Comment puis-je vérifier SPF dans Exchange Online ?

Utilisez un outil SPF tel que le PowerDMARC SPF , saisissez votre domaine et examinez l'enregistrement, la syntaxe et le nombre de requêtes. Vous pouvez également effectuer cette vérification dans le Centre d'administration Microsoft 365, sous Paramètres → Domaines → Enregistrements DNS. Pour la vérification côté destinataire, consultez l'en-tête « Authentication-Results » dans un message test envoyé depuis l'extérieur.

De quel SPF ai-je besoin pour Microsoft 365 ?

Au minimum : v=spf1 include:spf.protection.outlook.com -all. Si vous utilisez d'autres services d'envoi (HubSpot, SendGrid, Salesforce, Zendesk), ajoutez leurs lignes « include » avant « -all ». Veillez à ce que le nombre total de requêtes DNS reste inférieur à 10, y compris les requêtes imbriquées dans chaque ligne « include ».

Pourquoi SPF -t-il SPF alors que mon enregistrement semble correct ?

Causes courantes : dépassement de la limite de 10 requêtes DNS (PermError), présence de plusieurs SPF sur le même domaine, e-mails transférés (SPF par défaut lors d'un transfert) ou modification par un fournisseur de ses plages d'adresses IP autorisées sans vous en informer. Vérifiez l'en-tête « Authentication-Results » pour connaître le résultat spf spécifique.

Quelle est la différence entre -all et ~all ?

-all (refus catégorique) ordonne aux destinataires de rejeter ou de marquer comme non valides les messages provenant d'adresses IP non autorisées. ~all (refus souple) est plus permissif. En 2026, une fois DMARC déployé, la politique DMARC régira l'application de la règle, quel que soit le qualificatif utilisé. Si vous n'utilisez pas encore DMARC, l'option -all offre une protection nettement plus efficace.

Combien de requêtes DNS le domaine « include:spf.protection.outlook.com » génère-t-il ?

L'inclusion Microsoft compte pour une seule recherche, mais elle entraîne des inclusions imbriquées qui nécessitent environ 2 à 4 recherches supplémentaires. Ce nombre varie en fonction des mises à jour apportées par Microsoft à son infrastructure. Vérifiez toujours à l'aide d'un outil capable de compter de manière récursive les recherches imbriquées.

SPF à empêcher l'usurpation d'adresse e-mail ?

Non. SPF ne suffit pas SPF à empêcher l'usurpation de l'adresse « De : » visible (en-tête « From »). Il ne fait que valider l'expéditeur de l'enveloppe (Return-Path). Une protection complète nécessite le protocole DKIM pour la signature au niveau du message, ainsi que le protocole DMARC pour garantir la conformité. La norme en 2026 consistera à faire fonctionner ces trois protocoles de concert et à les surveiller en permanence.

Comment les MSP peuvent gérer DMARC plus rapidement grâce à MCP Server

Points clés à retenir

La gestion de DMARC sur des dizaines de domaines clients devient difficile lorsque les fournisseurs de services gérés (MSP) s'appuient sur des tableaux de bord distincts et des vérifications DNS manuelles.
Un serveur MCP relie des outils d'IA tels que Claude ou Cursor aux données en temps réel de PowerDMARC, permettant ainsi aux MSP d'interroger et de gérer des domaines à l'aide de simples invites.
Les MSP peuvent rapidement identifier les domaines susceptibles d'être usurpés, SPF , les politiques DMARC insuffisantes et les failles d'authentification au sein de l'ensemble de leur portefeuille de clients.
Le serveur MCP permet de réduire la charge opérationnelle en regroupant la visibilité, le dépannage et la génération d'enregistrements DNS au sein d'un seul flux de travail.

Gérer DMARC sur quelques domaines reste faisable. Mais en gérer 50, 100 ou 300 domaines clients, c'est une tout autre histoire.

