Defaults.Exposed › Rapports
SPF ne suffit pas : les 119 millions de domaines qui n'appliquent jamais rien
Publié 2026-07-03 · mis à jour 2026-07-03
Chiffres à la date du 2026-06-29 · méthodologie v7. Données de recensement croisant les contrôles par domaine sur 261 millions de domaines notés. « Applique » = une politique DMARC en
quarantineoureject; « pleinement protégé » = SPF et DKIM tous deux en place, avec un DMARC qui applique — la triade complète d’authentification e-mail. Tous les chiffres sont agrégés — nous ne publions jamais la note d’une entreprise individuelle.
Le décompte : combien de domaines s’appuient sur SPF seul
SPF seul ne suffit pas à stopper l’usurpation d’e-mail — et le recensement peut désormais compter combien de domaines s’y fient malgré tout : 119 212 005 (119 millions) publient un SPF mais n’appliquent jamais DMARC. Cela représente 85,8 % de chaque domaine qui a pris la peine de configurer SPF. Son article compagnon, SPF sans DMARC, explique le mécanisme — pourquoi SPF ne peut pas défendre l’adresse « From » que la personne voit réellement ; le présent article mesure la population — combien de domaines cette faille laisse exposés, et quelle est la forme de cette exposition.
En bref : configurer SPF est l’acte de sécurité e-mail le plus répandu sur internet, et pour l’écrasante majorité des domaines qui l’ont fait, c’est aussi le dernier.
Les trois populations
139 millions de domaines — soit 138 911 937 d’entre eux — publient un enregistrement SPF. Répartition selon ce qui se trouve derrière :
| Population | Domaines | Part des publieurs de SPF |
|---|---|---|
| SPF publié, aucun enregistrement DMARC du tout | 84 638 430 | 60,9 % |
| SPF publié, DMARC présent mais jamais appliqué (surensemble, inclut la ligne ci-dessus) | 119 212 005 | 85,8 % |
| SPF + DKIM, appuyés par un DMARC qui applique | 10 092 481 | — |
Les lignes ne s’additionnent pas jusqu’au total SPF : le reste sont des publieurs de SPF dont le DMARC applique bien mais dont le DKIM n’est pas totalement en place — appliquant, mais en deçà de la triade complète que compte la dernière ligne.
La ligne du milieu est le titre : environ 119 millions de domaines ont fait le travail de déclarer leurs expéditeurs légitimes, puis n’ont jamais dit aux boîtes de réception du monde d’en tenir compte. Et la dernière ligne est la chute : sur l’ensemble des 261 millions de domaines notés, seuls 3,87 % — environ 10 millions — sont pleinement protégés côté e-mail. La protection complète n’est pas un objectif technique élevé ; c’est simplement l’aboutissement d’un parcours que 119 millions de domaines ont commencé puis abandonné.
Pourquoi le décompte est si déséquilibré
SPF est le point de départ de chaque guide de configuration, le point d’arrivée de l’intégration de la plupart des fournisseurs de messagerie, et ce que la plupart des listes de conformité testent réellement. Il produit un artefact visible — un enregistrement TXT — et une coche verte dans l’outil qui l’a vérifié. Un DMARC appliqué produit l’expérience inverse : il exige une progression (publier, observer, identifier les expéditeurs, puis appliquer), et sa récompense est invisible — le courrier falsifié qui cesse discrètement d’arriver.
Alors internet a optimisé pour la coche. Le recensement montre à quoi cela ressemble à grande échelle : 85 millions de domaines (84 638 430) ont un SPF et aucun enregistrement DMARC d’aucune sorte — pas même un espace réservé p=none. Ces propriétaires ne sont pas paresseux ; ils ont suivi les instructions qu’on leur a données, et les instructions se sont arrêtées trop tôt.
Ce que « couvert » signifie vraiment ici
Une conséquence, pas une peur : un domaine avec SPF et sans DMARC qui applique peut toujours être usurpé au seul endroit que les humains regardent — la ligne « From » visible. SPF permet aux serveurs de réception de vérifier quelles machines peuvent envoyer au nom du domaine de l’enveloppe, mais sans DMARC, rien n’exige que l’expéditeur visible corresponde à ce que SPF a vérifié, et aucune instruction ne dit de rejeter le courrier qui échoue. La facture falsifiée, la fausse réinitialisation de mot de passe, le détournement de paiement fournisseur — tout reste livrable à vos clients et fournisseurs en votre nom, enregistrement SPF ou pas.
Dans les six stades de maturité DMARC, ces 119 millions de domaines sont bloqués aux stades 1 à 3 — le sol est posé, ou en partie posé, et la porte n’a jamais été installée. La distance qui sépare ce point de la protection est bien comprise et essentiellement procédurale ; ce que ce recensement ajoute, c’est la certitude que presque personne ne la parcourt.
Si votre domaine est l’un des 119 millions
- Gardez SPF — c’est un prérequis, pas une erreur. (Corriger SPF →.)
- Ajoutez DKIM pour que votre courrier soit signé autant que sourcé. (Corriger DKIM →.)
- Publiez DMARC avec rapports, puis appliquez —
p=noneavecrua=d’abord, identifiez chaque expéditeur légitime, puis passez àquarantineetreject. C’est l’étape qui transforme « configuré » en « protégé ». (Corriger DMARC →.)
Foire aux questions
SPF suffit-il à protéger un domaine contre l’usurpation ? Non. SPF valide les serveurs d’envoi par rapport au domaine de l’enveloppe ; il ne vérifie ni l’adresse « From » visible ni ne demande aux destinataires de rejeter les échecs. Seule une politique DMARC qui applique fait les deux — et 119 212 005 domaines publient un SPF sans elle.
Combien de domaines ont un SPF mais aucun DMARC du tout ? 84 638 430 — 60,9 % de tous les publieurs de SPF n’ont aucun enregistrement DMARC d’aucune sorte, pas même en mode surveillance.
Combien de domaines sont pleinement protégés ?
10 092 481 — 3,87 % des 261 millions de domaines notés combinent SPF et DKIM avec une politique DMARC en quarantine ou reject.
Avoir SPF aide-t-il au moins ? Oui — c’est la fondation que DMARC évalue, et il améliore la délivrabilité de votre courrier légitime. Simplement, il ne protège rien à lui seul ; c’est l’étape une sur trois, et le recensement montre que la majeure partie d’internet l’a traité comme l’escalier tout entier.
Vérifiez dans quelle population se trouve votre domaine
« Nous avons configuré SPF » décrit 139 millions de domaines ; « nous sommes protégés » en décrit 10 millions. Savoir laquelle vous êtes prend une minute, en privé et gratuitement — voyez lesquels des 34 contrôles vous réussissez et comment corriger ceux que vous échouez.
Vérifiez votre domaine → · Les 6 stades de maturité DMARC → · Le pilier DMARC → · Données agrégées uniquement. Données stockées et traitées dans l’UE.