Configurer SPF dans Office 365 pour empêcher l’usurpationSet up SPF in Office 365 to help prevent spoofing

Résumé : Cet article explique comment mettre à jour un enregistrement DNS (Domain Name Service) afin que vous puissiez utiliser le SPF (Sender Policy Framework) avec votre domaine personnalisé dans Office 365. L'utilisation de SPF permet de valider les messages sortants envoyés à partir de votre domaine personnalisé.Summary: This article describes how to update a Domain Name Service (DNS) record so that you can use Sender Policy Framework (SPF) with your custom domain in Office 365. Using SPF helps to validate outbound email sent from your custom domain.

Afin d'utiliser un domaine personnalisé, Office 365 exige que vous ajoutiez un enregistrement TXT SPF (Sender Policy Framework) à votre enregistrement DNS pour éviter l'usurpation. SPF identifie les serveurs de messagerie qui sont autorisés à envoyer des messages en votre nom. En bref, SPF, ainsi que DKIM, DMARC et d'autres technologies prises en charge par Office 365, permettent d'éviter l'usurpation et le hameçonnage. SPF est ajouté sous la forme d'un enregistrement TXT qui est utilisé par le système DNS afin d'identifier les serveurs de messagerie autorisés à envoyer des messages au nom de votre domaine personnalisé. Les systèmes de messagerie électronique des destinataires peuvent se reporter à l'enregistrement TXT SPF pour déterminer si un message provenant de votre domaine personnalisé a été envoyé à partir d'un serveur de messagerie autorisé.In order to use a custom domain, Office 365 requires that you add a Sender Policy Framework (SPF) TXT record to your DNS record to help prevent spoofing. SPF identifies which mail servers are allowed to send mail on your behalf. Basically, SPF, along with DKIM, DMARC, and other technologies supported by Office 365 help prevent spoofing and phishing. SPF is added as a TXT record that is used by DNS to identify which mail servers can send mail on behalf of your custom domain. Recipient mail systems refer to the SPF TXT record to determine whether a message from your custom domain comes from an authorized messaging server.

Par exemple, supposons que votre domaine personnalisé contoso.com utilise Office 365. Vous ajoutez un enregistrement TXT SPF qui répertorie les serveurs de messagerie Office 365 en tant que serveurs de messagerie légitimes pour votre domaine. Lorsque le serveur de messagerie de réception reçoit un message de la part de joe@contoso.com, le serveur recherche l'enregistrement TXT SPF pour contoso.com et détermine si le message est valide. Si le serveur de réception détecte que le message provient d'un serveur autre que les serveurs de messagerie Office 365 répertoriés dans l'enregistrement SPF, le serveur de messagerie de réception peut choisir de refuser le message en le marquant comme du courrier indésirable.For example, let's say that your custom domain contoso.com uses Office 365. You add an SPF TXT record that lists the Office 365 messaging servers as legitimate mail servers for your domain. When the receiving messaging server gets a message from joe@contoso.com, the server looks up the SPF TXT record for contoso.com and finds out whether the message is valid. If the receiving server finds out that the message comes from a server other than the Office 365 messaging servers listed in the SPF record, the receiving mail server can choose to reject the message as spam.

En outre, si votre domaine personnalisé ne dispose pas d'un enregistrement TXT SPF, certains serveurs de réception peuvent totalement rejeter le message. En effet, le serveur de réception ne peut pas valider le fait que le message provient d'un serveur de messagerie autorisé.Also, if your custom domain does not have an SPF TXT record, some receiving servers may reject the message outright. This is because the receiving server cannot validate that the message comes from an authorized messaging server.

Si vous avez déjà configuré les messages pour Office 365, vous avez déjà inclus les serveurs de messagerie de Microsoft dans le système DNS sous la forme d'un enregistrement TXT SPF. Toutefois, il existe certains cas où vous devez mettre à jour votre enregistrement TXT SPF dans le système DNS. Par exemple :If you've already set up mail for Office 365, then you have already included Microsoft's messaging servers in DNS as an SPF TXT record. However, there are some cases where you may need to update your SPF TXT record in DNS. For example:

  • Auparavant, vous deviez ajouter un autre enregistrement TXT SPF à votre domaine personnalisé, si vous utilisiez SharePoint Online. Cela n'est plus nécessaire. Ce changement doit réduire le risque que les messages de notification SharePoint Online terminent dans le dossier Courrier indésirable. Mettez votre enregistrement TXT SPF à jour si vous avez atteint la limite de 10 recherches et recevez des erreurs de type « Vous avez dépassé la limite de recherche » et « Trop de sauts ».Previously, you had to add a different SPF TXT record to your custom domain if you were using SharePoint Online. This is no longer required. This change should reduce the risk of SharePoint Online notification messages ending up in the Junk Email folder. Update your SPF TXT record if you are hitting the 10 lookup limit and receiving errors that say things like, "exceeded the lookup limit" and "too many hops".

  • Vous avez un environnement hybride avec Office 365 et Exchange en local.If you have a hybrid environment with Office 365 and Exchange on-premises.

