Sender Policy Framework est un mécanisme permettant de spécifier, via des enregistrements DNS, quels hôtes sont habilités à émettre des messages pour un domaine donné.

Syntaxe

La politique SPF est décrite via des enregistrements DNS (TXT ou SPF). Pour la syntaxe, on se reportera à la documentation officielle.

On notera que, en accord avec les best practices, on spécifie chaque rêgle avec un enregistrement SPF et un enregistrement TXT (qui ont le même contenu).

Politique

La politique consiste, sommairement, à autoriser l'envoi de mails sous nos-oignons.net mais pas sous .org ou .fr.

nos-oignons.net

La politique est la suivante :

@ IN SPF "v=spf1 A -all"
* IN SPF "v=spf1 A -all"

En somme, il s'agit d'autoriser l'envoi de mails pour le domaine (ou un de ses sous-domaines) uniquement via les IPs mentionnées par un enregistrement A ou AAAA.

L'autorisation est donnée via un wildcard pour éviter des copier-coller fastidieux. Il y a deux choses notables à ce sujet :

• dans le cas de marcuse, ceci est valable car marcuse.nos-oignons.net est un CNAME pour marcuse-1, qui correspond à l'interface utilisée par Postfix;
• pour les domaines « n'existant pas » (sans enregistrement A ou AAAA associés), la politique est équivalente à -all.

nos-oignons.fr et nos-oignons.org

La politique est :

@ IN SPF "v=spf1 -all"
* IN SPF "v=spf1 -all"

Elle consiste en l'interdiction pure et simple d'envoyer des mails pour ces domaines et leurs sous-domaines.