La plupart des MSP connaissent déjà la routine : passer d'un tableau de bord à l'autre, vérifier manuellement les enregistrements DNS, valider SPF dans des outils distincts, examiner les rapports DMARC client par client, et essayer de garder une trace des clients qui sont encore bloqués en mode surveillance. Ajoutez à cela plusieurs administrateurs, différents fournisseurs DNS et des outils de sécurité disparates, et même les vérifications les plus simples finissent par prendre des heures.

Le problème ne réside pas dans le manque d'outils. C'est l'absence d'une couche opérationnelle centralisée qui empêche les MSP d'effectuer rapidement des requêtes, de résoudre les problèmes et d'intervenir sur l'ensemble de leur portefeuille de clients.

C'est là qu'intervient le serveur MCP.

Le serveur MCP de PowerDMARC permet aux MSP d'interagir directement avec les données DMARC en temps réel via des outils d'IA tels que Claude ou Cursor. Plutôt que de passer d'un onglet ou d'un portail à l'autre, les équipes peuvent poser des questions en langage naturel et obtenir instantanément des réponses précises au niveau de chaque compte.

Qu'est-ce que le MCP ? Et pourquoi les MSP devraient-ils s'y intéresser ?

MCP signifie « Model Context Protocol ». En termes simples, il s'agit d'une norme qui permet aux assistants IA de se connecter à des plateformes externes et de travailler avec des données en temps réel.

Sans MCP, un assistant IA ne peut fournir que des conseils généraux basés sur ses connaissances existantes. Il peut expliquer ce que sont SPF le DMARC, mais il ne peut pas voir les domaines de vos clients, vérifier leurs enregistrements DNS ni identifier les domaines vulnérables à l'usurpation d'identité.

Grâce à MCP, l'IA s'adapte à votre environnement réel.

Cela signifie qu'un MSP peut poser des questions telles que :

« Quels domaines clients ont encore la valeur p=none ? »
« Montre-moi les domaines présentant un risque SPF . »
« Générez un SPF corrigé pour ce client. »
« Répertoriez tous les domaines dont l'état de santé est faible. »

Au lieu de fournir des réponses standardisées, l'IA récupère des informations en temps réel directement depuis la plateforme connectée et peut aider à accomplir des tâches en temps réel.

Pour les MSP chargés de la sécurité des e-mails au sein de plusieurs organisations, cela revêt une importance particulière car cela permet de réduire les coûts d'exploitation. L'IA ne se contente plus d'être un simple assistant, mais devient une interface permettant de gérer plus rapidement les environnements réels.

Pourquoi PowerDMARC a développé un serveur MCP

Les MSP et les MSSP qui gèrent d'importants portefeuilles de domaines sont souvent confrontés au même goulot d'étranglement opérationnel : la visibilité est fragmentée. Cela signifie qu'un client peut être en phase d'application de DMARC, qu'un autre peut encore être en mode de surveillance, qu'un domaine peut présenter un problème SPF , tandis qu'un autre peut voir apparaître des expéditeurs non autorisés dans ses rapports. Pour rassembler toutes ces informations, il faut généralement se connecter à différents tableaux de bord, vérifier manuellement les enregistrements et recouper les données entre les différents outils.

PowerDMARC a conçu son serveur MCP pour éliminer ces obstacles.

L'objectif n'était pas de remplacer les flux de travail existants. Il s'agissait plutôt de permettre aux MSP de continuer à utiliser les outils d'IA dont ils disposent déjà, tout en ayant accès en temps réel aux données DMARC et DNS issues de leur environnement PowerDMARC.

Sans connectivité MCP, même les outils d'IA les plus avancés ne peuvent fournir que des conseils théoriques :

Votre question : « Pourquoi SPF -t-il SPF pour le domaine de mon client ? »

Réponse : « Il se peut que le domaine de votre client ne respecte pas les règles SPF diverses raisons. Voici comment fonctionne SPF

Grâce à la connectivité MCP, cette invite devient exploitable :

Réponse : « Le domaine de votre client dépasse les limites de SPF en raison de déclarations d'inclusion imbriquées. Voici SPF corrigé. »

La différence réside dans le contexte.