  • Vous avez l’intention de configurer DKIM et DMARC (recommandé).You intend to set up DKIM and DMARC (recommended).

Mise à jour de votre enregistrement TXT SPF pour Office 365Updating your SPF TXT record for Office 365

Avant de mettre à jour l’enregistrement TXT dans le système DNS, vous devez rassembler quelques informations et déterminer le format de l’enregistrement. Cela vous permettra d’éviter de générer des erreurs DNS. Pour obtenir des exemples avancés et des informations plus détaillées sur la syntaxe SPF prise en charge, voir la section Fonctionnement de SPF pour éviter l’usurpation et le hameçonnage dans Office 365.Before you update the TXT record in DNS, you need to gather some information and determine the format of the record. This will help prevent you from generating DNS errors. For advanced examples, a more detailed discussion about supported SPF syntax, see How SPF works to prevent spoofing and phishing in Office 365.

Collectez les informations ci-dessous :Gather this information:

  • L'enregistrement TXT SPF actuel pour votre domaine personnalisé. Pour obtenir des instructions, consultez Recueillez les informations nécessaires pour créer des enregistrements DNS Office 365.The current SPF TXT record for your custom domain. For instructions, see Gather the information you need to create Office 365 DNS records.

  • Les adresses IP de tous les serveurs de messagerie locaux. Par exemple, 192.168.0.1.IP addresses of all on-premises messaging servers. For example, 192.168.0.1.

  • Les noms de domaine à utiliser pour tous les domaines de tiers que vous devez inclure dans votre enregistrement TXT SPF. Certains fournisseurs de messagerie en bloc disposent de sous-domaines configurés que leurs clients peuvent utiliser. Par exemple, la société MailChimp a configuré servers.mcsv.net.Domain names to use for all third-party domains that you need to include in your SPF TXT record. Some bulk mail providers have set up subdomains to use for their customers. For example, the company MailChimp has set up servers.mcsv.net.

  • La règle de mise en œuvre que vous souhaitez utiliser pour votre enregistrement TXT SPF. Nous vous recommandons -all. Pour plus d’informations sur les autres options de syntaxe, voir Syntaxe d’enregistrement TXT SPF pour Office 365.Determine what enforcement rule you want to use for your SPF TXT record. We recommend -all. For detailed information about other syntax options, see SPF TXT record syntax for Office 365.

Pour ajouter ou mettre à jour votre enregistrement TXT SPFTo add or update your SPF TXT record

  1. Si vous ne l'avez pas déjà fait, créez votre enregistrement TXT SPF à l'aide de la syntaxe du tableau suivant :If you have not already done so, form your SPF TXT record by using the syntax from the following table:
Si vous utilisez...If you're using... Courant pour les utilisateurs d'Office 365 ?Common for Office 365 customers? Ajoutez l'élément suivant...Add this...
0,11
Un système de messagerie (obligatoire)Any email system (required)
Courant. Tous les enregistrements TXT SPF commencent avec cette valeurCommon. All SPF TXT records start with this value
v=spf1v=spf1
n°22
Exchange OnlineExchange Online
CourantCommon
include:spf.protection.outlook.cominclude:spf.protection.outlook.com
33
Exchange Online dédié uniquementExchange Online dedicated only
Non courantNot common
IP4:23.103.224.0/19 IP4:206.191.224.0/19 IP4:40.103.0.0/16 incluent include. protection. Outlook. comip4:23.103.224.0/19 ip4:206.191.224.0/19 ip4:40.103.0.0/16 include:spf.protection.outlook.com
44
Office 365 Germany, Microsoft Cloud Germany uniquementOffice 365 Germany, Microsoft Cloud Germany only
Non courantNot common
inclure include. protection. Outlook. deinclude:spf.protection.outlook.de
disque5
Système de messagerie tiersThird-party email system
Non courantNot common
include:<nom du domaine>include:<domain name>
Where domain name is the domain name of the third party email system.Where domain name is the domain name of the third party email system.
6.x6
Système de messagerie en local. Par exemple, Exchange Online Protection et un autre système de messagerieOn-premises mail system. For example, Exchange Online Protection plus another mail system
Non courantNot common
Utilisez l'un des éléments suivants pour chaque système de messagerie supplémentaire :Use one of these for each additional mail system:
ip4:< IP address>ip4:< IP address>
ip6:< IP address>ip6:< IP address>
include:< domain name>include:< domain name>
Où la valeur de l'élément < IP address> est l'adresse IP de l'autre système de messagerie et < domain name> correspond au nom de domaine de l'autre système de messagerie qui envoie un message au nom de votre domaine.Where the value for < IP address> is the IP address of the other mail system and < domain name> is the domain name of the other mail system that sends mail on behalf of your domain.
7j/77
Un système de messagerie (obligatoire)Any email system (required)
Courant. Tous les enregistrements TXT SPF se terminent par cette valeurCommon. All SPF TXT records end with this value
< enforcement rule>< enforcement rule>
Il peut s'agir de plusieurs valeurs. Il est recommandé d'utiliser -all. This can be one of several values. We recommend that you use -all.

