Comment Microsoft 365 utilise SPF (Sender Policy Framework) pour éviter l’usurpationHow Microsoft 365 uses Sender Policy Framework (SPF) to prevent spoofing

Résumé : Cet article explique comment Microsoft 365 utilise l’enregistrement TXT SPF (Sender Policy Framework) dans le système DNS pour s’assurer que les systèmes de messagerie de destination approuvent les messages envoyés à partir de votre domaine personnalisé.Summary: This article describes how Microsoft 365 uses the Sender Policy Framework (SPF) TXT record in DNS to ensure that destination email systems trust messages sent from your custom domain. Cela s’applique aux messages sortants envoyés à partir de Microsoft 365.This applies to outbound mail sent from Microsoft 365. Les messages envoyés par Microsoft 365 à un destinataire au sein de Microsoft 365 passent toujours par SPF.Messages sent from Microsoft 365 to a recipient within Microsoft 365 will always pass SPF.

Un enregistrement TXT SPF est un enregistrement DNS qui permet d'éviter l' usurpation et le hameçonnage en vérifiant le nom du domaine à partir duquel les messages électroniques sont envoyés. SPF valide l'origine des messages électroniques en vérifiant l'adresse IP de l'expéditeur par rapport à celle du prétendu propriétaire du domaine d'expédition.An SPF TXT record is a DNS record that helps prevent spoofing and phishing by verifying the domain name from which email messages are sent. SPF validates the origin of email messages by verifying the IP address of the sender against the alleged owner of the sending domain.

Notes

Les types d'enregistrement SPF ont été déconseillés par le groupe de travail IETF (Internet Engineering Task Force) en 2014. À la place, veillez à utiliser des enregistrements TXT dans le système DNS pour publier vos informations SPF. Le reste de cet article utilise le terme « enregistrement TXT SPF » pour plus de clarté.SPF record types were deprecated by the Internet Engineering Task Force (IETF) in 2014. Instead, ensure that you use TXT records in DNS to publish your SPF information. The rest of this article uses the term SPF TXT record for clarity.

Les administrateurs de domaine publient des informations SPF dans les enregistrements TXT au sein du système DNS.Domain administrators publish SPF information in TXT records in DNS. Les informations SPF identifient les serveurs de messagerie sortants autorisés.The SPF information identifies authorized outbound email servers. Les systèmes de messagerie électronique de destination vérifient que les messages proviennent de serveurs de messagerie sortants autorisés.Destination email systems verify that messages originate from authorized outbound email servers. Si vous êtes déjà familiarisé avec SPF, ou si vous disposez d’un déploiement simple et que vous avez simplement besoin de savoir ce que vous devez inclure dans votre enregistrement TXT SPF dans le système DNS pour Microsoft 365, vous pouvez accéder à la rubrique Configurer SPF dans microsoft 365 pour éviter l’usurpation.If you are already familiar with SPF, or you have a simple deployment, and just need to know what to include in your SPF TXT record in DNS for Microsoft 365, you can go to Set up SPF in Microsoft 365 to help prevent spoofing. Si vous ne disposez pas d’un déploiement entièrement hébergé dans Microsoft 365 ou si vous souhaitez plus d’informations sur le fonctionnement de SPF ou sur la façon de résoudre les problèmes de SPF pour Microsoft 365, continuez la lecture.If you do not have a deployment that is fully-hosted in Microsoft 365, or you want more information about how SPF works or how to troubleshoot SPF for Microsoft 365, keep reading.

Notes

Auparavant, vous deviez ajouter un autre enregistrement TXT SPF à votre domaine personnalisé si vous utilisiez également SharePoint Online.Previously, you had to add a different SPF TXT record to your custom domain if you also used SharePoint Online. Cela n'est plus nécessaire.This is no longer required. Ce changement doit réduire le risque que les messages de notification SharePoint Online terminent dans le dossier Courrier indésirable.This change should reduce the risk of SharePoint Online notification messages ending up in the Junk Email folder. Vous n’avez pas besoin d’effectuer des modifications immédiatement, mais si vous recevez l’erreur « trop de recherches », modifiez votre enregistrement TXT SPF comme décrit dans la rubrique set up SPF in Microsoft 365 pour éviter l’usurpation d’identité.You do not need to make any changes immediately, but if you receive the "too many lookups" error, modify your SPF TXT record as described in Set up SPF in Microsoft 365 to help prevent spoofing.

