• [^] # Re: SPF

    Posté par . En réponse au journal Antispoofing e-mail (SPF, DKIM, DMARC, BIMI) : la synthèse que j'aurais aimé trouver. Évalué à -2 (+2/-4).

    Merci, et tu as raison : avec SRS, le forwarder réécrit l'enveloppe sur son propre domaine, donc SPF valide contre ce domaine et passe indépendamment du SPF du domaine d'origine. Sur la validation SPF, on est parfaitement d'accord.

    Le malentendu vient de ma formulation : quand j'écrivais « SPF casse » au transfert, je voulais dire « l'alignement SPF casse » (au sens DMARC), pas la validation. Je reconnais volontiers que ça prêtait à confusion.

    DMARC exige que le domaine authentifié par SPF soit aligné avec le domaine du From:. Après un transfert, que l'enveloppe soit réécrite en SRS (SPF passe, mais sur le domaine du forwarder) ou conservée (SPF échoue), le domaine SPF authentifié n'est jamais celui du From:. En conséquence, l'alignement SPF casse. C'est DKIM qui « porte » l'authentification du From: à travers le transfert (sa signature voyage avec le message).

    Je détaille justement ça (SRS, et la distinction validation SPF vs alignement SPF) dans l'article SPF : https://yanal.fargialla.com/antispoofing-e-mail/04-spf-sender-policy-framework/#le-spf-ne-résiste-pas-au-forward-de-mail

    Et je le vois dans mes propres rapports DMARC sur tous les domaines que je gère. Sur un des domaines qui envoie beaucoup de mails (~17 000 mails/semaine), les sources en transfert (Google, Outlook, Orange, Proton, Gandi...) ressortent à SPF aligné 0 % / DKIM aligné 100 %, et DMARC passe quand même à 100 % grâce à DKIM. C'est exactement le comportement attendu.

    (Et merci d'avoir confirmé le point Mailjet : le SPF du domaine d'origine ne sert à rien pour ces envois : on est d'accord.)

    Yanal-Yves