Defaults.Exposed

Defaults.Exposed › Rapports

Le rapport sur les erreurs de configuration SPF : la plupart des enregistrements SPF sont trop laxistes (2026)

Publié 2026-06-29

Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur les 138 927 207 domaines qui publient un enregistrement SPF, parmi 261 millions de domaines évalués. Voir comment nous évaluons.

Avoir un SPF n’est pas la même chose que l’avoir correctement réglé — et la plupart des domaines qui publient un SPF l’ont réglé trop faiblement pour qu’il serve à grand-chose. Sur les 139 millions de domaines dotés d’un enregistrement SPF, 55,8% se terminent par ~all (softfail), le réglage permissif qui indique aux destinataires « c’est peut-être une falsification, mais livrez-le quand même ». Seuls 39,3% utilisent le strict -all. Le SPF est largement adopté mais, le plus souvent, désarmé.

Le mécanisme « all » : là où le SPF se gagne ou se perd

Tout enregistrement SPF se termine par un mécanisme « all » qui indique quoi faire du courrier provenant de serveurs qui ne figurent pas sur votre liste. C’est tout l’intérêt du SPF — et l’endroit le plus fréquent où il est affaibli :

TerminaisonSignificationDomaines avec SPF
-all (hardfail)Rejeter les expéditeurs non listés — le réglage strict et prévu39,3%
~all (softfail)« Probablement une falsification, mais acceptez-le quand même »55,8%
?all (neutre)Aucun avis — en pratique aucune protection3,0%
+allAutoriser tout internet à envoyer en votre nom36 014 domaines
autre / aucunredirect/include-only ou pas de all terminal1,8%

Le point marquant, c’est que le softfail (~all) est le réglage le plus courant, à 55,8% — davantage que le hardfail. À lui seul, le softfail offre une protection faible : il demande aux destinataires de ne pas faire confiance au courrier non listé, mais pas de le rejeter.

Les cas limites dangereux

Le softfail est-il vraiment un problème ?

Pas s’il est adossé à DMARC. La bonne pratique moderne est ~all plus une politique DMARC de quarantine ou reject — cette combinaison vous offre une application stricte sans casser le courrier réacheminé. Le problème, c’est la grande part de domaines en ~all sans DMARC d’application derrière — seuls 10,59% de tous les domaines appliquent DMARC — ce qui laisse le softfail ne faire presque rien. Le SPF réglé sur ~all est un moyen pour parvenir à une fin ; sans DMARC, ce n’est qu’une suggestion.

Foire aux questions

Quelle est la différence entre ~all et -all dans le SPF ? -all (hardfail) indique aux destinataires de rejeter le courrier des serveurs qui ne figurent pas sur votre liste. ~all (softfail) leur indique de l’accepter quand même mais de le marquer comme suspect. 55,8% des domaines avec SPF utilisent ~all ; 39,3% utilisent -all.

Est-il sûr d’utiliser ~all (softfail) ? Oui — mais seulement lorsqu’il est associé à une politique DMARC d’application (quarantine ou reject). À lui seul, le softfail offre une protection faible.

Que fait +all ? +all autorise chaque serveur d’internet à envoyer du courrier au nom de votre domaine — pire que pas de SPF. 36 014 domaines ont cela, presque toujours par erreur.

Qu’est-ce que l’erreur SPF « trop de requêtes » ? Le SPF autorise au plus 10 requêtes DNS imbriquées ; au-delà, l’enregistrement échoue en « permerror » et est ignoré. Cela touche 7 958 domaines.

Vérifiez que votre SPF est correctement réglé

Publier un SPF, c’est la moitié du travail ; le régler strictement et l’adosser à DMARC, c’est l’autre moitié. Vérifiez votre domaine de façon privée et gratuite.

Vérifiez votre domaine → · Corriger le SPF → · Corriger le DMARC → · Pourquoi les e-mails partent en spam → · Données agrégées uniquement. Données stockées et traitées dans l’UE.