Fonctionnement de SPF pour éviter l’usurpation et le hameçonnage dans Microsoft 365How SPF works to prevent spoofing and phishing in Microsoft 365

SPF détermine si un expéditeur est autorisé à envoyer des messages au nom d'un domaine. Si l'expéditeur n'y est pas autorisé, autrement dit, si la vérification SPF du message électronique échoue sur le serveur de réception, la stratégie de courrier indésirable configurée sur ce serveur détermine l'action à entreprendre avec le message.SPF determines whether or not a sender is permitted to send on behalf of a domain. If the sender is not permitted to do so, that is, if the email fails the SPF check on the receiving server, the spam policy configured on that server determines what to do with the message.

Chaque enregistrement TXT SPF contient trois parties : la déclaration indiquant qu'il s'agit d'un enregistrement TXT SPF, les adresses IP qui sont autorisées à envoyer des messages à partir de votre domaine et les domaines externes pouvant envoyer des messages au nom de votre domaine, ainsi qu'une règle de mise en œuvre.Each SPF TXT record contains three parts: the declaration that it is an SPF TXT record, the IP addresses that are allowed to send mail from your domain and the external domains that can send on your domain's behalf, and an enforcement rule. Ces trois éléments sont obligatoires pour un enregistrement TXT SPF valide.You need all three in a valid SPF TXT record. Cet article explique comment créer votre enregistrement TXT SPF et fournit les meilleures pratiques pour utiliser les services dans Microsoft 365.This article describes how you form your SPF TXT record and provides best practices for working with the services in Microsoft 365. Des liens vers des instructions sur l’utilisation de votre bureau d’enregistrement de domaine pour publier votre enregistrement dans DNS sont également disponibles.Links to instructions on working with your domain registrar to publish your record to DNS are also provided.

Concepts de base SPF : adresses IP autorisées à envoyer des messages à partir de votre domaine personnaliséSPF basics: IP addresses allowed to send from your custom domain

Examinez la syntaxe de base pour une règle SPF :Take a look at the basic syntax for an SPF rule:

v = spf1 <IP><enforcement rule>v=spf1 <IP> <enforcement rule>

Par exemple, supposons que la règle SPF suivante existe pour contoso.com :For example, let's say the following SPF rule exists for contoso.com:

v = spf1 <IP address #1> <IP address #2> <IP address #3><enforcement rule>v=spf1 <IP address #1> <IP address #2> <IP address #3> <enforcement rule>

Dans cet exemple, la règle SPF demande au serveur de messagerie de réception d'accepter uniquement les messages provenant de ces adresses IP pour le domaine contoso.com :In this example, the SPF rule instructs the receiving email server to only accept mail from these IP addresses for the domain contoso.com:

  • Adresse IP 1IP address #1

  • Adresse IP 2IP address #2

  • Adresse IP 3IP address #3

Cette règle SPF indique au serveur de messagerie de réception que si un message provient de contoso.com, mais pas de l'une de ces trois adresses IP, le serveur de réception doit appliquer la règle de mise en œuvre au message. La règle de mise en œuvre est généralement l'une des options suivantes :This SPF rule tells the receiving email server that if a message comes from contoso.com, but not from one of these three IP addresses, the receiving server should apply the enforcement rule to the message. The enforcement rule is usually one of these options:

  • Échec sévère. Marquez « échec sévère » dans l'enveloppe du message, puis suivez la stratégie de courrier indésirable configurée du serveur de réception pour ce type de message.Hard fail. Mark the message with 'hard fail' in the message envelope and then follow the receiving server's configured spam policy for this type of message.

  • Échec partiel. Marquez « échec partiel » dans l'enveloppe du message. En règle générale, les serveurs de messagerie sont configurés pour remettre ce type de message. La plupart des utilisateurs finaux ne voient pas cette marque.Soft fail. Mark the message with 'soft fail' in the message envelope. Typically, email servers are configured to deliver these messages anyway. Most end users do not see this mark.

  • Neutre. Ne faites rien, autrement dit, ne marquez pas l'enveloppe du message. Cette marque est généralement réservée à des fins de test et est rarement utilisée.Neutral. Do nothing, that is, do not mark the message envelope. This is usually reserved for testing purposes and is rarely used.

Les exemples suivants montrent comment SPF fonctionne dans plusieurs situations différentes. Dans ces exemples, contoso.com est l’expéditeur et woodgrovebank.com est le destinataire.The following examples show how SPF works in different situations. In these examples, contoso.com is the sender and woodgrovebank.com is the receiver.

