Defaults.Exposed › Configuration › SPF

Comment configurer le SPF sur Microsoft 365

Ajoutez un enregistrement SPF pour que le monde sache que les serveurs de Microsoft 365 sont autorisés à envoyer des e-mails pour votre domaine.

Pourquoi cela compte pour votre activité

Le SPF (Sender Policy Framework, « cadre de politique de l’expéditeur ») est une courte note dans le DNS de votre domaine qui répertorie les serveurs de messagerie autorisés à envoyer des e-mails « au nom de » votre domaine. Sans lui, des escrocs peuvent usurper votre adresse pour envoyer de fausses factures, des demandes de paiement ou de faux devis à vos clients et fournisseurs — et vos propres e-mails légitimes risquent davantage d’atterrir dans les spams. Configurer le SPF est gratuit, prend quelques minutes, et c’est l’une des protections les plus solides et les moins coûteuses pour préserver votre réputation et garantir la bonne distribution de vos e-mails.

Important : où cela se fait réellement

Cela perd beaucoup de gens, alors autant être clair :

• Microsoft 365 gère votre messagerie (les boîtes aux lettres résident sur Exchange Online). Mais Microsoft 365 est la plateforme de messagerie — ce n’est pas nécessairement l’endroit où réside le DNS de votre domaine.
• L’enregistrement SPF s’ajoute chez votre hébergeur DNS — la société qui contrôle les serveurs de noms de votre domaine. Il peut s’agir du bureau d’enregistrement où vous avez acheté le domaine (GoDaddy, Namecheap, etc.), d’un hébergeur web ou de quelque chose comme Cloudflare.
• Si vous laissez Microsoft gérer votre DNS, alors votre hébergeur DNS est Microsoft, et vous modifieriez l’enregistrement dans le centre d’administration Microsoft 365 → Paramètres → Domaines → Enregistrements DNS. Dans ce cas, Microsoft ajoute souvent automatiquement le bon enregistrement SPF pour vous lors de la configuration du domaine.

Donc : Microsoft vous dit ce que l’enregistrement doit contenir ; vous l’ajoutez là où réside votre DNS. Les paramètres de boîte aux lettres dans Microsoft 365 ne conservent pas cet enregistrement, sauf si Microsoft gère aussi votre DNS.

D’abord : quelle société gère votre DNS ?

Un enregistrement DNS ne prend effet que si vous l’ajoutez là où pointent les serveurs de noms de votre domaine. Si vous n’êtes pas sûr, vérifiez le domaine dans votre compte chez le bureau d’enregistrement et regardez la section Serveurs de noms (Nameservers), ou demandez à la personne qui a configuré votre site. Si les serveurs de noms pointent ailleurs que vers Microsoft, ajoutez l’enregistrement SPF dans les paramètres DNS de cette société (cherchez DNS / Enregistrements / DNS avancé). L’ajouter au mauvais endroit ne fera rien.

Ce que vous allez ajouter

Un unique enregistrement TXT pour Microsoft 365. La valeur standard est :

v=spf1 include:spf.protection.outlook.com -all

• include:spf.protection.outlook.com autorise les serveurs de messagerie de Microsoft 365 à envoyer pour vous.
• -all est la valeur recommandée par Microsoft — un « échec strict » (hard fail) qui indique aux destinataires de rejeter tout ce qui n’est pas listé. Si vous n’êtes pas encore certain que tous vos expéditeurs sont inclus, vous pouvez commencer par le plus souple ~all et durcir vers -all plus tard.

Vous ne devez avoir qu’un seul enregistrement SPF (un TXT commençant par v=spf1) par domaine. Si vous en avez déjà un — par exemple parce que vous envoyez aussi via un outil de newsletter ou un CRM — n’en ajoutez pas un second. Modifiez l’existant et intégrez-y la partie de Microsoft, par exemple :

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

Étapes

1. Connectez-vous à votre hébergeur DNS (votre bureau d’enregistrement, votre hébergeur web ou votre fournisseur DNS — ou le centre d’administration Microsoft 365 si Microsoft gère votre DNS).
2. Ouvrez les paramètres DNS de votre domaine (cherchez DNS / Enregistrements / DNS avancé).
3. Ajoutez un nouvel enregistrement et choisissez TXT comme type.
4. Dans le champ Nom / Hôte, saisissez @ (cela signifie « le domaine lui-même »). N’inscrivez pas ici votre nom de domaine complet.
5. Dans le champ Valeur / Données, collez v=spf1 include:spf.protection.outlook.com -all (ou votre enregistrement combiné si vous avez d’autres expéditeurs).
6. Laissez le TTL sur la valeur par défaut (1 heure convient parfaitement).
7. Enregistrez.

Pièges fréquents

• Ce n’est pas un paramètre de boîte aux lettres. Les gens cherchent « SPF » dans les paramètres de Microsoft 365 et ne trouvent pas de champ où le saisir — c’est parce que cela relève de votre DNS, pas des paramètres de la boîte aux lettres ou de l’administration Exchange.
• Un seul enregistrement SPF. Deux enregistrements commençant par v=spf1 cassent complètement le SPF. Combinez les expéditeurs en un seul enregistrement à l’aide d’entrées include: supplémentaires.
• @ comme nom, pas votre domaine. Inscrire le domaine complet dans le champ Nom peut créer l’enregistrement au mauvais endroit.
• Attention aux guillemets. La plupart des hébergeurs DNS ajoutent les guillemets pour vous — collez la valeur telle quelle. Si votre hébergeur affiche la valeur déjà entourée de "...", n’ajoutez pas une seconde paire ; un enregistrement à guillemets doubles est cassé.
• Microsoft utilise spf.protection.outlook.com. Des enregistrements anciens ou copiés ailleurs peuvent référencer d’autres noms d’hôtes — assurez-vous que l’include est exactement spf.protection.outlook.com.
• Les changements ne sont pas instantanés. Le DNS peut mettre de quelques minutes à quelques heures pour se propager partout.

Vérifiez que cela a fonctionné

Une fois l’enregistrement enregistré, confirmez qu’il est actif et correct grâce à la vérification gratuite sur Defaults.Exposed. Saisissez votre domaine et l’outil vous indiquera en langage clair si votre SPF est correctement configuré. Vos données sont traitées dans l’UE.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.