

– l’adresse IP\u00a0 83.166.152.41 est autoris\u00e9e<\/span><\/p>\n

– les adresses IP inclues dans le SPF du domaine “turbo-smtp.com” sont autoris\u00e9es (ceci permettant l’utilisation du SPF au travers d’un relai ou routeur email)<\/span><\/p>\n

– les adresses IP inclues dans le SPF du domaine “spf.protection.outlook.com” sont autoris\u00e9es (ceci permettant l’utilisation du SPF au travers du service de messagerie Outlook qu’utilise certainement ici le domaine “france.fr”)<\/span><\/p>\n

 <\/p>\n

–> Ces adresses IP et domaines relais sont donc autoris\u00e9s au travers de cette entr\u00e9e DNS du SPF \u00e0 envoyer des emails de type “XXXXX@france.fr”<\/span><\/p>\n

 <\/p>\n

– les adresses IP autres que celles explicitement d\u00e9finies dans cet enregistrement SPF sont non pas autoris\u00e9s, et ce de mani\u00e8re certaine (entr\u00e9e “-all”)<\/span><\/p>\n

 <\/p>\n

Note<\/span> : le “v=spf1” au d\u00e9part indique qu’il s’agit bien d’une entr\u00e9e pour le protocole SPF. Attention \u00e0 ne pas confondre ce dernier avec le Sender ID, dont le champ DNS indique “spf2”, mais qui est un tout autre protocole d’authentification que le SPF.<\/span><\/p>\n

 <\/p>\n

Note<\/span>: Il faut bien noter que le SPF authentifie un domaine (ou un sous-domaine) mais non pas une adresse email int\u00e9grale<\/strong> : ainsi gr\u00e2ce \u00e0 l’enregistrement DNS d’exemple ci dessus, la validation SPF permettra de valider qu’un email re\u00e7u proviendra bien du domaine “france.fr”, mais ne donnera aucune garantie que l’\u00e9metteur \u00e9tait bien “sophie@france.fr” et non pas “paul@france.fr” par exemple.
\nUn risque de spoofing existe donc toujours malgr\u00e9 le SPF,<\/strong> m\u00eame s’il ne pourra porter que sur la partie “username” de l’adresse email utilis\u00e9e (le domaine \u00e9tant quand \u00e0 lui authentifi\u00e9 gr\u00e2ce au SPF) et non plus sur l’ensemble de l’adresse email (username + domaine)
\n<\/span><\/p>\n

 <\/p>\n

Dans les faits, l’utilisation du SPF a \u00e9t\u00e9 largement accept\u00e9e par les acteurs de l’emailing et repr\u00e9sente aujourd’hui une norme couramment impl\u00e9ment\u00e9e et utilis\u00e9e.<\/strong> Tous les grands acteurs de l’emailing (ESP, routeurs email, etc) l’utilisent en permanence afin de r\u00e9guler les tentatives d’usurpation d’identit\u00e9 des emails envoy\u00e9s et re\u00e7us.
\nLes annonceurs et soci\u00e9t\u00e9s faisant de l’emailing de mass (bulk email) l’ont \u00e9galement largement impl\u00e9ment\u00e9s, sous peine de voir un impact n\u00e9gatif sur leur r\u00e9putation et d\u00e9livrabilit\u00e9 (notamment depuis les derni\u00e8res modification en 2024 de la politique de google<\/a> et yahoo sur les emails marketing qui indiquent la n\u00e9cessit\u00e9 de son impl\u00e9mentation)
\nIl faut toutefois noter que l’application du SPF n’est pas syst\u00e9matique sur tous les serveurs email du monde : de plus petit services d’h\u00e9bergement emails, ou des services emails auto-h\u00e9berg\u00e9s, peuvent \u00eatre configur\u00e9s pour ne pas utiliser ce protocole, et sont donc plus susceptibles de laisser passer plus facilement les spam ou les phising re\u00e7us vers leur propres destinataires.<\/span><\/p>\n

 <\/p>\n

Le non-respect d’une politique SPF sur un email re\u00e7u (c’est \u00e0 dire un email envoy\u00e9 \u00e0 partir d’une IP non autoris\u00e9e) peut aboutir \u00e0 la g\u00e9n\u00e9ration d’un soft bounce<\/strong> par le domaine de reception, afin d’indiquer que l’email n’a pas pu etre d\u00e9livr\u00e9 au destinataire. La notification \u00e9tant relative ici \u00e0 une erreur temporaire, il n’ s’agira donc pas ici d’un hard bounce (voir ici pour plus de pr\u00e9cision sur la diff\u00e9rence entre les soft et les hard bounce<\/a>)<\/span><\/p>\n

