Defaults.Exposed › Rapports
Publier un SPF ne suffit pas : le faux sentiment de sécurité des e-mails (2026)
Publié 2026-06-29
Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées combinant les vérifications par domaine sur 261 millions de domaines notés. « En application » = une politique DMARC
quarantineoureject. Voir comment nous notons.
L’endroit le plus dangereux en sécurité du courriel, c’est de se sentir protégé. 32,4% des domaines publient un SPF mais n’ont aucun DMARC — et 45,7% ont un SPF qui n’est pas adossé à une application. Ces propriétaires ont fait quelque chose, ont vu « SPF : configuré » et se sont arrêtés. Mais le SPF seul n’empêche personne de falsifier votre adresse « De » visible — seul un DMARC appliqué le fait. Au 2026-06-29, seuls 3,87% des domaines sont pleinement protégés au niveau du courriel.
L’écart entre « configuré » et « protégé »
Le SPF vérifie quels serveurs peuvent envoyer en votre nom. Il ne régit pas l’adresse « De » qu’une personne voit réellement, et il n’indique pas aux destinataires quoi faire en cas d’échec. C’est le rôle du DMARC. Ainsi, un SPF sans politique DMARC appliquée est une serrure sans porte derrière :
| État | Part des domaines | Réellement protégé ? |
|---|---|---|
| SPF publié, aucun enregistrement DMARC du tout | 32,4% | Non |
| SPF publié, DMARC non appliqué | 45,7% | Non |
| Pleinement protégé au niveau du courriel (SPF + DMARC appliqué) | 3,87% | Oui |
Relisez la ligne du milieu : 45,7% de tous les domaines ont un SPF mais aucune application — une quasi-majorité d’Internet siégeant dans la zone de fausse sécurité. Pour un attaquant, ils sont usurpables — et 89,4% des domaines au total le sont.
La pire version : du courrier qui entre, aucun garde à la porte
Cela devient plus aigu pour les domaines qui reçoivent réellement du courriel. 42,7% des domaines acceptent du courrier (ils ont des enregistrements MX) mais n’ont aucune authentification de courriel fonctionnelle — pas d’application SPF, pas de DMARC. Ce sont des domaines actifs et utilisés dont les propriétaires envoient et reçoivent chaque jour, entièrement usurpables. C’est précisément cette activité qui en fait des cibles attrayantes pour la fraude aux factures et les arnaques aux fournisseurs.
Pourquoi « on a un SPF » est devenu le piège
Le SPF est plus ancien, plus simple, et la première chose que mentionnent la plupart des guides de configuration — c’est donc la case que l’on coche. Le DMARC est arrivé plus tard, semble plus avancé et exige une progression délibérée vers l’application. Le résultat est une immense population qui a adopté l’étape un et n’a jamais franchi l’étape deux, puis a continué à croire que le travail était fait. Le recensement rend visible pour la première fois l’ampleur de ce malentendu : 32,4% avec un SPF et aucun DMARC.
Comment être réellement protégé
- Gardez votre SPF, mais ne comptez pas dessus seul. (Corriger le SPF.)
- Ajoutez DKIM pour que votre courrier soit signé. (Corriger le DKIM.)
- Publiez DMARC et passez-le en application (
p=none→quarantine→reject). C’est l’étape qui convertit « configuré » en « protégé ». (Corriger le DMARC.)
Foire aux questions
Le SPF suffit-il à arrêter l’usurpation de courriel ? Non. Le SPF ne protège pas l’adresse « De » visible et ne dit pas aux destinataires de rejeter les falsifications — seule une politique DMARC appliquée le fait. 45,7% des domaines ont un SPF sans cette application.
J’ai un enregistrement SPF — suis-je protégé ?
Pas à lui seul. Vous n’êtes protégé que lorsque le SPF (et idéalement le DKIM) est adossé à un DMARC réglé sur quarantine ou reject. Seuls 3,87% des domaines y parviennent.
Quelle part des domaines peut encore être usurpée ? 89,4% — parce qu’ils n’ont pas de DMARC appliqué, qu’ils publient un SPF ou non.
Pourquoi avoir du courrier (MX) sans authentification est-il particulièrement risqué ? 42,7% des domaines envoient et reçoivent activement du courriel mais n’ont aucune authentification fonctionnelle — des domaines actifs et de confiance que n’importe qui peut falsifier, ce que recherchent justement les fraudeurs.
Vérifiez si vous êtes réellement protégé
« On a un SPF » n’équivaut pas à protégé. Vérifiez votre domaine gratuitement et en privé — voyez si votre courriel peut encore être falsifié.
Vérifiez votre domaine → · Corriger le DMARC → · Le score d’exposition du domaine → · p=none n’est pas une protection → · Données agrégées uniquement. Données stockées et traitées dans l’UE.