Les enregistrements SPF (Sender Policy Framework) permettent aux propriétaires de domaine de spécifier les hôtes autorisés à envoyer des e-mails pour le compte de leur domaine. Le protocole SMTP normal permettant d'envoyer un e-mail de n'importe quel ordinateur avec un expéditeur quelconque, les expéditeurs de courrier indésirable peuvent donc envoyer très facilement des e-mails portant une fausse adresse d'expédition. SPF permet au propriétaire d'un domaine d'utiliser des enregistrements TXT DNS de format spécial afin de désigner les ordinateurs et les hôtes autorisés à envoyer des e-mails au nom de ce domaine. La falsification des adresses d'expédition est donc plus difficile. Par exemple, si vous possédez le domaine exemple.com, vous pouvez désigner les hôtes autorisés à envoyer des e-mails avec une adresse d'expédition du type utilisateur@exemple.com. Le serveur du destinataire identifie l'origine de votre message en vérifiant l'enregistrement SPF. Modification de SPF Les entrées SPF ne peuvent pas être modifiées directement car cela génère des erreurs d'écriture. La procédure à suivre est : - Création du nouvel SPF - Suppression de l'ancien Exemples de SPF pour un enregistrement de type "générique" (à compléter avec vos informations) Utilisez le type TXT pour créer votre entrée DNS sur le modèle suivant : domain.com 3600 TXT v=spf1 a mx ip4:XX.XX.XXX.XXX ip4:XX.XXX.XX.XXX -all Si vous utilisez les services de messagerie SafeBrands : domain.com. 3600 TXT v=spf1 a mx include:mailclub.fr include:safebrands.com include:mailout.safebrands.com ip4:XX.XX.XXX.XXX ip4:XX.XXX.XX.XXX -all Si vous utilisez les services Microsoft Office 365 pour Outlook : domain.com. 3600 TXT v=spf1 a mx include:spf.protection.outlook.com ip4:XX.XX.XXX.XXX ip4:XX.XXX.XX.XXX -all Indiquez les adresses IP autorisées à émettre des emails via ce nom de domaine : adresse IP de votre serveur d'hébergement de messagerie, adresse(s) IP de votre FAI, etc. ↪︎ Pour générer vos enregistrements SPF : https://spfrecord.io/ ↪︎ Pour tester, vérifier et valider vos entrées SPF : https://www.kitterman.com/spf/validate.html Pour en savoir plus et vous aider : https://support.safebrands.com/le-sender-policy-framework/ SRV : Un enregistrement SRV (Service Resource Record) ou enregistrement de service est une catégorie de données du Domain Name System (DNS) d'Internet permettant de déterminer et d'indiquer quels services sont proposés pour votre domaine/sous-domaine. Les enregistrements SRV sont souvent utilisés pour les protocoles XMPP, SIP ou LDAP, ainsi que pour l'utilisation d'Office 365. Il est préférable de ne pas modifier directement les entrées SRV car cela génère souvent des erreurs d'écriture. A la place, la procédure à privilégier est la suivante : - Création du nouveau SRV - Suppression de l'ancien SRV DKIM : Un enregistrement DKIM permet d'authentifier votre domaine et les expéditeurs d'emails. Votre domaine peut comporter plusieurs enregistrements DKIM sans que cela ne pose problème, contrairement à l’authentification SPF. Pour ajouter une entrée DKIM, créez un nouvel enregistrement DNS de type TXT. L'enregistrement DNS de type 'DKIM' n'existe pas. Il s'agit d'un enregistrement TXT classique. Dans le champ "Sous-domaine", ajoutez la valeur suivante : selector._domainkey pour obtenir après validation le sous-domaine suivant selector._domainkey.votredomaine.com. • selector correspond au sélecteur associé à la clé publique / token générée, qui sera utilisée comme valeur • votredomaine.com correspond au nom de domaine que vous souhaitez authentifier avec son extension Les DKIM ne peuvent pas être créés sur tous les serveurs mutualisés. Cela dépendra de la configuration du serveur. Contactez-nous pour en savoir plus si vous êtes en formule d'hébergement mutualisé. Contactez notre support pour la génération d'une clé DKIM en production, et obtenir les informations nécessaires à l'ajout de l'enregistrement TXT (DKIM). En savoir plus sur le DKIM : https://support.safebrands.com/dkim-domainkeys-identified-mail/ DMARC : DMARC est un protocole d’ authentification des emails, de stratégie de messagerie et de compte rendu de messagerie. L’enregistrement DMARC habilite les entrées SPF et DKIM en énonçant une stratégie claire qui doit être utilisée pour les 2, et permet de définir une adresse pouvant être utilisée pour envoyer des rapports sur les statistiques de messagerie collectées sur le domaine spécifique par les destinataires et récepteurs. À un niveau élevé, DMARC est conçu pour répondre aux exigences suivantes : • Minimisez