Defaults.Exposed › SPF
SPF : adoption, robustesse et l'écart d'usurpabilité
Données au 2026-06-29 · méthodologie v7 · agrégats uniquement
138.9 millions de domaines publient un enregistrement SPF — mais publier n'est pas protéger. Sur notre échelle de robustesse SPF sur 100 points, Internet obtient 29, soit une maturité moyenne de stade 2.39 sur 6. La plupart des enregistrements grimpent jusqu'au « peut-être » et s'arrêtent là.
SPF ne rejette une usurpation qu'à sa terminaison stricte (-all) — ou lorsqu'une politique DMARC en application agit sur le softfail. 55.8% des enregistrements se terminent par ~all (softfail) ; seuls 39.3% se terminent par -all. Cet écart — publié mais sans application — constitue la plus grande population de la sécurité e-mail.
Le modèle de maturité d'adoption SPF (SPFAMM)
Six stades, un seul geste par stade, et un unique mur d'investigation au stade 3 → 4. Là où DAMM mesure le parcours DMARC, SPFAMM mesure celui de SPF : de l'absence de liste d'autorisation, en passant par le milieu sans mordant, jusqu'à un enregistrement strict sur lequel DMARC peut agir.
- Stage 1 — Aucun : aucun enregistrement SPF — 46% de tous les domaines évalués (121.1M).
- Stage 2 — Cassé/permissif : enregistrements multiples,
+all, neutre ou sans terminaison (7.8M). - Stage 3 — Softfail : se termine par
~allmais rien ne l'applique — le point de repos le plus fréquent (70.4M). - Stage 4 — Strict : se termine par
-all, s'analyse proprement, sous la 10-lookup limit (42.5M). - Stage 5 — Aligné : strict ou softfail avec une politique DMARC en application derrière lui (19.3M).
- Stage 6 — Pleinement protégé : les rares domaines alignés et en application (10.1M).
Le mur, c'est le stade 3 → 4 : tous les autres gestes se résument à une modification DNS d'une ligne ; celui-ci exige de recenser chaque système qui envoie en votre nom sans dépasser la 10-lookup limit. Voilà pourquoi le softfail est l'endroit où Internet se repose.
Lire les données
- Le modèle de maturité d'adoption SPF (SPFAMM)
Les 6 stades de SPF, et le mur d'investigation au stade 3→4 où la majeure partie d'Internet s'arrête. - ~all vs -all : ce qu'ont choisi 139M d'enregistrements
Le softfail est la terminaison la plus fréquente : 55.8% se terminent par ~all (« probablement faux — livrer quand même ») contre 39.3% en -all strict. - Le rapport SPF PermError
797,263 domaines cassent silencieusement leur propre SPF en franchissant la 10-lookup limit — 100× plus que ce que montrent les décomptes de surface. - Deux enregistrements SPF = aucun
1,013,416 domaines publient deux enregistrements SPF ou plus — la règle les annule tous. - Le piège ptr
Un mécanisme déconseillé depuis 2014, encore présent dans 950,631 enregistrements. - La carte du +all
36,015 domaines publient +all — une invitation ouverte à envoyer en leur nom. - Quel fournisseur d'e-mail offre les meilleurs réglages SPF par défaut ?
Un classement de 15 fournisseurs selon leurs taux de SPF strict et d'application — votre fournisseur écrit votre réglage par défaut. - L'indice d'usurpabilité des e-mails
Combien de domaines n'importe qui peut usurper — par TLD et par pays.
Vérifiez votre propre domaine
Vérifiez votre domaine — gratuit, 30 secondes →
Consultez le guide de correction : Comment corriger SPF → · Données agrégées uniquement. Données stockées et traitées dans l'UE.