Defaults.Exposed

Defaults.Exposed › Rapports

SPF ne suffit pas : les 119 millions de domaines qui n'appliquent jamais rien

Publié 2026-07-03 · mis à jour 2026-07-03

Chiffres à la date du 2026-06-29 · méthodologie v7. Données de recensement croisant les contrôles par domaine sur 261 millions de domaines notés. « Applique » = une politique DMARC en quarantine ou reject ; « pleinement protégé » = SPF et DKIM tous deux en place, avec un DMARC qui applique — la triade complète d’authentification e-mail. Tous les chiffres sont agrégés — nous ne publions jamais la note d’une entreprise individuelle.

Le décompte : combien de domaines s’appuient sur SPF seul

SPF seul ne suffit pas à stopper l’usurpation d’e-mail — et le recensement peut désormais compter combien de domaines s’y fient malgré tout : 119 212 005 (119 millions) publient un SPF mais n’appliquent jamais DMARC. Cela représente 85,8 % de chaque domaine qui a pris la peine de configurer SPF. Son article compagnon, SPF sans DMARC, explique le mécanisme — pourquoi SPF ne peut pas défendre l’adresse « From » que la personne voit réellement ; le présent article mesure la population — combien de domaines cette faille laisse exposés, et quelle est la forme de cette exposition.

En bref : configurer SPF est l’acte de sécurité e-mail le plus répandu sur internet, et pour l’écrasante majorité des domaines qui l’ont fait, c’est aussi le dernier.

Les trois populations

139 millions de domaines — soit 138 911 937 d’entre eux — publient un enregistrement SPF. Répartition selon ce qui se trouve derrière :

PopulationDomainesPart des publieurs de SPF
SPF publié, aucun enregistrement DMARC du tout84 638 43060,9 %
SPF publié, DMARC présent mais jamais appliqué (surensemble, inclut la ligne ci-dessus)119 212 00585,8 %
SPF + DKIM, appuyés par un DMARC qui applique10 092 481

Les lignes ne s’additionnent pas jusqu’au total SPF : le reste sont des publieurs de SPF dont le DMARC applique bien mais dont le DKIM n’est pas totalement en place — appliquant, mais en deçà de la triade complète que compte la dernière ligne.

La ligne du milieu est le titre : environ 119 millions de domaines ont fait le travail de déclarer leurs expéditeurs légitimes, puis n’ont jamais dit aux boîtes de réception du monde d’en tenir compte. Et la dernière ligne est la chute : sur l’ensemble des 261 millions de domaines notés, seuls 3,87 % — environ 10 millions — sont pleinement protégés côté e-mail. La protection complète n’est pas un objectif technique élevé ; c’est simplement l’aboutissement d’un parcours que 119 millions de domaines ont commencé puis abandonné.

Pourquoi le décompte est si déséquilibré

SPF est le point de départ de chaque guide de configuration, le point d’arrivée de l’intégration de la plupart des fournisseurs de messagerie, et ce que la plupart des listes de conformité testent réellement. Il produit un artefact visible — un enregistrement TXT — et une coche verte dans l’outil qui l’a vérifié. Un DMARC appliqué produit l’expérience inverse : il exige une progression (publier, observer, identifier les expéditeurs, puis appliquer), et sa récompense est invisible — le courrier falsifié qui cesse discrètement d’arriver.

Alors internet a optimisé pour la coche. Le recensement montre à quoi cela ressemble à grande échelle : 85 millions de domaines (84 638 430) ont un SPF et aucun enregistrement DMARC d’aucune sorte — pas même un espace réservé p=none. Ces propriétaires ne sont pas paresseux ; ils ont suivi les instructions qu’on leur a données, et les instructions se sont arrêtées trop tôt.

Ce que « couvert » signifie vraiment ici

Une conséquence, pas une peur : un domaine avec SPF et sans DMARC qui applique peut toujours être usurpé au seul endroit que les humains regardent — la ligne « From » visible. SPF permet aux serveurs de réception de vérifier quelles machines peuvent envoyer au nom du domaine de l’enveloppe, mais sans DMARC, rien n’exige que l’expéditeur visible corresponde à ce que SPF a vérifié, et aucune instruction ne dit de rejeter le courrier qui échoue. La facture falsifiée, la fausse réinitialisation de mot de passe, le détournement de paiement fournisseur — tout reste livrable à vos clients et fournisseurs en votre nom, enregistrement SPF ou pas.

Dans les six stades de maturité DMARC, ces 119 millions de domaines sont bloqués aux stades 1 à 3 — le sol est posé, ou en partie posé, et la porte n’a jamais été installée. La distance qui sépare ce point de la protection est bien comprise et essentiellement procédurale ; ce que ce recensement ajoute, c’est la certitude que presque personne ne la parcourt.

Si votre domaine est l’un des 119 millions

  1. Gardez SPF — c’est un prérequis, pas une erreur. (Corriger SPF →.)
  2. Ajoutez DKIM pour que votre courrier soit signé autant que sourcé. (Corriger DKIM →.)
  3. Publiez DMARC avec rapports, puis appliquezp=none avec rua= d’abord, identifiez chaque expéditeur légitime, puis passez à quarantine et reject. C’est l’étape qui transforme « configuré » en « protégé ». (Corriger DMARC →.)

Foire aux questions

SPF suffit-il à protéger un domaine contre l’usurpation ? Non. SPF valide les serveurs d’envoi par rapport au domaine de l’enveloppe ; il ne vérifie ni l’adresse « From » visible ni ne demande aux destinataires de rejeter les échecs. Seule une politique DMARC qui applique fait les deux — et 119 212 005 domaines publient un SPF sans elle.

Combien de domaines ont un SPF mais aucun DMARC du tout ? 84 638 430 — 60,9 % de tous les publieurs de SPF n’ont aucun enregistrement DMARC d’aucune sorte, pas même en mode surveillance.

Combien de domaines sont pleinement protégés ? 10 092 481 — 3,87 % des 261 millions de domaines notés combinent SPF et DKIM avec une politique DMARC en quarantine ou reject.

Avoir SPF aide-t-il au moins ? Oui — c’est la fondation que DMARC évalue, et il améliore la délivrabilité de votre courrier légitime. Simplement, il ne protège rien à lui seul ; c’est l’étape une sur trois, et le recensement montre que la majeure partie d’internet l’a traité comme l’escalier tout entier.

Vérifiez dans quelle population se trouve votre domaine

« Nous avons configuré SPF » décrit 139 millions de domaines ; « nous sommes protégés » en décrit 10 millions. Savoir laquelle vous êtes prend une minute, en privé et gratuitement — voyez lesquels des 34 contrôles vous réussissez et comment corriger ceux que vous échouez.

Vérifiez votre domaine → · Les 6 stades de maturité DMARC → · Le pilier DMARC → · Données agrégées uniquement. Données stockées et traitées dans l’UE.