1,1 par exemple, si vous êtes entièrement hébergé dans Office 365, autrement dit, vous n’avez pas de serveur de messagerie local, votre enregistrement TXT SPF inclut les lignes 1, 2 et 7 et se présente comme suit:1.1 For example, if you are fully-hosted in Office 365, that is, you have no on-premises mail servers, your SPF TXT record would include rows 1, 2, and 7 and would look like this:

 v=spf1 include:spf.protection.outlook.com -all

1,2 il s’agit de l’enregistrement TXT SPF Office 365 le plus courant.1.2 This is the most common Office 365 SPF TXT record. Cet enregistrement fonctionne pour tout le monde, que votre centre de informations Office 365 soit situé aux États-Unis ou en Europe (y compris Germany) ou dans un autre emplacement.This record works for just about everyone, regardless of whether your Office 365 datacenter is located in the United States, or in Europe (including Germany), or in another location.

1,3 Toutefois, si vous avez acheté Office 365 Germany, partie de Microsoft Cloud Germany, vous devez utiliser l’instruction include de la ligne 4 au lieu de la ligne 2.1.3 However, if you have purchased Office 365 Germany, part of Microsoft Cloud Germany, you should use the include statement from line 4 instead of line 2. Par exemple, si vous êtes entièrement hébergé par Office 365 Germany, ce qui signifie que vous n’avez aucun serveur de messagerie local, votre enregistrement TXT SPF inclut les lignes 1, 4 et 7 et se présente comme suit :For example, if you are fully-hosted in Office 365 Germany, that is, you have no on-premises mail servers, your SPF TXT record would include rows 1, 4, and 7 and would look like this:

 v=spf1 include:spf.protection.outlook.de -all

1,4 Si vous êtes déjà déployé dans Office 365 et que vous avez configuré vos enregistrements TXT SPF pour votre domaine personnalisé et que vous effectuez une migration vers Office 365 Germany, vous devez mettre à jour votre enregistrement TXT SPF.1.4 If you are already deployed in Office 365 and have set up your SPF TXT records for your custom domain, and you are migrating to Office 365 Germany, you need to update your SPF TXT record. Pour ce faire, modifiez include include. protection. Outlook. com pour inclure include. protection. Outlook. de.To do this, change include:spf.protection.outlook.com to include:spf.protection.outlook.de.

  1. Une fois que vous avez formulé votre enregistrement TXT SPF, vous devez mettre à jour l'enregistrement dans le système DNS.Once you have formed your SPF TXT record, you need to update the record in DNS. Vous ne pouvez avoir qu'un seul enregistrement TXT SPF pour un domaine.You can only have one SPF TXT record for a domain. Si un enregistrement TXT SPF existe, au lieu d'ajouter un nouvel enregistrement, vous devez mettre à jour l'enregistrement existant.If an SPF TXT record exists, instead of adding a new record, you need to update the existing record. Accédez à Créer des enregistrements DNS pour Office 365, puis cliquez sur le lien correspondant à votre hôte DNS.Go to Create DNS records for Office 365, and then click the link for your DNS host.

  2. Testez votre enregistrement TXT SPF.Test your SPF TXT record.

En savoir plus sur SPFMore information about SPF

Pour obtenir des exemples avancés, des informations plus détaillées sur la syntaxe SPF prise en charge, l’usurpation, la résolution des problèmes et la façon dont Office 365 prend en charge SPF, voir la section Fonctionnement de SPF pour éviter l’usurpation et le hameçonnage dans Office 365.For advanced examples, a more detailed discussion about supported SPF syntax, spoofing, troubleshooting, and how Office 365 supports SPF, see How SPF works to prevent spoofing and phishing in Office 365.

Étapes suivantes : après avoir configuré SPF pour Office 365Next steps: After you set up SPF for Office 365

Vous rencontrez des problèmes avec votre enregistrement TXT SPF ? Lisez Résolution des problèmes : Meilleures pratiques pour SPF dans Office 365.Having trouble with your SPF TXT record? Read Troubleshooting: Best practices for SPF in Office 365.

SPF est conçu pour éviter l'usurpation mais il existe des techniques d'usurpation contre lesquelles SPF ne peut pas vous protéger. Afin de vous protéger contre ces techniques, une fois que vous avez configuré SPF, vous devez également configurer DKIM et DMARC pour Office 365. Consultez Utilisation de DKIM pour valider les messages sortants envoyés à partir de votre domaine personnalisé dans Office 365 pour commencer. Ensuite, consultez la rubrique Utiliser DMARC pour valider les e-mails dans Office 365.SPF is designed to help prevent spoofing, but there are spoofing techniques that SPF cannot protect against. In order to protect against these, once you have set up SPF, you should also configure DKIM and DMARC for Office 365. To get started, see Use DKIM to validate outbound email sent from your custom domain in Office 365. Next, see Use DMARC to validate email in Office 365.