Defaults.Exposed › Rapports
Le rapport sur les erreurs de configuration SPF : la plupart des enregistrements SPF sont trop laxistes (2026)
Publié 2026-06-29
Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur les 138 927 207 domaines qui publient un enregistrement SPF, parmi 261 millions de domaines évalués. Voir comment nous évaluons.
Avoir un SPF n’est pas la même chose que l’avoir correctement réglé — et la plupart des domaines qui publient un SPF l’ont réglé trop faiblement pour qu’il serve à grand-chose. Sur les 139 millions de domaines dotés d’un enregistrement SPF, 55,8% se terminent par ~all (softfail), le réglage permissif qui indique aux destinataires « c’est peut-être une falsification, mais livrez-le quand même ». Seuls 39,3% utilisent le strict -all. Le SPF est largement adopté mais, le plus souvent, désarmé.
Le mécanisme « all » : là où le SPF se gagne ou se perd
Tout enregistrement SPF se termine par un mécanisme « all » qui indique quoi faire du courrier provenant de serveurs qui ne figurent pas sur votre liste. C’est tout l’intérêt du SPF — et l’endroit le plus fréquent où il est affaibli :
| Terminaison | Signification | Domaines avec SPF |
|---|---|---|
-all (hardfail) | Rejeter les expéditeurs non listés — le réglage strict et prévu | 39,3% |
~all (softfail) | « Probablement une falsification, mais acceptez-le quand même » | 55,8% |
?all (neutre) | Aucun avis — en pratique aucune protection | 3,0% |
+all | Autoriser tout internet à envoyer en votre nom | 36 014 domaines |
| autre / aucun | redirect/include-only ou pas de all terminal | 1,8% |
Le point marquant, c’est que le softfail (~all) est le réglage le plus courant, à 55,8% — davantage que le hardfail. À lui seul, le softfail offre une protection faible : il demande aux destinataires de ne pas faire confiance au courrier non listé, mais pas de le rejeter.
Les cas limites dangereux
+all— 36 014 domaines. C’est la pire valeur SPF possible : elle indique explicitement au monde que n’importe quel serveur est autorisé à envoyer du courrier au nom du domaine. C’est presque toujours un accident de copier-coller, et c’est strictement pire que de n’avoir aucun SPF.- Trop de requêtes DNS — 7 958 domaines. Le SPF autorise au maximum 10 requêtes DNS imbriquées ; au-delà, l’enregistrement est un « permerror » que les destinataires considèrent comme cassé. C’est plus rare qu’on ne le craint (0,01% des enregistrements SPF), mais quand cela frappe, cela annule silencieusement entièrement votre SPF.
Le softfail est-il vraiment un problème ?
Pas s’il est adossé à DMARC. La bonne pratique moderne est ~all plus une politique DMARC de quarantine ou reject — cette combinaison vous offre une application stricte sans casser le courrier réacheminé. Le problème, c’est la grande part de domaines en ~all sans DMARC d’application derrière — seuls 10,59% de tous les domaines appliquent DMARC — ce qui laisse le softfail ne faire presque rien. Le SPF réglé sur ~all est un moyen pour parvenir à une fin ; sans DMARC, ce n’est qu’une suggestion.
Foire aux questions
Quelle est la différence entre ~all et -all dans le SPF ?
-all (hardfail) indique aux destinataires de rejeter le courrier des serveurs qui ne figurent pas sur votre liste. ~all (softfail) leur indique de l’accepter quand même mais de le marquer comme suspect. 55,8% des domaines avec SPF utilisent ~all ; 39,3% utilisent -all.
Est-il sûr d’utiliser ~all (softfail) ?
Oui — mais seulement lorsqu’il est associé à une politique DMARC d’application (quarantine ou reject). À lui seul, le softfail offre une protection faible.
Que fait +all ?
+all autorise chaque serveur d’internet à envoyer du courrier au nom de votre domaine — pire que pas de SPF. 36 014 domaines ont cela, presque toujours par erreur.
Qu’est-ce que l’erreur SPF « trop de requêtes » ? Le SPF autorise au plus 10 requêtes DNS imbriquées ; au-delà, l’enregistrement échoue en « permerror » et est ignoré. Cela touche 7 958 domaines.
Vérifiez que votre SPF est correctement réglé
Publier un SPF, c’est la moitié du travail ; le régler strictement et l’adosser à DMARC, c’est l’autre moitié. Vérifiez votre domaine de façon privée et gratuite.
Vérifiez votre domaine → · Corriger le SPF → · Corriger le DMARC → · Pourquoi les e-mails partent en spam → · Données agrégées uniquement. Données stockées et traitées dans l’UE.