Exemple 1 : authentification de messagerie d’un message envoyé directement de l’expéditeur au destinataireExample 1: Email authentication of a message sent directly from sender to receiver

SPF fonctionne de manière optimale lorsque le chemin entre l'expéditeur et le destinataire est direct, par exemple :SPF works best when the path from sender to receiver is direct, for example:

Diagramme illustrant comment SPF authentifie le courrier électronique lorsqu'il est envoyé directement d'un serveur à l'autre.

Quand woodgrovebank.com reçoit le message, si l'adresse IP 1 se trouve dans l'enregistrement TXT SPF pour contoso.com, le message passe la vérification SPF et est authentifié.When woodgrovebank.com receives the message, if IP address #1 is in the SPF TXT record for contoso.com, the message passes the SPF check and is authenticated.

Exemple 2 : l’adresse d’expéditeur falsifiée ne passe pas la vérification SPFExample 2: Spoofed sender address fails the SPF check

Supposons qu'un auteur de hameçonnage trouve un moyen d'usurper contoso.com :Suppose a phisher finds a way to spoof contoso.com:

Diagramme illustrant la façon dont SPF authentifie le courrier électronique envoyé à partir d'un serveur falsifié.

Étant donné que l'adresse IP 12 n'est pas dans l'enregistrement TXT SPF de contoso.com, le message ne passe pas la vérification SPF et le destinataire peut choisir de le marquer comme courrier indésirable.Since IP address #12 is not in contoso.com's SPF TXT record, the message fails the SPF check and the receiver may choose to mark it as spam.

Exemple 3 : messages transférés et SPFExample 3: SPF and forwarded messages

SPF présente un désavantage qui réside dans le fait qu'il ne fonctionne pas lorsqu'un message électronique a été transféré. Par exemple, supposons que l'utilisateur woodgrovebank.com a défini une règle de transfert pour envoyer tous les messages électroniques vers un compte outlook.com :One drawback of SPF is that it doesn't work when an email has been forwarded. For example, suppose the user at woodgrovebank.com has set up a forwarding rule to send all email to an outlook.com account:

Diagramme indiquant comment SPF ne peut pas authentifier le courrier électronique lorsque le message est transféré.

Le message passe d'abord la vérification SPF sur woodgrovebank.com mais il échoue lors de la vérification SPF sur outlook.com, car l'adresse IP 25 ne figure pas dans l'enregistrement TXT SPF de contoso.com. Outlook.com peut ensuite marquer le message comme courrier indésirable. Pour contourner ce problème, utilisez SPF avec d'autres méthodes d'authentification de courrier électronique, comme DKIM et DMARC.The message originally passes the SPF check at woodgrovebank.com but it fails the SPF check at outlook.com because IP #25 is not in contoso.com's SPF TXT record. Outlook.com might then mark the message as spam. To work around this problem, use SPF in conjunction with other email authentication methods such as DKIM and DMARC.

Concepts de base SPF : intégration de domaines tiers pouvant envoyer des messages au nom de votre domaineSPF basics: Including third-party domains that can send mail on behalf of your domain

En plus des adresses IP, vous pouvez également configurer votre enregistrement TXT SPF pour inclure des domaines en tant qu'expéditeurs. Ces domaines sont ajoutés à l'enregistrement TXT SPF comme des instructions « Include ». Par exemple, contoso.com souhaite peut-être inclure toutes les adresses IP des serveurs de messagerie à partir de contoso.net et de contoso.org qu'il possède également. Pour ce faire, contoso.com publie un enregistrement TXT SPF qui ressemble à ceci :In addition to IP addresses, you can also configure your SPF TXT record to include domains as senders. These are added to the SPF TXT record as "include" statements. For example, contoso.com might want to include all of the IP addresses of the mail servers from contoso.net and contoso.org which it also owns. To do this, contoso.com publishes an SPF TXT record that looks like this:

