Defaults.Exposed

Defaults.Exposed › Rapports

Quel fournisseur de messagerie offre à ses clients les paramètres SPF par défaut les plus robustes ? (2026)

Publié 2026-07-03

Chiffres au 2026-06-29 · méthodologie v7. Recensement agrégé portant sur 261 millions de domaines notés. Nous comptons les cibles include:/redirect= exactes présentes dans les enregistrements SPF publiés — DNS public, agrégé par fournisseur ; jamais l’enregistrement d’une entreprise individuelle. Voir comment nous notons.

Chaque enregistrement SPF nomme les services autorisés à envoyer du courrier pour un domaine — donc 139 millions d’enregistrements SPF constituent aussi un recensement des paramètres par défaut des fournisseurs, et ces valeurs par défaut diffèrent énormément : 85,0 % des domaines incluant Microsoft 365 terminent leur SPF par un -all strict, contre 8,0 % des domaines incluant Google Workspace. Le second constat compte davantage : sur le critère qui arrête réellement l’usurpation — une politique DMARC contraignante derrière l’enregistrement — la clientèle d’aucun grand fournisseur de messagerie ne dépasse les 30 % d’achèvement.

Le classement : terminaisons strictes et protection achevée, par fournisseur

Domaines dont le SPF inclut chaque fournisseur ; la part se terminant en mode strict (-all) ; et la part avec un DMARC contraignant — la combinaison qui arrête les contrefaçons :

Fournisseur (cible include)Domaines autorisant% strict -all% avec DMARC contraignant
Google Workspace (_spf.google.com)12 145 3138,0%18,5%
Microsoft 365 (spf.protection.outlook.com)10 205 07085,0%21,7%
Namecheap forwarding (spf.efwd.registrar-servers.com)7 355 985<0.1%0,2%
GoDaddy (secureserver.net)7 061 42686,0%29,3%
Hostinger (_spf.mail.hostinger.com)4 476 6400,2%1,0%
IONOS EU (_spf-eu.ionos.com)4 346 5260,3%1,0%
HostGator (websitewelcome.com)3 102 6160,6%1,6%
OVH (mx.ovh.com)2 132 04943,7%2,2%
Cloudflare Email Routing (_spf.mx.cloudflare.net)2 007 4832,9%10,0%
MailChannels (relay.mailchannels.net)1 870 17728,4%10,0%
Mailgun (mailgun.org)1 306 6927,2%35,9%
SendGrid (sendgrid.net)740 32119,0%18,0%
Zoho Mail (zohomail.com)662 5467,3%9,9%
Amazon SES (amazonses.com)551 44628,3%41,9%
Stackmail / 20i (spf.stackmail.com)519 24698,2%3,3%

Comment lire ce tableau — honnêtement

Quatre choses que ces données sont et ne sont pas :

Trois histoires dans les colonnes

Que faire avec votre propre domaine

  1. Voyez quels fournisseurs votre SPF inclut réellement — dig TXT yourdomain.com, ou vérifiez gratuitement.
  2. Ne reproduisez pas aveuglément une terminaison stricte : cartographiez vos expéditeurs, puis soit resserrez vers -all, soit conservez ~all en plaçant un DMARC p=reject derrière.
  3. Ce que votre fournisseur vous a remis est un modèle dont vous avez hérité — et qu’une modification DNS gratuite peut changer.

Foire aux questions

Quel fournisseur de messagerie a le paramètre SPF par défaut le plus sécurisé ? Selon le modèle strict : Stackmail / 20i (98,2 % des domaines terminent en -all), GoDaddy (86,0 %) et Microsoft 365 (85,0 %). Selon la protection achevée — DMARC contraignant derrière le SPF — les clients d’Amazon SES sont en tête avec 41,9 %. Les deux critères récompensent respectivement un modèle strict et une clientèle qui va jusqu’au bout.

Utiliser Google Workspace signifie-t-il que mon SPF est faible ? Pas intrinsèquement. Le ~all recommandé par Google est une bonne pratique lorsqu’il est associé à une politique DMARC contraignante — mais seuls 18,5 % des domaines incluant Google disposent de cette association au 2026-06-29. La faiblesse n’est pas le softfail ; c’est de s’arrêter là.

Ces chiffres jugent-ils la sécurité propre des fournisseurs ? Non. Ils mesurent la posture SPF publiée des domaines clients qui incluent chaque fournisseur — DNS public agrégé, façonné par les modèles de configuration, la documentation et la composition clientèle. Aucun domaine individuel n’est identifié ni noté publiquement.

Pourquoi le modèle de mon fournisseur décide-t-il de ma sécurité ? Parce qu’il est copié une seule fois, dès le premier jour, et que notre recensement montre qu’il n’est presque jamais reconsidéré. Les valeurs par défaut persistent — c’est précisément pour cela que vérifier la vôtre vaut bien 30 secondes.

Vérifiez ce dont votre domaine a hérité

Ce que l’assistant de configuration a écrit est toujours là, dans votre DNS. Le lire — et le terminer — est gratuit.

Vérifiez votre domaine → · Corriger le SPF → · ~all vs -all · SPF sans DMARC → · Parts de marché de l’hébergement de messagerie → · Données agrégées uniquement. Données stockées et traitées dans l’UE.