Defaults.Exposed › Rapports
Le modèle de maturité d'adoption de SPF (SPFAMM) : les 6 stades de SPF (2026)
Publié 2026-07-03
Chiffres au 2026-06-29 · méthodologie v7. Un modèle de référence adossé à un recensement récurrent de 261 millions de domaines notés ; chaque édition remesure la même population afin que les chiffres puissent être suivis dans le temps. Tous les chiffres sont agrégés — nous ne publions jamais l’enregistrement d’une entreprise en particulier.
À quel stade en est Internet ?
Stade 2,4 sur 6. Mesuré sur 261 millions de domaines, le domaine moyen n’a pas encore atteint une barrière SPF opérante — et Internet dans son ensemble obtient 29 sur 100 en solidité SPF. Publier un SPF est l’acte de sécurité de la messagerie le plus répandu qui soit (53,21 % des domaines le font), et pourtant la plupart de ces enregistrements s’arrêtent à un réglage qui demande aux destinataires de livrer les falsifications malgré tout.
Le problème n’est pas l’adoption — c’est que la plupart des conseils de maturité s’arrêtent à « nous avons publié un SPF », comme si l’enregistrement était en soi l’accomplissement. Un enregistrement SPF peut autoriser Internet tout entier, n’exprimer aucune opinion, s’annuler silencieusement, ou rester à softfail pour toujours parce que le durcir demande un travail que personne n’a planifié. Un modèle utile nomme chacun de ces états. Celui-ci le fait : le modèle de maturité d’adoption de SPF — SPFAMM, six stades, un seul geste par stade, et un nom que vous pouvez citer. C’est le pendant SPF des six stades de maturité DMARC.
Quels sont les six stades de maturité SPF ?
Chacun des 261 millions de domaines notés se situe à exactement l’un des stades 1 à 5, et ces cinq populations s’additionnent précisément pour donner le total du recensement ; le stade 6 est le sous-ensemble durci compté au sein du stade 5. C’est ce qui fait de SPFAMM une mesure plutôt qu’une affiche.
| Stade | Nom | Domaines | Part |
|---|---|---|---|
| 1 | Non protégé | 121 145 609 | 46,4 % |
| 2 | Permissif ou cassé | 7 798 366 | 3,0 % |
| 3 | Barrière souple | 70 368 600 | 27,0 % |
| 4 | Strict | 42 514 532 | 16,3 % |
| 5 | Aligné | 19 259 125 | 7,4 % |
| 6 | Durci | 10 092 481 | 3,87 % |
(Le stade 6 est le sous-ensemble durci des domaines alignés du stade 5, si bien que les stades 1 à 5 partitionnent le recensement et que le stade 6 s’inscrit à l’intérieur du stade 5.)
Stade 1 — Non protégé. Aucun enregistrement v=spf1. Aucun destinataire ne vérifie quoi que ce soit ; falsifier le domaine sur le volet SPF est facile. Le geste : publier un enregistrement v=spf1 listant vos expéditeurs réels, se terminant par un qualificateur d’échec.
Stade 2 — Permissif ou cassé. Un enregistrement existe mais ne protège rien. Ce stade rassemble les terminaisons sans dents — ?all neutre (3,0 % des publieurs) et le paillasson de bienvenue +all — ainsi que les enregistrements cassés : les enregistrements v=spf1 multiples, que la norme annule entièrement, et les enregistrements fragmentaires sans terminaison utilisable. Une seule exception : environ 2,1 millions d’enregistrements se terminent par redirect=, ce qui est une délégation valide — leur véritable politique réside à la cible, et nous ne les comptons ici que parce que leur propre enregistrement ne porte aucun verdict. Le geste : un enregistrement, une seule vraie terminaison — ~all ou -all.
Stade 3 — Barrière souple. L’enregistrement se termine par ~all (softfail) sans rien pour faire appliquer derrière — 70,4 millions de domaines, la plus grande population de tous les stades avec SPF publié. Le softfail est une vraie barrière avec un portail non verrouillé : il dit aux destinataires « le courrier venu d’ailleurs est probablement falsifié », et leur demande de le livrer quand même. Le geste : franchir le mur — recenser chaque expéditeur, puis emprunter l’une des deux routes vers le haut (ci-dessous).
Stade 4 — Strict. L’enregistrement se termine par -all : 42,5 millions de domaines publiant un « rejette tous les autres » sans détour, sans encore aucune application DMARC derrière. Une réserve honnête que notre propre mesure quantifie désormais : un enregistrement -all qui dépasse la limite de 10 recherches est nul quelle que soit sa rigueur apparente — au moins 112 215 des enregistrements -all d’Internet sont dans cet état. Le geste : placer une politique DMARC appliquée derrière l’enregistrement, pour que les échecs soient traités partout.
Stade 5 — Aligné. SPF — souple ou strict — se trouve derrière un DMARC p=quarantine ou p=reject. C’est le stade où l’usurpation de votre domaine exact s’arrête réellement chez tous les grands fournisseurs de messagerie : 19,3 millions de domaines, dont 7,1 millions associent ~all à une application (le schéma que recommandent les consignes expéditeur de Google) et 12,1 millions y associent -all. Le geste : ajouter DKIM et rester vigilant — les enregistrements se dégradent.