v=spf1 include:contoso.net include:contoso.org -all

Lorsque le serveur de réception voit cet enregistrement dans le DNS, il effectue également une recherche DNS sur l’enregistrement TXT SPF pour contoso.net, puis sur contoso.org. S’il trouve une instruction include supplémentaire dans les enregistrements pour contoso.net ou contoso.org, il suit également ceux-ci.When the receiving server sees this record in DNS, it also performs a DNS lookup on the SPF TXT record for contoso.net and then for contoso.org. If it finds an additional include statement within the records for contoso.net or contoso.org, it will follow those too. Afin d’empêcher le refus d’attaque de service, le nombre maximal de recherches DNS pour un seul message est de 10.In order to help prevent denial of service attacks, the maximum number of DNS lookups for a single email message is 10. Chaque instruction Include représente une recherche DNS supplémentaire.Each include statement represents an additional DNS lookup. Si un message dépasse la limite de 10, le message échoue lors de la vérification SPF.If a message exceeds the 10 limit, the message fails SPF. Une fois qu’un message atteint cette limite, en fonction de la configuration du serveur de réception, l’expéditeur peut recevoir un message indiquant que le message généré « trop de recherches » ou « nombre maximal de sauts pour le message a été dépassé » (ce qui peut se produire lorsque les recherches sont en boucle et dépasse le délai d’attente DNS).Once a message reaches this limit, depending on the way the receiving server is configured, the sender may get a message that says the message generated "too many lookups" or that the "maximum hop count for the message has been exceeded" (which can happen when the lookups loop and surpass the DNS timeout). Pour obtenir des conseils sur la façon d’éviter ce problème, reportez-vous à la rubrique Troubleshooting : Best Practices for SPF in Microsoft 365.For tips on how to avoid this, see Troubleshooting: Best practices for SPF in Microsoft 365.

Configuration requise pour votre enregistrement TXT SPF et Microsoft 365Requirements for your SPF TXT record and Microsoft 365

Si vous configurez le courrier électronique lorsque vous configurez Microsoft 365, vous avez déjà créé un enregistrement TXT SPF qui identifie les serveurs de messagerie Microsoft comme source légitime de courrier pour votre domaine.If you set up mail when you set up Microsoft 365, you already created an SPF TXT record that identifies the Microsoft messaging servers as a legitimate source of mail for your domain. Cet enregistrement ressemble probablement à ce qui suit :This record probably looks like this:

v=spf1 include:spf.protection.outlook.com -all

Si vous êtes un client entièrement hébergé, autrement dit, vous n’avez pas de serveurs de messagerie locaux qui envoient des messages sortants, il s’agit de l’enregistrement TXT SPF que vous devez publier pour Office 365.If you're a fully-hosted customer, that is, you have no on-premises mail servers that send outbound mail, this is the only SPF TXT record that you need to publish for Office 365.

Si vous avez un déploiement hybride (autrement dit, vous avez des boîtes aux lettres locales et d’autres hébergées dans Microsoft 365), ou si vous êtes un client autonome Exchange Online Protection (EOP) (autrement dit, votre organisation utilise EOP pour protéger vos boîtes aux lettres locales), vous devez ajouter l’adresse IP sortante pour chacun de vos serveurs de messagerie Edge sur site à l’enregistrement TXT SPF dans le système DNS.If you have a hybrid deployment (that is, you have some mailboxes on-premises and some hosted in Microsoft 365), or if you're an Exchange Online Protection (EOP) standalone customer (that is, your organization uses EOP to protect your on-premises mailboxes), you should add the outbound IP address for each of your on-premises edge mail servers to the SPF TXT record in DNS.

Créer votre enregistrement TXT SPF pour Microsoft 365Form your SPF TXT record for Microsoft 365

Utilisez les informations de syntaxe de cet article afin de formuler l'enregistrement TXT SPF pour votre domaine personnalisé. Bien qu'il existe des options de syntaxe qui ne sont pas mentionnées ici, il s'agit des options les plus fréquemment utilisées. Une fois que vous avez formulé votre enregistrement, vous devez le mettre à jour auprès de votre bureau d'enregistrement de domaine.Use the syntax information in this article to form the SPF TXT record for your custom domain. Although there are other syntax options that are not mentioned here, these are the most commonly used options. Once you have formed your record, you need to update the record at your domain registrar.

Pour plus d’informations sur les domaines que vous devez inclure pour Microsoft 365, voir enregistrements DNS externes requis pour SPF.For information about the domains you will need to include for Microsoft 365, see External DNS records required for SPF. Utilisez les instructions pas à pas pour mettre à jour les enregistrements SPF (TXT) dans votre bureau d'enregistrement de domaines.Use the step-by-step instructions for updating SPF (TXT) records for your domain registrar.

