Une introduction � SPF

ArticleCategory: [Choose a category, translators: do not translate this, see list below for available categories]

Software Development

AuthorImage:[Here we need a little image from you]

[Photo of the Author]

TranslationInfo:[Author + translation history. mailto: or http://homepage]

original in en Bruno Sousa 

en to fr Jean-Etienne Poirrier

AboutTheAuthor:[A small biography about the author]

Bruno est �tudiant au Portugal. Il d�die son temps libre � Linux et � la photographie.

Abstract:[Here you write a little summary]

SPF est l'acronyme de Sender Policy Framework (Cadre de Politique d'Exp�diteur). SPF vise � �tre une norme anti-contrefa�on pour pr�venir la contrefa�on d'adresses de courriels. Cet article donne une courte introduction � SPF, ses avantages et ses d�savantages.

ArticleIllustration:[One image that will end up at the top of the article]

[Illustration]

ArticleBody:[The main part of the article]

SPF est n� en 2003. Son cr�ateur, Meng Weng Wong, a repris les meilleures fonctionnalit�s de Reverse MX et DMP (Designated Mailer Protocol ou Protocole D�sign� de Courrier) pour faire na�tre SPF.

SPF utilise le chemin de retour (return-path ou MAIL FROM) pr�sent dans l'en-t�te de message, puisque tous les MTA travaillent avec ces champs. Cependant, il y a une nouvelle notion, propos�e par Microsoft : le PRA, qui signifie Purported Responsible Address (Adresse Pr�tendue Responsable). Le PRA correspond � l'adresse de l'utilisateur final qu'un MUA (comme Thunderbird) utilise.

Ainsi, quand nous mettons ensemble le SPF et le PRA, nous pouvons obenir le pr�tendu Sender ID qui permet, � un utilisateur recevant un courriel, d'effectuer les v�rifications des champs MAIL FROM (v�rification SPF) et PRA. D'une certaine mani�re, il est dit que les MTA vont v�rifier le champ MAIL FROM et que les MUA vont v�rifier le champ PRA.

Pour le moment, SPF a besoin du DNS pour fonctionner correctement. Cela signifie que les enregistrements � reverse MX � doivent �tre publi�s. Ces enregistrements sp�cifient quelles machines envoient un courriel pour un domaine donn�. C'est diff�rent des enregistrements MX, utilis�s de nos jours, qui sp�cifient les machines qui re�oivent un courriel pour un domaine donn�.

De quoi a besoin SPF pour fonctionner ?

Pour prot�ger votre syst�me avec SPF, vous devez :

  1. Configurer votre DNS pour ajouter l'enregistrement TXT o� sont introduites les informations que SPF requiert.
  2. Configurer votre syst�me de courriel (qmail, sendmail) pour utiliser SPF ; cela signifie d'effectuer la v�rification sur chaque message re�u sur votre serveur.

La premi�re �tape sera accomplie sur le serveur DNS o� le domaine se trouve. Dans la section suivante, nous allons discuter les d�tails des enregistrements. Une chose que vous devez garder � l'esprit est la syntaxe que votre serveur DNS utilise (bind ou djbdns). Mais ne soyez pas effray�s : le site officiel de SPF fournit une aide excellente qui vous instruira.

L'enregistrement TXT de SPF

L'enregistrement SPF est contenu dans un enregistrement TXT et son format est le suivant :

		v=spf1 [[pre] type [ext] ] ... [mod]

La signification de chaque param�tre est la suivante :

Param�tre Description
v=spf1 Version de SPF. Lorsque vous utilisez SenderID, vous pourriez voir v=spf2
pre D�finit un code de retour lorsqu'une correspondance survient.

Les valeurs possibles sont :
Valeur Description
+ Par d�faut. Signifie � passe � lorsqu'un test est concluant.
- Signifie � rate un test �. Cette valeur est normalement appliqu�e � -all pour dire qu'il n'y a pas eu de correspondances, pr�c�demment.
~ Signifie un � �chec mou � (softfail). Cette valeur est normalement appliqu�e lorsqu'un test n'est pas concluant.
? Signifie � neutre �. Cette valeur est normalement appliqu�e lorsqu'un test n'est pas concluant.
type D�finit le type � utiliser pour les v�rifications

