Defaults.Exposed › Rapports
Quel fournisseur de messagerie offre à ses clients les paramètres SPF par défaut les plus robustes ? (2026)
Publié 2026-07-03
Chiffres au 2026-06-29 · méthodologie v7. Recensement agrégé portant sur 261 millions de domaines notés. Nous comptons les cibles
include:/redirect=exactes présentes dans les enregistrements SPF publiés — DNS public, agrégé par fournisseur ; jamais l’enregistrement d’une entreprise individuelle. Voir comment nous notons.
Chaque enregistrement SPF nomme les services autorisés à envoyer du courrier pour un domaine — donc 139 millions d’enregistrements SPF constituent aussi un recensement des paramètres par défaut des fournisseurs, et ces valeurs par défaut diffèrent énormément : 85,0 % des domaines incluant Microsoft 365 terminent leur SPF par un -all strict, contre 8,0 % des domaines incluant Google Workspace. Le second constat compte davantage : sur le critère qui arrête réellement l’usurpation — une politique DMARC contraignante derrière l’enregistrement — la clientèle d’aucun grand fournisseur de messagerie ne dépasse les 30 % d’achèvement.
Le classement : terminaisons strictes et protection achevée, par fournisseur
Domaines dont le SPF inclut chaque fournisseur ; la part se terminant en mode strict (-all) ; et la part avec un DMARC contraignant — la combinaison qui arrête les contrefaçons :
| Fournisseur (cible include) | Domaines autorisant | % strict -all | % avec DMARC contraignant |
|---|---|---|---|
Google Workspace (_spf.google.com) | 12 145 313 | 8,0% | 18,5% |
Microsoft 365 (spf.protection.outlook.com) | 10 205 070 | 85,0% | 21,7% |
Namecheap forwarding (spf.efwd.registrar-servers.com) | 7 355 985 | <0.1% | 0,2% |
GoDaddy (secureserver.net) | 7 061 426 | 86,0% | 29,3% |
Hostinger (_spf.mail.hostinger.com) | 4 476 640 | 0,2% | 1,0% |
IONOS EU (_spf-eu.ionos.com) | 4 346 526 | 0,3% | 1,0% |
HostGator (websitewelcome.com) | 3 102 616 | 0,6% | 1,6% |
OVH (mx.ovh.com) | 2 132 049 | 43,7% | 2,2% |
Cloudflare Email Routing (_spf.mx.cloudflare.net) | 2 007 483 | 2,9% | 10,0% |
MailChannels (relay.mailchannels.net) | 1 870 177 | 28,4% | 10,0% |
Mailgun (mailgun.org) | 1 306 692 | 7,2% | 35,9% |
SendGrid (sendgrid.net) | 740 321 | 19,0% | 18,0% |
Zoho Mail (zohomail.com) | 662 546 | 7,3% | 9,9% |
Amazon SES (amazonses.com) | 551 446 | 28,3% | 41,9% |
Stackmail / 20i (spf.stackmail.com) | 519 246 | 98,2% | 3,3% |
Comment lire ce tableau — honnêtement
Quatre choses que ces données sont et ne sont pas :
- Les lignes sont des populations-include, pas des clients. Un domaine incluant à la fois Google et Mailgun apparaît dans les deux lignes.
- La colonne « strict » photographie le modèle de configuration de chaque fournisseur ainsi que sa composition clientèle. L’intégration de Microsoft émet un
-all; la documentation de Google recommande~all; les panneaux d’hébergement provisionnent automatiquement des enregistrements sur des domaines qui n’envoient peut-être aucun courrier — ce qui peut gonfler une part stricte sans que quiconque ne décide quoi que ce soit. - Une faible part stricte n’est pas automatiquement une erreur. La ligne de Namecheap correspond à un produit de redirection d’e-mails — et la redirection est justement le cas où
-allse déclenche à tort, de sorte qu’un modèle souple y constitue sans doute la configuration correcte. L’exposition dans cette ligne se trouve dans l’autre colonne : 0,2 % appliqué. - La colonne d’application est le véritable classement. Le choix strict-vs-souple est une question de style une fois que le DMARC est contraignant ; sans application, aucune des deux terminaisons n’arrête une contrefaçon chez la plupart des destinataires.
