Defaults.Exposed

Defaults.Exposed › Rapports

Qu'est-ce que le SPF — et comment corriger mon enregistrement SPF ? (2026)

Publié 2026-07-01

Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées portant sur 261 millions de domaines évalués. Le SPF (Sender Policy Framework) est un enregistrement DNS qui liste les serveurs autorisés à envoyer du courrier pour votre domaine. Voir comment nous évaluons.

Le SPF est une ligne unique dans votre DNS qui indique « ces serveurs peuvent envoyer des e-mails en mon nom — considérez tout le reste comme suspect ». Sur 261 millions de domaines, 53,21 % publient un enregistrement SPF. Cela paraît sain, mais un enregistrement à lui seul ne vous protège pas : c’est le qualificateur terminal qui décide si les expéditeurs non listés sont rejetés ou laissés passer, et une grande part des enregistrements sont configurés si souplement qu’ils ne changent rien. Voici ce que fait réellement le SPF, les erreurs que nous constatons le plus souvent, et comment corriger le vôtre.

Qu’est-ce qu’un enregistrement SPF ?

Lorsqu’un serveur de messagerie reçoit un message qui prétend provenir de votre domaine, il consulte votre enregistrement SPF et vérifie si le serveur expéditeur figure sur votre liste d’autorisation. L’enregistrement se termine par une instruction concernant tout ce qui ne figure pas sur la liste :

Parmi les 139 millions de domaines qui publient un SPF, seuls 39,3 % utilisent un -all strict, tandis que 55,8 % utilisent le ~all plus souple. Et 36 014 domaines publient +all — une invitation ouverte qui annonce au monde que n’importe qui peut envoyer des e-mails en leur nom.

Les erreurs qui cassent silencieusement le SPF

Comment corriger mon enregistrement SPF ?

  1. Publiez un seul enregistrement SPF — un unique enregistrement TXT commençant par v=spf1. N’en publiez jamais deux ; c’est un échec automatique.
  2. Listez chaque expéditeur légitime — votre fournisseur de messagerie, votre plateforme marketing, votre CRM, votre service d’assistance — en utilisant leurs valeurs include: documentées.
  3. Terminez par -all une fois certain que la liste est complète. Commencez par ~all s’il vous faut une marge de sécurité, puis resserrez. Voir corriger le SPF.
  4. Restez sous les 10 recherches — aplatissez ou consolidez les includes si vous approchez de la limite.
  5. Puis ajoutez DMARC — le SPF et DKIM alimentent DMARC, le contrôle qui empêche réellement quelqu’un d’envoyer des e-mails au nom de votre domaine.

Foire aux questions

À quoi ressemble un enregistrement SPF ? Un unique enregistrement DNS TXT tel que v=spf1 include:_spf.google.com -all. Les entrées include: sont vos expéditeurs autorisés ; le -all à la fin rejette tous les autres.

~all ou -all : lequel est préférable ? -all (hardfail) est plus fort — il indique aux destinataires de rejeter les expéditeurs non listés. ~all (softfail) laisse généralement le message être distribué malgré tout. Au 2026-06-29, 39,3 % des enregistrements SPF utilisent -all et 55,8 % utilisent ~all.

Le SPF empêche-t-il l’usurpation de mon domaine ? Pas à lui seul. Le SPF ne régit pas l’adresse « De » visible. Il vous faut un DMARC configuré en mode application. 32,4 % des domaines ont un SPF mais pas de DMARC et restent usurpables.

Pourquoi mon enregistrement SPF « échoue-t-il » alors qu’il semble correct ? Le plus souvent, il dépasse la limite de 10 recherches et renvoie une permerror. 0,01 % des domaines avec un SPF rencontrent ce problème. Réduisez le nombre de recherches include:.

Corriger le SPF coûte-t-il cher ? Non — c’est une modification DNS gratuite. L’effort porte sur l’établissement d’une liste d’expéditeurs complète et correcte, pas sur l’argent.

Vérifiez gratuitement le SPF de votre domaine

Consultez votre enregistrement SPF, son qualificateur terminal, et s’il est complet — en toute confidentialité, et réservé au propriétaire.

Vérifiez votre domaine → · Corriger le SPF → · Corriger le DMARC → · Comment nous évaluons → · Données agrégées uniquement. Données stockées et traitées dans l’UE.