En connectant l'IA directement aux données des comptes réels, les MSP peuvent obtenir des scores de santé des domaines, identifier les risques d'usurpation d'identité, valider les enregistrements, vérifier l'état de conformité et générer des solutions sans avoir à parcourir manuellement chaque compte client.

Pour les équipes qui gèrent des dizaines, voire des centaines de domaines, cette rapidité opérationnelle devient très vite cruciale.

Les deux problèmes liés aux MSP qu'il résout directement

Problème n° 1 : gérer plus de 50 domaines clients sans vue d'ensemble centralisée

À mesure que les portefeuilles MSP s'étoffent, il devient de plus en plus difficile d'assurer une bonne visibilité. Chaque client dispose de domaines différents, de fournisseurs DNS différents, de niveaux d'application différents et de sources d'envoi différentes. Certains peuvent être entièrement soumis à des politiques DMARC strictes, tandis que d'autres s'en tiennent encore au mode de surveillance avec SPF incomplet. Le suivi manuel de tous ces éléments n'est pas évolutif.

Le serveur MCP permet aux MSP d'interroger l'ensemble de leur portefeuille à partir d'une seule interface, à l'aide de commandes en langage naturel. Par exemple :

« Répertoriez tous les domaines des clients avec leur politique DMARC, leur statut d'application et leur score de santé. »

Au lieu de vérifier chaque locataire individuellement, l'IA peut fournir en quelques secondes un aperçu global de l'ensemble du portefeuille.

Cela s'avère particulièrement utile pour identifier :

Des domaines toujours vulnérables à l'usurpation d'identité
Les clients dont les politiques de mise en œuvre sont insuffisantes
Domaines présentant SPF non conformes
Comptes nécessitant une correction avant d'être placés en quarantine rejetés

Pour les MSP chargés de la sécurité des e-mails pour plusieurs clients, la visibilité centralisée constitue souvent le maillon manquant entre le dépannage réactif et la gestion proactive.

Vous pouvez également en savoir plus sur DMARC pour plusieurs domaines et découvrir comment la gestion centralisée des domaines améliore l'efficacité opérationnelle à grande échelle.

Problème n° 2 : passer sans cesse d'un outil à l'autre sans qu'ils soient connectés entre eux

La plupart des environnements MSP sont déjà surchargés d'outils. Les équipes jonglent régulièrement entre les plateformes RMM, les systèmes de gestion des tickets, les fournisseurs DNS, les tableaux de bord de sécurité et les portails d'authentification des e-mails. Aucun de ces outils ne communique naturellement avec les autres, ce qui fait que même les dépannages les plus simples finissent par prendre beaucoup de temps.

Un exemple courant :

Un client signale des problèmes de livraison des e-mails
Le technicien vérifie SPF séparément
Les requêtes DNS sont effectuées dans un autre outil
Les rapports DMARC sont examinés ailleurs
Un enregistrement corrigé est ensuite généré manuellement

Le serveur MCP fait de l'IA la couche de liaison entre ces flux de travail. Un MSP peut utiliser une invite telle que :

« Vérifiez si ce domaine présente des SPF , identifiez la cause de l'erreur PermError et générez un SPF corrigé. »

Il en résulte un processus de dépannage plus rapide, sans avoir à passer sans cesse d'une plateforme à l'autre.

Ce que vous pouvez réellement faire avec le serveur MCP de PowerDMARC

1. Bénéficiez d'une visibilité complète sur l'ensemble de votre portefeuille de clients

Les MSP peuvent consulter, depuis une interface unique, la liste complète des domaines gérés, ainsi que l'état des politiques DMARC, le niveau d'application et les scores de santé. Le serveur MCP permet également d'identifier les expéditeurs qui envoient actuellement des e-mails au nom de chaque domaine client, ce qui facilite la détection des expéditeurs non autorisés ou inattendus.