 <\/p>\n

Le protocole SPF pr\u00e9sente n\u00e9anmoins quelques faiblesses dans sa conception<\/strong> qui le rendent “incomplet” \u00e0 lui-seul :<\/span><\/p>\n

 <\/p>\n

l’authentification porte sur le domaine exp\u00e9diteur et non pas sur l’adresse email dans sa totalit\u00e9<\/strong><\/span><\/p>\n

le fait d’autoriser les multiples IP d’un routeur ou provider email<\/strong> (tel que gmail, outlook, etc) peuvent favoriser les possibilit\u00e9s de contournement de ce protocole par des personnes mal-intentionn\u00e9es qui auraient acc\u00e8s \u00e0 l’envoi d’email au travers de ces m\u00eames IP \u00e9galement<\/span><\/p>\n

Le SPF supporte mal le passage par des “relais emails”<\/strong> : le fait d’envoyer un email \u00e0 un destinataire qui \u00e0 lui-m\u00eame configur\u00e9 le renvoi des emails re\u00e7us vers une autre boite email (au travers d’un relai email) va casser la protection SPF car l’IP du relai SMTP local n’est pas autoris\u00e9 dans l’enregistrement SPF du domaine \u00e9metteur. Cela peut aboutir \u00e0 des emails faussement rejet\u00e9s ou perdus.<\/span><\/p>\n