Syntaxe d’enregistrement TXT SPF pour Microsoft 365SPF TXT record syntax for Microsoft 365

Un enregistrement TXT SPF standard pour Microsoft 365 est doté de la syntaxe suivante :A typical SPF TXT record for Microsoft 365 has the following syntax:

v=spf1 [<ip4>|<ip6>:<IP address>] [include:<domain name>] <enforcement rule>

Par exemple :For example:

v=spf1 ip4:192.168.0.1 ip4:192.168.0.2 include:spf.protection.outlook.com -all

où :where:

  • v=spf1 est obligatoire. Cet élément définit l'enregistrement TXT en tant qu'enregistrement TXT SPF.v=spf1 is required. This defines the TXT record as an SPF TXT record.

  • IP4 indique que vous utilisez des adresses IP de version 4. ip6 indique que vous utilisez des adresses IP de version 6. Si vous utilisez des adresses IP IPv6, remplacez ip4 par ip6 dans les exemples de cet article. Vous pouvez également spécifier des plages d'adresses IP à l'aide de la notation CIDR, par exemple ip4:192.168.0.1/26.ip4 indicates that you are using IP version 4 addresses. ip6 indicates that you are using IP version 6 addresses. If you are using IPv6 IP addresses, replace ip4 with ip6 in the examples in this article. You can also specify IP address ranges using CIDR notation, for example ip4:192.168.0.1/26.

  • IP address est l'adresse IP à ajouter à l'enregistrement TXT SPF.IP address is the IP address that you want to add to the SPF TXT record. En règle générale, il s'agit de l'adresse IP du serveur de messagerie sortant pour votre organisation.Usually, this is the IP address of the outbound mail server for your organization. Vous pouvez répertorier plusieurs serveurs de messagerie sortants.You can list multiple outbound mail servers. Pour plus d’informations, voir example : enregistrement txt SPF pour plusieurs serveurs de messagerie locaux sortants et Microsoft 365.For more information, see Example: SPF TXT record for multiple outbound on-premises mail servers and Microsoft 365.

  • domain name est le domaine que vous souhaitez ajouter en tant qu'expéditeur légitime.domain name is the domain you want to add as a legitimate sender. Pour obtenir la liste des noms de domaine que vous devez inclure pour Microsoft 365, consultez la rubrique enregistrements DNS externes requis pour SPF.For a list of domain names you should include for Microsoft 365, see External DNS records required for SPF.

  • La règle de mise en œuvre est généralement l'une des règles suivantes :Enforcement rule is usually one of the following:

    • -all-all

      Indique un échec sévère. Si vous connaissez toutes les adresses IP autorisées pour votre domaine, répertoriez-les dans l'enregistrement TXT SPF et utilisez le qualificateur -all (échec sévère). En outre, si vous utilisez uniquement SPF, c'est-à-dire que vous n'utilisez pas DMARC ou DKIM, vous devez utiliser le qualificateur -all. Nous vous recommandons de toujours utiliser ce qualificateur.Indicates hard fail. If you know all of the authorized IP addresses for your domain, list them in the SPF TXT record and use the -all (hard fail) qualifier. Also, if you are only using SPF, that is, you are not using DMARC or DKIM, you should use the -all qualifier. We recommend that you use always this qualifier.

    • ~all~all

      Indique un échec partiel. Si vous n'êtes pas sûr de disposer de la liste complète des adresses IP, utilisez le qualificateur ~all (échec partiel). En outre, si vous utilisez DMARC avec p=quarantine ou p=reject, vous pouvez utiliser ~all. Dans le cas contraire, utilisez -all.Indicates soft fail. If you're not sure that you have the complete list of IP addresses, then you should use the ~all (soft fail) qualifier. Also, if you are using DMARC with p=quarantine or p=reject, then you can use ~all. Otherwise, use -all.

    • ?all?all

      Indique un résultat neutre. Il est utilisé lors des essais SPF. Nous vous déconseillons d'utiliser ce qualificatif dans votre déploiement.Indicates neutral. This is used when testing SPF. We do not recommend that you use this qualifier in your live deployment.