Les équipes peuvent consulter l'historique du volume de courrier, examiner les statistiques DKIM et suivre les tendances en matière d'authentification dans plusieurs environnements clients sans avoir à ouvrir manuellement chaque tenant.

2. Identifier les problèmes avant que les clients ne s'en aperçoivent

Le serveur MCP aide les MSP à identifier les domaines qui peuvent encore faire l'objet d'une usurpation d'identité et à comprendre précisément pourquoi ils restent vulnérables. Il permet de valider les configurations SPF, de détecter les problèmes liés aux limites de requêtes et de signaler les risques potentiels de PermError avant qu'ils ne perturbent le flux de messagerie. Les équipes peuvent également récupérer des rapports d'analyse détaillés sur les messages ayant échoué et consulter les journaux d'audit pour identifier les modifications de configuration récentes susceptibles d'avoir causé des problèmes.

Au lieu d'attendre qu'un client signale un problème, les MSP peuvent identifier de manière proactive les points faibles de l'ensemble de leur portefeuille.

3. Proposer des solutions et agir immédiatement

Les MSP peuvent générer des enregistrements DMARC, SPF et DKIM prêts à être intégrés au DNS directement à partir d'invites, sans avoir à créer manuellement la syntaxe. Le serveur MCP prend également en charge les requêtes DNS sur plusieurs types d'enregistrements, ce qui aide les techniciens à vérifier rapidement les configurations lors du dépannage.

Les opérations opérationnelles peuvent également être gérées depuis la même interface. Par exemple, les MSP peuvent ajouter un nouveau domaine client et le configurer en mode de surveillance sans avoir à ouvrir le tableau de bord séparément. Cela permet de réduire le nombre de tâches administratives répétitives que les techniciens doivent effectuer au quotidien.

4. Gérer les sous-comptes MSSP depuis une seule interface

Pour les grands fournisseurs de services de sécurité gérés (MSSP) et les environnements partenaires, le serveur MCP prend également en charge la gestion des comptes au niveau du portefeuille. Les équipes peuvent répertorier et gérer les sous-comptes des clients, ajouter ou supprimer des utilisateurs, et superviser les groupes de domaine dans l'ensemble de l'environnement client à partir d'une seule interface connectée.

Pour les organisations chargées de la sécurité des e-mails à grande échelle, cela permet de réduire la complexité administrative liée à la gestion multi-locataires.

Les MSP souhaitant développer leurs services d'authentification des e-mails multi-clients peuvent également se renseigner sur le programme de partenariat MSP/MSSP de PowerDMARC.

En conclusion

Pour les MSP, le principal défi lié à la gestion du protocole DMARC réside rarement dans la compréhension des protocoles eux-mêmes. Il s'agit plutôt de maintenir une visibilité et un contrôle sur des dizaines d'environnements clients sans perdre de temps en tâches opérationnelles.

À l'heure actuelle, certains domaines de clients peuvent encore faire l'objet d'une usurpation d'identité sans que personne ne s'en aperçoive. D'autres peuvent déjà présenter SPF ou une mise en œuvre insuffisante de DMARC, ce qui affecte discrètement leur niveau de sécurité. Plus ces failles restent cachées longtemps, plus le risque s'accroît. Les outils qui limitent les changements de tableau de bord, identifient plus rapidement les risques en temps réel liés aux domaines et simplifient les processus de correction deviennent rapidement des incontournables opérationnels pour les MSP modernes chargés de la sécurité des e-mails à grande échelle.

À propos de
Derniers messages

Ahona Rudra

Expert en sécurité des domaines et des courriels chez PowerDMARC

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

Comment les MSP peuvent gérer plus rapidement le DMARC de chaque client grâce au serveur MCP de PowerDMARC