Stade 6 — Durci. SPF plus DKIM plus un DMARC appliqué — l’ensemble pleinement protégé, 10 092 481 domaines, 3,87 % d’Internet — auquel s’ajoute la discipline de surveiller les dérives : les chaînes include: changent, les fournisseurs déplacent leurs IP, quelqu’un connecte un nouvel outil qui envoie en votre nom. Le geste : rester ici. C’est une pratique, pas un badge.
La voie sans courrier. Un domaine qui n’envoie aucun courrier peut bondir au sommet en une seule modification : SPF
-allplus DMARCp=reject. Rien de légitime à protéger signifie aucun mur à franchir — et cela ferme l’un des vecteurs d’usurpation les plus courants qui soient.
Pourquoi le stade 3 est-il l’endroit où Internet cale ?
Parce que presque tous les autres gestes sont une petite modification DNS, tandis que le geste pour sortir du stade 3 est du travail : énumérer chaque système qui envoie légitimement en votre nom — fournisseur de messagerie, plateforme de newsletter, CRM, outil de facturation, ce truc que le marketing a souscrit au printemps dernier — et les faire tenir dans un seul enregistrement sans faire exploser le budget de 10 recherches. Voilà le mur. ~all est le dernier échelon accessible sans le faire, ce qui explique pourquoi 70,4 millions de domaines s’y reposent.
Depuis le sommet du mur, il existe deux routes vers le haut, et toutes deux mènent au stade 5 :
- Durcir jusqu’à
-all(en passant par le stade 4) — un non ferme dans l’enregistrement lui-même. Voir~allcontre-allpour savoir quand c’est le bon choix. - Garder
~allet faire appliquer avec DMARCp=reject— la route que recommandent désormais les consignes de Google et la plupart des pratiques de délivrabilité, parce qu’elle protège tout autant chez les destinataires qui évaluent DMARC sans rejeter le courrier transféré.
Le recensement montre à quel point l’une ou l’autre route est rarement menée à terme : sur les 77,5 millions d’enregistrements softfail, seuls 7,1 millions — environ 1 sur 11 — ont une application derrière eux.
Comment le score de solidité SPF est-il calculé ?
Simplement, et nous maintenons les pondérations constantes pour que le score soit comparable d’un mois à l’autre : crédit plein pour les domaines où quelque chose applique une politique (stades 5-6), demi-crédit pour une vraie barrière que personne ne fait respecter (stades 3-4), rien pour les enregistrements absents, permissifs ou cassés. Sur cette échelle, Internet obtient 29/100 au 2026-06-29. Près de la moitié de la population contribue à hauteur de zéro parce qu’elle ne publie rien du tout.
Comment trouver le stade de mon domaine ?
Les stades 1 à 4 se lisent directement dans votre enregistrement DNS ; le stade 5 y ajoute votre politique DMARC ; le stade 6 y ajoute DKIM. La seule chose qu’un coup d’œil ne peut vous dire, c’est si un enregistrement strict est secrètement au-delà de la limite de recherches — cela demande de résoudre la chaîne, ce que notre vérificateur fait pour vous.
Foire aux questions
Qu’est-ce que SPFAMM ? Le modèle de maturité d’adoption de SPF — le modèle en six stades présenté sur cette page : Non protégé, Permissif/cassé, Barrière souple, Strict, Aligné, Durci. Le stade de chaque domaine est calculable à partir de son DNS : les stades 1 à 5 partitionnent exactement le recensement de 261 millions de domaines, et le stade 6 est le sous-ensemble durci au sein du stade 5.
À quel stade se trouvent la plupart des domaines ? Le stade 1 — 46,4 % des domaines ne publient aucun SPF du tout. Parmi les domaines qui en publient un, le stade 3 (softfail sans application) est le point de repos le plus courant, avec 70,4 millions de domaines. La moyenne pondérée par la population est le stade 2,4.
Le softfail ~all est-il suffisant ?
Seulement avec une politique DMARC appliquée derrière — cette association est le stade 5 et le schéma que recommandent les consignes expéditeur de Google. À lui seul, c’est le stade 3 : vraie barrière, portail non verrouillé. La comparaison complète se trouve dans ~all contre -all.
Dois-je atteindre -all pour être en sécurité ?
Non. Le stade 4 est l’une des deux routes, pas une exigence — garder ~all et faire appliquer avec DMARC p=reject aboutit à la même protection chez les destinataires qui évaluent DMARC. Ce qui est exigé, c’est le mur : connaître chaque expéditeur avant que quoi que ce soit ne s’applique.
Combien de domaines franchissent l’ensemble des six stades ? 10 092 481 — 3,87 % d’Internet — réunissent SPF, DKIM et une politique DMARC appliquée. Chaque transition de stade est gratuite ; les détails sont dans les rares pleinement protégés.
Vérifiez où en est votre domaine
Votre domaine se situe à exactement l’un de ces six stades, et le prochain geste est connaissable en 30 secondes — gratuitement, et chaque correction le long de l’échelle est une modification DNS, pas un achat.
Vérifiez votre domaine → · Corriger SPF → · ~all contre -all → · Le rapport SPF PermError → · Les 6 stades de maturité DMARC → · Données agrégées uniquement. Données stockées et traitées dans l’UE.