Aller au contenu

Mise à jour de l’enregistrement SPF pour votre domaine

Votre organisation devrait déjà avoir un enregistrement SPF pour les domaines enregistrés dans Microsoft 365 (anciennement Office 365). Il est essentiel de mettre à jour cet enregistrement dans la zone DNS du domaine en question.

Vous pouvez changer votre enregistrement SPF existant ou y ajouter des éléments, selon vos besoins.

L’option la plus courante est de changer l’enregistrement. Mais si votre messagerie sortante est routée simultanément via Sophos Gateway et Microsoft 365 pendant une certaine période, vous pouvez ajouter une déclaration d’inclusion pour Sophos Gateway à votre enregistrement SPF existant.

Vous pouvez utiliser le paramètre all de différentes façons. Il est important de comprendre comment l’utiliser, et pourquoi.

  • Échec sévère :

    Vous pouvez utiliser un tiret (-) avant le paramètre all pour configurer un "échec sévère". Si votre email ne passe pas par Sophos Gateway, et que les serveurs de messagerie de vos destinataires effectuent des vérifications SPF, ils rejetteront le message.

  • Échec partiel :

    Alternativement, vous pouvez utiliser un tilde (~) avant le paramètre all pour configurer un "échec partiel" Dans ce cas, la commande n’échoue pas si une adresse IP n’existe pas; elle continue à s’exécuter et traite le reste des adresses IP. Si les serveurs de messagerie de vos destinataires effectuent des vérifications SPF, ils ne rejetteront pas l’email.

Retrouvez plus de renseignements sur les échecs sévères et partiels sur Fonctionnement de SPF pour empêcher l’usurpation et le hameçonnage dans Microsoft 365

Domaines SPF de Sophos

Lorsque vous remplacez ou ajoutez à votre enregistrement SPF, veuillez utiliser l’un des domaines Sophos.

Vous pouvez utiliser _spf.prod.hydra.sophos.com qui est commun aux États-Unis (Ouest), aux États-Unis (Est), à l’Allemagne et à l’Irlande.

Vous pouvez aussi utiliser un domaine spécifique du datacenter Sophos de votre région.

Datacenter Domaine
us-west-2 _spf_uswest2.prod.hydra.sophos.com
us-east-2 _spf_useast2.prod.hydra.sophos.com
eu-west-1 _spf_euwest1.prod.hydra.sophos.com
eu-central-1 _spf_eucentral1.prod.hydra.sophos.com
ca-central-1 _spf.eml100yul.ctr.sophos.com
ap-southeast-2 _spf.eml100syd.ctr.sophos.com
ap-northeast-1 _spf.eml100hnd.ctr.sophos.com

Avertissement

Vous pouvez obtenir l’erreur "SPF PermError: trop de recherches DNS" après avoir modifié votre enregistrement SPF. Pour résoudre ce problème, utilisez le domaine spécifique du centre de données Sophosde votre région au lieu de _spf.prod.hydra.sophos.com.

Retrouvez plus de renseignements sur Empêcher SPF PermError : trop de recherches DNS

Remplacer votre enregistrement SPF

Si votre courrier sortant est routé uniquement via Sophos Gateway, vous pouvez utiliser l’enregistrement SPF de Sophos Gateway.

  • Supprimer v=spf1 include:spf.protection.outlook.com –all
  • Si vous êtes certain qu’aucun tiers n’envoie des messages en votre nom et que toute votre messagerie sortante transite par Sophos Gateway, vous pouvez configurer votre enregistrement en tant que :

    v=spf1 include:_spf.prod.hydra.sophos.com -all

  • Si vous ne routez pas tous vos emails via Sophos, ou si vous n’êtes pas sûr, utilisez un échec partiel :

    v=spf1 include:_spf.prod.hydra.sophos.com ~all

Ajouter des éléments à votre enregistrement SPF

Si votre messagerie sortante est acheminée simultanément par Sophos Gateway et Microsoft 365 pendant une certaine période, vous pouvez laisser l’enregistrement SPF d’origine et ajouter une déclaration d’inclusion pour Sophos Gateway.

  • Pour effectuer une déclaration d’inclusion afin d’ajouter l’enregistrement de Sophos Gateway à votre enregistrement existant, procédez de la manière suivante :

    SPF existant : v=spf1 include:spf.protection.outlook.com -all

    Exemple avec « Include » : SPF: v=spf1 include:spf.protection.outlook.com include:_spf.prod.hydra.sophos.com -all

Nous vous conseillons de remplacer votre déclaration d’inclusion par l’enregistrement SPF de Sophos Gateway dès que toute votre messagerie sortante transite via Sophos.

Assurez-vous que la messagerie sortante circule normalement en envoyant un message à une adresse externe.

Pour confirmer que l’email a été envoyé, procédez comme suit :

  1. Connectez-vous à Sophos Central.
  2. Dans Email Security > Journaux et rapports > Historique des messages.
  3. Sélectionnez la direction sortante.
  4. Actualisez l’écran jusqu’à ce que vous voyiez les informations sur l’email de test que vous avez envoyé.
Haut de page