Déclaration SPF neutre, avantage et risque

Kitterman, extrait de la RFC 7208

Les vastes organisations ou les opérateurs ont parfois des sources d’émission de mail tellement nombreuses qu’ils sont incapables de les répertorier. Comment dans un tel cas faire une déclaration SPF ? Une solution tentante est de terminer la déclaration par ?all. Cette terminaison permet au titulaire du domaine de déclarer légitimes les adresses IP qu’il connaît tout en évitant de se prononcer sur les autres.

Ceci présente cependant un inconvénient majeur car le domaine se trouve alors publiquement déclaré comme non protégé contre les usurpations. Il est de ce fait une cible privilégiée pour les attaques par phishing.

La solution consiste à utiliser les rapports DMARC pour découvrir toutes les sources légitimes, puis à les lister exhaustivement dans la déclaration SPF qui se terminera alors par -all, ce qui verrouille la liste.