|
par Bruno Sousa <bruno/at/linuxfocus.org> L´auteur: Bruno est étudiant au Portugal. Il dédie son temps libre à Linux et à
la photographie. Traduit en Français par: Jean-Etienne Poirrier (homepage) |
Une introduction à SPFRésumé:
SPF est l'acronyme de Sender Policy Framework (Cadre de Politique
d'Expéditeur). SPF vise à être une norme anti-contrefaçon pour prévenir la
contrefaçon d'adresses de courriels. Cet article donne une courte introduction à
SPF, ses avantages et ses désavantages.
|
SPF est né en 2003. Son créateur, Meng Weng Wong, a repris les meilleures fonctionnalités de Reverse MX et DMP (Designated Mailer Protocol ou Protocole Désigné de Courrier) pour faire naître SPF.
SPF utilise le chemin de retour (return-path ou MAIL FROM) présent dans l'en-tête de message, puisque tous les MTA travaillent avec ces champs. Cependant, il y a une nouvelle notion, proposée par Microsoft : le PRA, qui signifie Purported Responsible Address (Adresse Prétendue Responsable). Le PRA correspond à l'adresse de l'utilisateur final qu'un MUA (comme Thunderbird) utilise.
Ainsi, quand nous mettons ensemble le SPF et le PRA, nous pouvons obenir le prétendu Sender ID qui permet, à un utilisateur recevant un courriel, d'effectuer les vérifications des champs MAIL FROM (vérification SPF) et PRA. D'une certaine manière, il est dit que les MTA vont vérifier le champ MAIL FROM et que les MUA vont vérifier le champ PRA.
Pour le moment, SPF a besoin du DNS pour fonctionner correctement. Cela signifie que les enregistrements « reverse MX » doivent être publiés. Ces enregistrements spécifient quelles machines envoient un courriel pour un domaine donné. C'est différent des enregistrements MX, utilisés de nos jours, qui spécifient les machines qui reçoivent un courriel pour un domaine donné.
Pour protéger votre système avec SPF, vous devez :
La première étape sera accomplie sur le serveur DNS où le domaine se trouve. Dans la section suivante, nous allons discuter les détails des enregistrements. Une chose que vous devez garder à l'esprit est la syntaxe que votre serveur DNS utilise (bind ou djbdns). Mais ne soyez pas effrayés : le site officiel de SPF fournit une aide excellente qui vous instruira.
L'enregistrement SPF est contenu dans un enregistrement TXT et son format est le suivant :
v=spf1 [[pre] type [ext] ] ... [mod]
La signification de chaque paramètre est la suivante :
Paramètre | Description | ||||||||||||||||||
v=spf1 | Version de SPF. Lorsque vous utilisez SenderID, vous pourriez voir v=spf2 | ||||||||||||||||||
pre | Définit un code de retour lorsqu'une correspondance survient.
Les valeurs possibles sont :
|
||||||||||||||||||
type | Définit le type à utiliser pour les vérifications
Les valeurs possibles sont :
|
||||||||||||||||||
ext | Définit une extension en option au type. S'il est omis, alors un seul enregistrement est utilisé pour l'interrogation. | ||||||||||||||||||
mod | C'est la dernière directive de type et elle agit comme
modificateur d'enregistrement.
|
Les FAI auront quelques « problèmes » avec leurs utilisateurs itinérants s'ils utilisent des mécanismes comme POP-before-Relay à la place de SASL SMTP.
Bien, si vous êtes un FAI inquiet du spam et des contrefaçons, vous devez considérer votre politique à propos des courriels et commencer à utiliser SPF.
Voici quelques étapes que vous devriez considérer :
Et, avec cela, vous protégez vos serveurs, vos clients et le monde contre le spam...
Il y a beaucoup d'informations pour vous sur le site officiel de SPF... Qu'est-ce que vous attendez ?
SPF est une solution parfaite pour vous protéger contre la fraude. Elle a cependant une limitation : le suivi (forwarding) traditionnel de courriel ne fonctionnera plus. Vous ne pouvez pas simplement recevoir un courriel dans votre MTA et le renvoyer. Vous devez réécrire l'adresse de l'expéditeur. Des correctifs pour les MTA répandus sont fournis sur le site de SPF. En d'autres mots, si vous commencez à publier des enregistrements SPF dans le DNS, vous devriez également mettre à jour votre MTA pour qu'il réécrive les adresses d'expéditeur, même si vous ne vérifiez pas encore les enregistrements SPF.
Vous pourriez penser que l'implémentation de SPF pourrait être quelque peu confuse. Et bien, en effet, ce n'est pas compliqué et, en passant, vous avez une aide géniale qui vous aide à accomplir votre mission (voyez la section des références).
Si vous êtes préoccupés à propos du spam, alors SPF vous aidera en protégeant votre domaine de contrefaçons et tout ce que vous avez à faire est ajouter une ligne de texte dans votre serveur DNS et configurer votre serveur de courrier électronique.
Les avantages que SPF apporte sont géants. Cependant, comme je l'ai dit à quelqu'un, ce n'est pas une aussi grande différence qu'entre le jour et la nuit. Les bénéfices de SPF viendront avec le temps, lorsque les autres y adhéreront.
J'ai fait référence au Sender ID et sa relation à SPF, mais je ne me suis pas étendu en explications à ce sujet. Vous en connaissez déjà probablement la raison : la politique de Microsoft est toujours la même, à savoir le brevetage de logiciels. Dans les références, vous pouvez voir la position d'openspf.org sur SenderID.
Dans un prochain article, nous parlerons de la configuration de MTA. A plus tard !
J'espère vous avoir donné une courte introduction à SPF. Si vous souhaitez en apprendre plus à ce sujet, utilisez simplement les références qui ont été utilisées pour écrire cet article.
Site Web maintenu par l´équipe d´édition LinuxFocus
© Bruno Sousa "some rights reserved" see linuxfocus.org/license/ http://www.LinuxFocus.org |
Translation information:
|
2005-02-08, generated by lfparser_pdf version 2.51