Geekflare
Geekflare est soutenu par son public. Nous pouvons percevoir des commissions d'affiliation sur les liens d'achat présents sur ce site.
En Sécurité et Gestion des tests  |  Dernière mise à jour : 25 septembre 2023
Partager sur :
Invicti Web Application Security Scanner - la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Comment tester et corriger la vulnérabilité de l'enregistrement SPF manquant/la mystification des courriels ?

Par
email spf test

L’absence d’enregistrement SPF (Sender Policy Framework) pour un domaine peut aider un pirate à envoyer des courriels usurpés, qui sembleront provenir du vrai domaine.

Non seulement cela, mais cela se traduira également par l’envoi d’emails dans la boîte SPAM lorsque le SPF est manquant.

Dernièrement, j’ai effectué un scan de vulnérabilité sur mon site web via Detectify et j’ai trouvé cet élément critique à corriger.

spf-vulnerability

Il est essentiel d’avoir un enregistrement SPF pour votre domaine afin d’éviter que vos emails n’atterrissent dans le dossier SPAM ou qu’ils ne soient usurpés.

Jetons un coup d’œil aux outils en ligne suivants pour tester les enregistrements SPF.

Kitterman

L’outil de recherche SPF de Kitterman vous permet de vérifier rapidement si l’enregistrement SPF existe pour un domaine.

MX Toolbox

MX Toolbox est un autre outil de vérification des enregistrements SPF, ainsi que de nombreux autres outils de recherche liés aux emails.

Vous pouvez en essayer d’autres ici.

Comment réduire le risque ?

Pour corriger la vulnérabilité, vous devez ajouter les détails SPF sur votre domaine en tant qu’enregistrement TXT. Votre hébergeur ou fournisseur de solutions de messagerie vous communiquera les détails SPF. Si vous n’en avez pas, vous pouvez vérifier auprès de votre fournisseur d’hébergement.

Voici quelques exemples.

Zoho

v=spf1 mx include:zoho.com ~all

Mailgun

"v=spf1 include:mailgun.org ~all"

Si vous utilisez plusieurs solutions de messagerie, vous pouvez les regrouper dans un seul enregistrement DNS. L’exemple ci-dessous couvre Google, Mailgun et Zendesk.

v=spf1 include:_spf.google.com include:mailgun.org include:mail.zendesk.com -all

Une fois que vous avez les détails SPF, connectez-vous au registraire du domaine et ajoutez-les en tant qu’enregistrement TXT. Si vous n’êtes pas sûr, vous pouvez vous adresser à votre fournisseur qui vous guidera. Cependant, si vous utilisez Cloudflare, voici les instructions rapides.

  • Connectez-vous à Cloudflare
  • Cliquez sur l’onglet DNS
  • Sélectionnez le type TXT et entrez les détails comme indiqué ci-dessous

cloudflare-add-spf

Cela peut prendre quelques secondes pour se propager et une fois que c’est fait, vous pouvez tester les détails SPF dans les outils listés ci-dessus.

spf-test

Maintenant, mon domaine est protégé contre les SPF manquants et j’espère que cela vous aidera à protéger votre activité de messagerie.

  • Chandan Kumar
    Auteur
    Chandan Kumar est le fondateur de Geekflare. Il a aidé des millions de personnes à exceller dans le domaine numérique. Passionné de technologie, il s'est donné pour mission d'explorer le monde et d'amplifier la croissance des professionnels et des entreprises.
Merci à nos sponsors
Autres lectures sur la sécurité
Alimentez votre entreprise
Quelques outils et services pour aider votre entreprise à se développer.
  • Invicti
    Invicti utilise le Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Brightdata
    Web scraping, proxy résidentiel, proxy manager, web unlocker, search engine crawler, et tout ce dont vous avez besoin pour collecter des données web.
    Essayez Brightdata
  • Lundi.com
    Monday.com est un système d'exploitation tout-en-un qui vous aide à gérer vos projets, vos tâches, votre travail, vos ventes, votre CRM, vos opérations, vos flux de travail et bien plus encore.
    Essayez le lundi
  • Intrus
    Intruder est un scanner de vulnérabilité en ligne qui détecte les faiblesses de votre infrastructure en matière de cybersécurité, afin d'éviter des violations de données coûteuses.
    Essayer l'intrus