Les valeurs possibles sont :
Valeur Description
include pour inclure les tests d'un domaine fourni.
Cela s'�crit sous la forme : include:domaine
all pour terminer la s�quences des tests.
Par exemple, si c'est -all, alors tous les tests qui n'ont pas �t� rencontr�s jusqu'� pr�sent sont rat�s. Mais s'il y a une incertitude, il peut �tre utilis� sous la forme de ?all qui signifie que le test sera accept�.
ip4 Utilise une IP version 4 pour la v�rification.
Cela peut �tre utilis� sous la forme ipv4:ipv4 ou ipv4:ipv4/cidr pour d�finir une gamme. Ce type est le plus recommand� car il donne la plus petite charge sur les serveurs DNS.
ip6 Utiliser une IP version 6 pour la v�rification.
a Utilise un nom de domaine pour la v�rification.
Cela effectuera une recherche sur le DNS pour un A RR.
Il peut �tre utilis� sous la forme a:domaine, a:domaine/cidr ou a/cidr.
mx Utilise le MX RR du DNS pour la v�rification.
Le MX RR d�fini le MTA qui re�oit ; par exemple, si ce n'est pas le m�me que le MTA qui envoie, les tests bas�s sur le MX seront rat�s.
Il peut �tre utilis� sous la forme mx:domain, mx:domain/cidr ou mx/cidr.
ptr Utilise le PTR RR du DNS pour la v�rification.
Dans ce cas, un PTR RR est utilis�, ainsi qu'une requ�te de carte inverse (reverse map query). Si le nom d'h�te retourn� est dans le m�me domaine, la communication est v�rifi�e.
Il peut �tre utilis� sour la forme ptr:domain
exist Teste l'existence d'un domaine.
Il peut �tre �crit sous la forme exist:domain.
ext D�finit une extension en option au type. S'il est omis, alors un seul enregistrement est utilis� pour l'interrogation.
mod C'est la derni�re directive de type et elle agit comme modificateur d'enregistrement.

modificateur Description
redirect Redirige la v�rification vers l'utilisation des enregistrements SPF d'un domaine d�fini.
C'est utilis� sous la forme redirect=domain.
exp Cet enregistrement doit �tre le dernier et il permet de personnaliser le message d'�chec.

IN TXT "v=spf1 mx -all exp=getlost.exemple.com"
getlost IN TXT "Vous n'�tes pas autoris� � envoyer un message pour 
														le domaine"


H�, je suis un FAI

Les FAI auront quelques � probl�mes � avec leurs utilisateurs itin�rants s'ils utilisent des m�canismes comme POP-before-Relay � la place de SASL SMTP.

Bien, si vous �tes un FAI inquiet du spam et des contrefa�ons, vous devez consid�rer votre politique � propos des courriels et commencer � utiliser SPF.

Voici quelques �tapes que vous devriez consid�rer :

  1. Tout d'abord, configurez votre MTA pour utiliser SASL ; par exemple, vous pouvez l'activer sur les ports 25 et 587.
  2. Avertissez vos utilisateurs sur la politique que vous �tes en train d'impl�menter (le spf.pobox.com vous fournit un exemple, voyez les r�f�rences).
  3. Donnez � vos utilisateurs une p�riode de gr�ce ; cela signifie que vous allez publier vos enregistrements SPF dans le DNS mais avec un �chec mou (softfail) (~all) � la place d'un �chec (-all) aux tests.

Et, avec cela, vous prot�gez vos serveurs, vos clients et le monde contre le spam...

Il y a beaucoup d'informations pour vous sur le site officiel de SPF... Qu'est-ce que vous attendez ?

Quelles sont les choses auxquelles il faut faire attention ?

SPF est une solution parfaite pour vous prot�ger contre la fraude. Elle a cependant une limitation : le suivi (forwarding) traditionnel de courriel ne fonctionnera plus. Vous ne pouvez pas simplement recevoir un courriel dans votre MTA et le renvoyer. Vous devez r��crire l'adresse de l'exp�diteur. Des correctifs pour les MTA r�pandus sont fournis sur le site de SPF. En d'autres mots, si vous commencez � publier des enregistrements SPF dans le DNS, vous devriez �galement mettre � jour votre MTA pour qu'il r��crive les adresses d'exp�diteur, m�me si vous ne v�rifiez pas encore les enregistrements SPF.

Conclusion

Vous pourriez penser que l'impl�mentation de SPF pourrait �tre quelque peu confuse. Et bien, en effet, ce n'est pas compliqu� et, en passant, vous avez une aide g�niale qui vous aide � accomplir votre mission (voyez la section des r�f�rences).

Si vous �tes pr�occup�s � propos du spam, alors SPF vous aidera en prot�geant votre domaine de contrefa�ons et tout ce que vous avez � faire est ajouter une ligne de texte dans votre serveur DNS et configurer votre serveur de courrier �lectronique.

Les avantages que SPF apporte sont g�ants. Cependant, comme je l'ai dit � quelqu'un, ce n'est pas une aussi grande diff�rence qu'entre le jour et la nuit. Les b�n�fices de SPF viendront avec le temps, lorsque les autres y adh�reront.

J'ai fait r�f�rence au Sender ID et sa relation � SPF, mais je ne me suis pas �tendu en explications � ce sujet. Vous en connaissez d�j� probablement la raison : la politique de Microsoft est toujours la m�me, � savoir le brevetage de logiciels. Dans les r�f�rences, vous pouvez voir la position d'openspf.org sur SenderID.

Dans un prochain article, nous parlerons de la configuration de MTA. A plus tard !

J'esp�re vous avoir donn� une courte introduction � SPF. Si vous souhaitez en apprendre plus � ce sujet, utilisez simplement les r�f�rences qui ont �t� utilis�es pour �crire cet article.

R�f�rences

Le site officiel de SPF.
La FAQ officielle de SPF.
L'aide officielle de SPF.
La position d'openspf.org � propos de SenderID.
Un excellent article � propos de SenderID et SPF.
Avertissez vos utilisateurs sur la conversion SASL.
COMMENT (HOWTO) - D�finir un enregistrement SPF.