Trois histoires dans les colonnes
- Les valeurs par défaut sont le destin. Les clients conservent massivement ce que l’assistant leur a fourni — 92 % des domaines incluant Google conservent une terminaison non stricte, très majoritairement le
~allque recommande le guide de Google ; 98,2 % des domaines Stackmail conservent le-allqu’écrit son panneau. Presque personne ne reconsidère un qualificateur par la suite. C’est l’observation fondatrice de tout ce recensement, écrite 139 millions de fois. - La ligne d’arrivée est franchie par les utilisateurs, pas par les modèles. Les leaders de l’application sont les expéditeurs orientés développeurs — Amazon SES (41,9 %) et Mailgun (35,9 %) — dont la clientèle penche vers des équipes qui terminent le travail. Les clientèles des grands fournisseurs de messagerie se situent entre 18,5 % et 29,3 % d’application, quelle que soit la rigueur de leur modèle SPF.
- La masse exposée est le segment de l’hébergement et de la redirection. La redirection Namecheap, Hostinger, IONOS et HostGator couvrent ensemble plus de 19 millions de domaines à 2 % d’application ou moins — des noms de petites entreprises exécutant tout ce que le panneau a installé, faiblement clôturés et non appliqués.
Que faire avec votre propre domaine
- Voyez quels fournisseurs votre SPF inclut réellement —
dig TXT yourdomain.com, ou vérifiez gratuitement. - Ne reproduisez pas aveuglément une terminaison stricte : cartographiez vos expéditeurs, puis soit resserrez vers
-all, soit conservez~allen plaçant un DMARCp=rejectderrière. - Ce que votre fournisseur vous a remis est un modèle dont vous avez hérité — et qu’une modification DNS gratuite peut changer.
Foire aux questions
Quel fournisseur de messagerie a le paramètre SPF par défaut le plus sécurisé ?
Selon le modèle strict : Stackmail / 20i (98,2 % des domaines terminent en -all), GoDaddy (86,0 %) et Microsoft 365 (85,0 %). Selon la protection achevée — DMARC contraignant derrière le SPF — les clients d’Amazon SES sont en tête avec 41,9 %. Les deux critères récompensent respectivement un modèle strict et une clientèle qui va jusqu’au bout.
Utiliser Google Workspace signifie-t-il que mon SPF est faible ?
Pas intrinsèquement. Le ~all recommandé par Google est une bonne pratique lorsqu’il est associé à une politique DMARC contraignante — mais seuls 18,5 % des domaines incluant Google disposent de cette association au 2026-06-29. La faiblesse n’est pas le softfail ; c’est de s’arrêter là.
Ces chiffres jugent-ils la sécurité propre des fournisseurs ? Non. Ils mesurent la posture SPF publiée des domaines clients qui incluent chaque fournisseur — DNS public agrégé, façonné par les modèles de configuration, la documentation et la composition clientèle. Aucun domaine individuel n’est identifié ni noté publiquement.
Pourquoi le modèle de mon fournisseur décide-t-il de ma sécurité ? Parce qu’il est copié une seule fois, dès le premier jour, et que notre recensement montre qu’il n’est presque jamais reconsidéré. Les valeurs par défaut persistent — c’est précisément pour cela que vérifier la vôtre vaut bien 30 secondes.
Vérifiez ce dont votre domaine a hérité
Ce que l’assistant de configuration a écrit est toujours là, dans votre DNS. Le lire — et le terminer — est gratuit.
Vérifiez votre domaine → · Corriger le SPF → · ~all vs -all → · SPF sans DMARC → · Parts de marché de l’hébergement de messagerie → · Données agrégées uniquement. Données stockées et traitées dans l’UE.