 <\/p>\n

Afin de diminuer encore plus le risque d’usurpation d’identit\u00e9 num\u00e9rique, le SPF est souvent configur\u00e9 conjointement \u00e0 d’autres m\u00e9canismes d’authentification tels que le DKIM et le DMARC<\/strong>. Ensemble, ils permettent une s\u00e9curisation maximale aussi bien pour le domaine \u00e9metteur que pour l’email destinataire, rendant ainsi les tentatives de fraudes beaucoup plus complexes.
\nIl faut toutefois bien garder en t\u00eate que la s\u00e9curisation au travers de ces whitelabels (SPF \/ DKIM \/ DMARC) ne permet pas d’offrir une s\u00e9curit\u00e9 absolue et universelle contre les malveillances par email, mais ils en diminuent n\u00e9anmoins largement le risque et la port\u00e9e.<\/span><\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Le SPF, signifiant “Sender Policy Framework”, est un protocole email permettant de garantir l’authenticit\u00e9 d’un domaine exp\u00e9diteur, et ainsi de se pr\u00e9munir contre les tentatives d’usurpation d’identit\u00e9 de ce dernier.   Au d\u00e9but des ann\u00e9es 2000, lors de la popularisation progressive des emails, aucun m\u00e9canisme d’authentification n’avait \u00e9t\u00e9 d\u00e9fini et il \u00e9tait donc tr\u00e8s facile […]<\/p>\n","protected":false},"author":3,"featured_media":0,"parent":0,"template":"","meta":{"_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"glossary-cat":[],"class_list":["post-1352","glossary","type-glossary","status-publish","hentry"],"yoast_head":"\nSPF : d\u00e9finition et utilisation<\/title>\n<meta name=\"description\" content=\"Qu'est ce qu'est le protocole SPF dans les emails. D\u00e9couvrez les notions techniques et sa place dans l'\u00e9cosyst\u00e8me du marketing par email\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"SPF : d\u00e9finition et utilisation\" \/>\n<meta property=\"og:description\" content=\"Qu'est ce qu'est le protocole SPF dans les emails. D\u00e9couvrez les notions techniques et sa place dans l'\u00e9cosyst\u00e8me du marketing par email\" \/>\n<meta property=\"og:url\" content=\"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/\" \/>\n<meta property=\"og:site_name\" content=\"Blog Mailnjoy\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/Mailnjoy\" \/>\n<meta property=\"article:modified_time\" content=\"2025-02-11T18:41:49+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data1\" content=\"6 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/\",\"url\":\"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/\",\"name\":\"SPF : d\u00e9finition et utilisation\",\"isPartOf\":{\"@id\":\"https:\/\/mailnjoy.com\/blog\/#website\"},\"datePublished\":\"2024-12-06T13:02:58+00:00\",\"dateModified\":\"2025-02-11T18:41:49+00:00\",\"description\":\"Qu'est ce qu'est le protocole SPF dans les emails. D\u00e9couvrez les notions techniques et sa place dans l'\u00e9cosyst\u00e8me du marketing par email\",\"breadcrumb\":{\"@id\":\"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\/\/mailnjoy.com\/blog\/es\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"SPF\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/mailnjoy.com\/blog\/#website\",\"url\":\"https:\/\/mailnjoy.com\/blog\/\",\"name\":\"Blog Mailnjoy\",\"description\":\"R\u00e9flexions et analyses dans le monde de l'emailing\",\"publisher\":{\"@id\":\"https:\/\/mailnjoy.com\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/mailnjoy.com\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/mailnjoy.com\/blog\/#organization\",\"name\":\"Mailnjoy\",\"url\":\"https:\/\/mailnjoy.com\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\/\/mailnjoy.com\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/mailnjoy.com\/blog\/wp-content\/uploads\/2024\/08\/logo-mailnjoy.jpg\",\"contentUrl\":\"https:\/\/mailnjoy.com\/blog\/wp-content\/uploads\/2024\/08\/logo-mailnjoy.jpg\",\"width\":702,\"height\":496,\"caption\":\"Mailnjoy\"},\"image\":{\"@id\":\"https:\/\/mailnjoy.com\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/Mailnjoy\"]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"SPF : d\u00e9finition et utilisation","description":"Qu'est ce qu'est le protocole SPF dans les emails. D\u00e9couvrez les notions techniques et sa place dans l'\u00e9cosyst\u00e8me du marketing par email","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/","og_locale":"fr_FR","og_type":"article","og_title":"SPF : d\u00e9finition et utilisation","og_description":"Qu'est ce qu'est le protocole SPF dans les emails. D\u00e9couvrez les notions techniques et sa place dans l'\u00e9cosyst\u00e8me du marketing par email","og_url":"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/","og_site_name":"Blog Mailnjoy","article_publisher":"https:\/\/www.facebook.com\/Mailnjoy","article_modified_time":"2025-02-11T18:41:49+00:00","twitter_card":"summary_large_image","twitter_misc":{"Dur\u00e9e de lecture estim\u00e9e":"6 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/","url":"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/","name":"SPF : d\u00e9finition et utilisation","isPartOf":{"@id":"https:\/\/mailnjoy.com\/blog\/#website"},"datePublished":"2024-12-06T13:02:58+00:00","dateModified":"2025-02-11T18:41:49+00:00","description":"Qu'est ce qu'est le protocole SPF dans les emails. D\u00e9couvrez les notions techniques et sa place dans l'\u00e9cosyst\u00e8me du marketing par email","breadcrumb":{"@id":"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/mailnjoy.com\/blog\/glossary\/spf\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/mailnjoy.com\/blog\/glossary\/spf\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/mailnjoy.com\/blog\/es\/"},{"@type":"ListItem","position":2,"name":"SPF"}]},{"@type":"WebSite","@id":"https:\/\/mailnjoy.com\/blog\/#website","url":"https:\/\/mailnjoy.com\/blog\/","name":"Blog Mailnjoy","description":"R\u00e9flexions et analyses dans le monde de l'emailing","publisher":{"@id":"https:\/\/mailnjoy.com\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/mailnjoy.com\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"fr-FR"},{"@type":"Organization","@id":"https:\/\/mailnjoy.com\/blog\/#organization","name":"Mailnjoy","url":"https:\/\/mailnjoy.com\/blog\/","logo":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/mailnjoy.com\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/mailnjoy.com\/blog\/wp-content\/uploads\/2024\/08\/logo-mailnjoy.jpg","contentUrl":"https:\/\/mailnjoy.com\/blog\/wp-content\/uploads\/2024\/08\/logo-mailnjoy.jpg","width":702,"height":496,"caption":"Mailnjoy"},"image":{"@id":"https:\/\/mailnjoy.com\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/Mailnjoy"]}]}},"lang":"fr","translations":{"fr":1352},"related_terms":"","external_url":"","internal_reference_id":"","pll_sync_post":[],"_links":{"self":[{"href":"https:\/\/mailnjoy.com\/blog\/wp-json\/wp\/v2\/glossary\/1352"}],"collection":[{"href":"https:\/\/mailnjoy.com\/blog\/wp-json\/wp\/v2\/glossary"}],"about":[{"href":"https:\/\/mailnjoy.com\/blog\/wp-json\/wp\/v2\/types\/glossary"}],"author":[{"embeddable":true,"href":"https:\/\/mailnjoy.com\/blog\/wp-json\/wp\/v2\/users\/3"}],"version-history":[{"count":12,"href":"https:\/\/mailnjoy.com\/blog\/wp-json\/wp\/v2\/glossary\/1352\/revisions"}],"predecessor-version":[{"id":1464,"href":"https:\/\/mailnjoy.com\/blog\/wp-json\/wp\/v2\/glossary\/1352\/revisions\/1464"}],"wp:attachment":[{"href":"https:\/\/mailnjoy.com\/blog\/wp-json\/wp\/v2\/media?parent=1352"}],"wp:term":[{"taxonomy":"glossary-cat","embeddable":true,"href":"https:\/\/mailnjoy.com\/blog\/wp-json\/wp\/v2\/glossary-cat?post=1352"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}