Exemple : enregistrement TXT SPF à utiliser lorsque tous vos messages sont envoyés par Microsoft 365Example: SPF TXT record to use when all of your mail is sent by Microsoft 365

Si tous vos messages sont envoyés par Microsoft 365, utilisez-le dans votre enregistrement TXT SPF :If all of your mail is sent by Microsoft 365, use this in your SPF TXT record:

v=spf1 include:spf.protection.outlook.com -all

Exemple : enregistrement TXT SPF pour un scénario hybride avec un serveur Exchange local et Microsoft 365Example: SPF TXT record for a hybrid scenario with one on-premises Exchange Server and Microsoft 365

Dans un environnement hybride, si l'adresse IP du serveur Exchange local est 192.168.0.1, afin de définir la règle de mise en œuvre SPF sur échec sévère, formez l'enregistrement TXT SPF comme suit :In a hybrid environment, if the IP address of your on-premises Exchange Server is 192.168.0.1, in order to set the SPF enforcement rule to hard fail, form the SPF TXT record as follows:

v=spf1 ip4:192.168.0.1 include:spf.protection.outlook.com -all

Exemple : enregistrement TXT SPF pour plusieurs serveurs de messagerie locaux sortants et Microsoft 365Example: SPF TXT record for multiple outbound on-premises mail servers and Microsoft 365

Si vous avez plusieurs serveurs de messagerie sortants, ajoutez l'adresse IP de chaque serveur de messagerie dans l'enregistrement TXT SPF et séparez chaque adresse IP par un espace suivi par une instruction « ip4: ». Par exemple :If you have multiple outbound mail servers, include the IP address for each mail server in the SPF TXT record and separate each IP address with a space followed by an "ip4:" statement. For example:

v=spf1 ip4:192.168.0.1 ip4:192.168.0.2 ip4:192.168.0.3 include:spf.protection.outlook.com -all

Étapes suivantes : configurer SPF pour Microsoft 365Next steps: Set up SPF for Microsoft 365

Une fois que vous avez formulé votre enregistrement TXT SPF, suivez la procédure décrite dans la rubrique Set up SPF in Microsoft 365 afin d’éviter l’usurpation pour l’ajouter à votre domaine.Once you have formulated your SPF TXT record, follow the steps in Set up SPF in Microsoft 365 to help prevent spoofing to add it to your domain.

Bien que SPF soit conçu pour éviter l'usurpation, il existe des techniques d'usurpation contre lesquelles SPF ne peut pas vous protéger.Although SPF is designed to help prevent spoofing, but there are spoofing techniques that SPF cannot protect against. Afin de vous y protéger, une fois que vous avez configuré SPF, vous devez également configurer DKIM et DMARC pour Microsoft 365.In order to protect against these, once you have set up SPF, you should also configure DKIM and DMARC for Microsoft 365. Pour commencer, consultez la rubrique use DKIM pour valider les messages sortants envoyés à partir de votre domaine personnalisé dans Microsoft 365.To get started, see Use DKIM to validate outbound email sent from your custom domain in Microsoft 365. Ensuite, consultez la rubrique Utiliser DMARC pour valider les e-mails dans Microsoft 365.Next, see Use DMARC to validate email in Microsoft 365.

Résolution des problèmes : meilleures pratiques pour SPF dans Microsoft 365Troubleshooting: Best practices for SPF in Microsoft 365

Vous ne pouvez créer qu'un seul enregistrement TXT SPF pour votre domaine personnalisé. La création de plusieurs enregistrements entraîne une situation alternée et l'échec de SPF. Pour éviter cela, vous pouvez créer des enregistrements distincts pour chaque sous-domaine. Par exemple, créez un enregistrement pour contoso.com et un autre enregistrement pour bulkmail.contoso.com.You can only create one SPF TXT record for your custom domain. Creating multiple records causes a round robin situation and SPF will fail. To avoid this, you can create separate records for each subdomain. For example, create one record for contoso.com and another record for bulkmail.contoso.com.

Si un message électronique provoque plus de 10 recherches DNS avant sa livraison, le serveur de messagerie de réception répond avec une erreur permanente, également appelée permerror, et génère l'échec du message lors de la vérification SPF. Le serveur de réception peut également répondre avec une notification d'échec de remise qui contient une erreur semblable à celles-ci :If an email message causes more than 10 DNS lookups before it is delivered, the receiving mail server will respond with a permanent error, also called a permerror, and cause the message to fail the SPF check. The receiving server may also respond with a non-delivery report (NDR) that contains an error similar to these:

  • Le message a dépassé le nombre de sauts.The message exceeded the hop count.

  • Le message a demandé trop de recherches.The message required too many lookups.

