Office

Comment configurer l’enregistrement SPF pour Office 365 / Microsoft 365

La messagerie électronique est l’une des applications les plus anciennes d’Internet. Son développement a eu lieu à une époque où Internet n’était pas encore un réseau public. Cependant, à l’heure actuelle, les cas d’usurpation d’identité utilisant le courrier électronique se multiplient en raison de la possibilité de renseigner n’importe quelle adresse dans l’en-tête « De » d’un courriel, ce qui facilite divers abus, tels que l’hameçonnage. Heureusement, il existe maintenant des solutions pour combler cette faille. Mais ces solutions sont encore trop souvent ignorées et non mises en place.

Dans ces solutions, il y a trois mécanismes utilisant chacun le DNS, elles ont été développés pour protéger les utilisateurs contre les courriels émanant de personnes se faisant passer pour eux : SPF, DKIM et DMARC. Ensemble, ils permettent de détecter les tentatives d’usurpation et de protéger le titulaire d’un nom de domaine contre les courriels prétendument envoyés de sa part.

Aujourd’hui, nous verrons ensemble comment mettre en place l’une de ces solutions : le SPF
Ce guide s’appliquera à l’environnement Microsoft 365, mais peut tout à fait être adapté à d’autres fournisseurs de messagerie.

C’est quoi le SPF ?

Le SPF, ou Sender Policy Framework, est un protocole de sécurité conçu pour protéger les emails contre les usurpations d’identité et le spam. Il permet aux administrateurs de domaine de spécifier quels serveurs sont autorisés à envoyer des emails pour leur domaine. En faisant cela, le SPF aide à prévenir les attaques de phishing et d’autres abus liés à l’envoi de messages frauduleux.

Vous l’aurez donc compris, le SPF est la première ligne de défense et est requis par Microsoft lorsque vous souhaitez utiliser un domaine personnalisé au lieu du domaine onmicrosoft.com. Il sera donc nécessaire de créer un enregistrement SPF pour chaque domaine ou sous-domaine à partir duquel vous souhaitez envoyer des emails.

Dans cet article, je vais vous expliquer comment créer un enregistrement SPF Microsoft 365 avec Cloudflare en tant que registar. A vous d’adapter la solution si vous utilisez un autre service pour l’enregistrement de votre nom de domaine (mais perso, je vous conseille Cloudflare pour plein de bonnes raisons !)

Les avantages du SPF

Parmi les principaux avantages de l’utilisation du SPF, on peut citer :

  • Protection contre les usurpations d’identité et les emails frauduleux
  • Amélioration de la délivrabilité des emails légitimes
  • Réduction du volume de spam
  • Préservation de la réputation de l’expéditeur et du domaine

Syntaxe de l’enregistrement SPF

Un enregistrement SPF doit être créé en tant qu’enregistrement DNS TXT pour le domaine. Il doit inclure la version SPF, suivie d’un ou plusieurs mécanismes spécifiant les serveurs autorisés à envoyer des emails pour le domaine.

Voici quelques mécanismes SPF couramment utilisés :

  • v : Version de SPF. Ce tag est requis, et doit être le premier de l’enregistrement.
  • a : autorise les adresses IP associées au(x) nom(s) d’hôte spécifié(s)
  • mx : autorise les adresses IP des serveurs de messagerie spécifiés dans les enregistrements MX du domaine
  • ip4/ip6 : autorise explicitement une adresse IP ou une plage d’adresses IP
  • include : autorise les adresses IP spécifiées dans l’enregistrement SPF d’un autre domaine
  • `-all, ~all, ?all`: indiquent comment traiter les emails provenant d’adresses IP non autorisées (respectivement : refuser, accepter en marquant comme suspect, accepter sans action spécifique)

Exemple d’enregistrement SPF

Voici quelques exemples d’enregistrement SPF pour vous donner une idée à quoi cela ressemble :

Si vous utilisez Microsoft 365 :

v=spf1 include:spf.protection.outlook.com -all

Si vous utilisez G Suite (Google Workspace)

v=spf1 include:_spf.google.com -all

Si vous utilisez un serveur exchange ou autre, on-premise avec l’adresse public suivante : 86.32.20.20

v=spf1 ip4:86.32.20.20 -all

Et si vous utilisez également un service de newsletter (Mailjet dans mon example), alors il faudra combiner les deux, voici un example pour Microsoft 365 et Mailjet.

v=spf1 include:spf.protection.outlook.com include:spf.mailjet.com -all

Créer un enregistrement SPF Microsoft 365

Lorsque vous ajoutez un nouveau domaine sur Microsoft 365, un guide vous aide à ajouter l’enregistrement SPF, dans le cas de Cloudflare par exemple, c’est créé automatiquement.

Pour cela, ajouter votre domaine depuis la console d’administration Microsoft 365. Depuis « Paramètres > Domaines > Ajouter un domaine »

Ajouter votre nom de domaine

Vous serez invité à vérifier que vous êtes bien le propriétaire du domaine, il y a plusieurs méthodes pour cela, encore une fois, vous serez guidé pas à pas.

Une fois votre domaine installé, vous allez être invité à ajouter les enregistrements DNS, dont le fameux SPF ! Encore une fois, si vous utilisez Cloudflare, c’est automatique.

Sinon, rendez-vous dans votre console de gestion des DNS pour ajouter l’entrée suivante en créant une entrée « TXT » :

v=spf1 include:spf.protection.outlook.com -all

Comment vérifier votre enregistrement SPF

Il y a plusieurs manières de vérifier la bonne implémentation de votre SPF

Le centre d’administration Microsoft 365 vérifie uniquement si include:spf.protection.outlook.com est inclus dans l’enregistrement SPF. Mais il ne vérifie pas ou ne répertorie pas l’enregistrement complet.

Via Microsoft

Depuis le centre d’administration Microsoft 365, dans les paramètres, puis « Domaines », sélectionner votre domaine pour ensuite aller dans les Enregistrements DNS. Ici, vous pourrez voir l’état de votre SPF, dans le cas ci-dessous, il est correctement configuré et détecté par Microsoft.

Avec MXToolBox

Pour vérifier que votre enregistrement SPF est bien pris en compte, vous pouvez utiliser le site MXToolbox. Entrez simplement votre nom de domaine et cliquez sur « SPF Record Lookup ».

Conclusion

Vous l’aurez compris, le SPF est indispensable aujourd’hui, que ce soit pour envoyer du courrier depuis Office ou depuis un autre serveur de messagerie. Si vous utilisez des serveurs pour vos newsletters, pensez également à ajouter ces serveurs à votre SPF.

Le SPF c’est bien et c’est une première étape pour lutter contre le SPAM et l’usurpation d’email, mais pour allez plus loin et vous protéger encore plus, n’hésitez pas à configurer le DKIM ou encore le DMARC. Un article arrive dans la semaine pour ces deux autres protocoles.

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 pour la société zerobug. Je partage mes connaissances, problèmes et solutions à travers articles ou tweets !

Articles similaires

3 commentaires

  1. Un grand merci pour l’outil MXToolbox que je ne connaissais pas! Serait-il possible d’activer le zoom sur les illustrations de cet article? Parce que c’est vraiment tout petit..

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page