les faux positifs. • Fournissez des rapports d’authentification robustes. • Affirmez la politique de l’expéditeur aux destinataires. • Réduisez la livraison de phishing réussie. • Travaillez à l’échelle globale Internet. • Minimisez la complexité. En savoir plus sur DMARC : https://support.safebrands.com/dmarc-domain-based-message-authentication-reporting-and-conformance/ Autres Types d'enregistrements : Enregistrement ALIAS : https://support.safebrands.com/enregistrement-dns-alias/ Retrouvez tous les types d'enregistrements DNS ici : https://support.safebrands.com/types-denregistrement-dns/ Pour tous les autres types d'enregistrement non cités et non disponibles via le menu de l'interface, il est généralement possible de les remplacer par des types génériques TXT. En cas de difficulté ou d'impossibilité pour ajouter un enregistrement à votre zone, contactez notre support ou directement votre chargé de clientèle si vous en avez un. Définir le TTL : Time to Live Lorsqu’un internaute visite un site, il indique l'adresse URL du site dans son navigateur. Le fournisseur d'accès interroge alors les DNS du nom de domaine correspondant, et il va récupérer les données du fichier de zone : le TTL (Time To Live) et l'adresse IP. Le TTL est une unité de temps exprimée en secondes pendant laquelle le fournisseur d'accès va garder l'IP en cache. Dans l’exemple ci-dessous, la durée de temps (TTL) est de 86400 secondes (soit une journée) et l'IP est 195.64.164.187 : www.votredomaine.ext 86400 IN A 195.64.164.187 Cela signifie que le fournisseur d'accès va garder en mémoire l'IP 195.64.164.187 pendant une journée. Une fois que le fournisseur d'accès a fait sa première requête, le TTL décroit jusqu’à zéro. Si vous avez des modifications à apporter à votre zone et que vous souhaitez que le délai de propagation soit plus court, il vous suffit de baisser les TTL à une valeur inférieure (300 par exemple), 24 ou 48 heures avant vos modifications. Remettez après la valeur à 33200 ou 86400. MODIFICATION DES SERVEURS DE NOMS (NS) FAISANT AUTORITE SUR LA ZONE Section 4.2 Configurer vos serveurs DNS : Cliquez sur le lien [4.2 Configurer vos serveurs DNS] et renseignez le nom de domaine sur lequel vous souhaitez agir. Cette fonction permet de modifier les serveurs DNS déclarés auprès des registres de vos noms de domaine. Ces modifications seront visibles dans les bases de données Whois. Attention : Si vous modifiez les serveurs DNS en remplaçant ceux de SafeBrands par ceux d’un autre prestataire, vous serez dans l'impossibilité d'utiliser les services de redirection ou de gestion de zone DNS personnalisés inclus dans votre offre Basic Plus. Nous vous invitons à vous rapprocher de votre chargé de clientèle SafeBrands ou du support technique en cas de doute. Cette page vous indique les serveurs actuellement utilisés par le domaine sélectionné. Saisissez les nouveaux serveurs à utiliser dans le bloc de droite. Vous pouvez indiquer un serveur DNS primaire et jusqu’à 8 serveurs DNS secondaires. NB : Un lien en bas du tableau de droite vous permet de renseigner automatiquement les DNS SafeBrands en cliquant sur [Utiliser les DNS SafeBrands] : Serveur Maître : a.ns.mailclub.fr, Serveur Esclave : b.ns.mailclub.eu, Serveur Esclave : c.ns.mailclub.com (ou ns1.SafeBrands.fr et ns2.SafeBrands.fr) apparaîtront respectivement en serveur primaire et serveur(s) secondaire(s). Les modifications sont automatiques pour les domaines utilisant les extensions suivantes : .COM, .NET, .ORG, .INFO, .BIZ, .FR, .EU, .BE, .LU, .ASIA, .PL, .CO.UK, .ES, .IT, .SE. Elles sont effectuées manuellement pour toutes les autres extensions. Si votre domaine est dans une autre extension que celles indiquées ci-dessus, il faudra donc nous avertir du changement de serveurs NS que vous avez effectué pour que nous l'activions de notre côté manuellement car la bascule n'est pas opérée automatiquement. Pour cela, contactez votre chargé de compte si vous en avez un, ou à défaut le support. Ces modifications sont effectives dans tous les cas après un temps de propagation (TTL) de 24 à 48 heures après leur validation automatique ou manuelle. NB : Si vous avez besoin de paramétrer une redirection web par URL (http, https ou ftp), rendez-vous dans l'interface -> 4.3 Vos redirections web Cliquez ci-dessous pour savoir comment paramétrer une redirection web, d’une URL vers une autre URL (http, https, ftp) : https://support.safebrands.com/parametrer-une-redirection-url/ Pour aller plus loin : Le fonctionnement du DNS et ses conséquences - bortzmeyer.org...