Éviter l’erreur « trop de recherches » lorsque vous utilisez des domaines tiers avec Microsoft 365Avoiding the "too many lookups" error when you use third-party domains with Microsoft 365

Certains enregistrements TXT SPF pour les domaines tiers indiquent au serveur de réception d'effectuer un nombre élevé de recherches DNS. Par exemple, au moment de la rédaction, Salesforce.com contient 5 instructions Include dans son enregistrement :Some SPF TXT records for third-party domains direct the receiving server to perform a large number of DNS lookups. For example, at the time of this writing, Salesforce.com contains 5 include statements in its record:

v=spf1 include:_spf.google.com
include:_spfblock.salesforce.com
include:_qa.salesforce.com
include:_spfblock1.salesforce.com
include:spf.mandrillapp.com mx ~all

Pour éviter l'erreur, vous pouvez implémenter une stratégie selon laquelle toute personne envoyant des messages électroniques en bloc, par exemple, doit utiliser un sous-domaine spécialement à cette fin. Ensuite, définissez un autre enregistrement TXT SPF pour le sous-domaine comprenant la messagerie électronique en bloc.To avoid the error, you can implement a policy where anyone sending bulk email, for example, has to use a subdomain specifically for this purpose. You then define a different SPF TXT record for the subdomain that includes the bulk email.

Dans certains cas, comme dans l'exemple salesforce.com, vous devez utiliser le domaine dans votre enregistrement TXT SPF, mais dans d'autres cas, le domaine tiers a peut-être déjà créé un sous-domaine pour votre utilisation. Par exemple, exacttarget.com a créé un sous-domaine que vous devez utiliser pour votre enregistrement TXT SPF :In some cases, like the salesforce.com example, you have to use the domain in your SPF TXT record, but in other cases, the third-party may have already created a subdomain for you to use for this purpose. For example, exacttarget.com has created a subdomain that you need to use for your SPF TXT record:

cust-spf.exacttarget.com

Lorsque vous incluez des domaines tiers dans votre enregistrement TXT SPF, vous devez vérifier auprès du tiers le domaine ou le sous-domaine à utiliser pour éviter d'atteindre la limite de 10 recherches.When you include third-party domains in your SPF TXT record, you need to confirm with the third-party which domain or subdomain to use in order to avoid running into the 10 lookup limit.

Comment afficher votre enregistrement TXT SPF et déterminer le nombre de recherches nécessairesHow to view your current SPF TXT record and determine the number of lookups that it requires

Vous pouvez utiliser nslookup pour afficher vos enregistrements DNS, y compris votre enregistrement TXT SPF. Sinon, si vous préférez, il existe plusieurs outils gratuits en ligne que vous pouvez utiliser pour afficher le contenu de votre enregistrement TXT SPF. En consultant votre enregistrement TXT SPF et en suivant la chaîne d'instructions Include et de redirections, vous pouvez déterminer le nombre de recherches DNS dont l'enregistrement a besoin. Certains outils en ligne peuvent même compter et afficher ces recherches pour vous. Le fait d'assurer le suivi de cette donnée permettra d'éviter que les messages envoyés depuis votre organisation ne déclenchent une erreur permanente, appelée permerror, sur le serveur de réception.You can use nslookup to view your DNS records, including your SPF TXT record. Or, if you prefer, there are a number of free, online tools available that you can use to view the contents of your SPF TXT record. By looking at your SPF TXT record and following the chain of include statements and redirects, you can determine how many DNS lookups the record requires. Some online tools will even count and display these lookups for you. Keeping track of this number will help prevent messages sent from your organization from triggering a permanent error, called a permerror, from the receiving server.

Pour plus d'informationsFor more information

Besoin d'aide pour ajouter l'enregistrement TXT SPF ?Need help adding the SPF TXT record? Lisez l’article créer des enregistrements DNS auprès d’un fournisseur d’hébergement DNS pour microsoft 365 pour obtenir des informations détaillées sur l’utilisation de l’infrastructure des stratégies d’expéditeur avec votre domaine personnalisé dans Microsoft 365.Read the article Create DNS records at any DNS hosting provider for Microsoft 365 for detailed information about usage of Sender Policy Framework with your custom domain in Microsoft 365. Les en-têtes de message anti-courrier indésirable incluent la syntaxe et les champs d’en-tête utilisés par Microsoft 365 pour les vérifications SPF.Anti-spam message headers includes the syntax and header fields used by Microsoft 365 for SPF checks.