SPF était à l'origine une bonne idée. Mais à l'usage on se rend vite compte que finalement cela n'est pas si intéressant que ça:
- Le cas des forward n'est pas pris en compte. Truc.com a un record SPF qui exclu tout autre serveur que les siens. Un mail provenant de toto@truc.com est envoyé à toto@machin.com. Toto, sur machin.com a un .forward qui redirige vers toto@bidule.com. le mail de toto@truc.com arrivera sur toto@bidule.com via les serveurs de machin.com. machin.com vérifie le record SPF de truc.com: c'est -all: le mail est refusé.
- Il s'avère que bcp de domaines (dont des pro comme cybertrust, par exemple) mettent des records SPF dans leur DNS puis les oublient. Avec le temps, la liste des serveurs annoncé dans le records SPF ne correspond plus au pool de SMTP du domaine.
Au final, j'ai été obligé de réduire l'usage de SPF à un simple test dans spamassassin. La règle SPF doit avoir un score de 0.5 tellement c'est peu fiable.
Finalement,comme briaeros007 le dit, DKIM (qui reste compatible avec SPF) est l'alternative la plus fiable.
# SPF: mauvaise bonne idée
Posté par ArnY (site web personnel) . En réponse au journal Ô vache, v'la le retour du monopole de la poste. Évalué à 8.
- Le cas des forward n'est pas pris en compte. Truc.com a un record SPF qui exclu tout autre serveur que les siens. Un mail provenant de toto@truc.com est envoyé à toto@machin.com. Toto, sur machin.com a un .forward qui redirige vers toto@bidule.com. le mail de toto@truc.com arrivera sur toto@bidule.com via les serveurs de machin.com. machin.com vérifie le record SPF de truc.com: c'est -all: le mail est refusé.
- Il s'avère que bcp de domaines (dont des pro comme cybertrust, par exemple) mettent des records SPF dans leur DNS puis les oublient. Avec le temps, la liste des serveurs annoncé dans le records SPF ne correspond plus au pool de SMTP du domaine.
Au final, j'ai été obligé de réduire l'usage de SPF à un simple test dans spamassassin. La règle SPF doit avoir un score de 0.5 tellement c'est peu fiable.
Finalement,comme briaeros007 le dit, DKIM (qui reste compatible avec SPF) est l'alternative la plus fiable.