SPF : qu'est-ce que c'est, comment ça fonctionne et comment en configurer un

La fraude par e-mail coûte chaque année des milliards de dollars aux entreprises — et la plupart de ces cas commencent par une adresse « De » usurpée. Le Sender Policy Framework (SPF) est l'un des trois protocoles fondamentaux d'authentification des e-mails, aux côtés de DKIM et DMARC, qui empêche les expéditeurs non autorisés d'envoyer des e-mails en utilisant votre domaine.

Points clés à retenir

  • SPF l'un des trois protocoles fondamentaux d'authentification des e-mails, aux côtés du DKIM et du DMARC. Il s'agit d'un enregistrement TXT DNS qui répertorie toutes les adresses IP et tous les serveurs de messagerie autorisés à envoyer des e-mails au nom de votre domaine. Sans cet enregistrement, n'importe quel serveur sur Internet peut usurper l'identité de votre domaine.
  • SPF valide SPF le domaine du champ « Return-Path » (enveloppe), et non l'adresse « De : » visible ; il ne peut donc pas à lui seul empêcher l'usurpation du nom d'affichage. Il doit être associé au protocole DMARC pour protéger pleinement votre domaine.
  • Le paramètre de qualification de fermeture définit le niveau d'application : « -all » (échec définitif) rejette tous les expéditeurs non répertoriés, tandis que « ~all » (échec temporaire) se contente de les signaler. Passez à « -all » une fois que vous aurez vérifié l'ensemble de vos sources d'envoi légitimes.
  • Chaque mécanisme « include », « a », « mx », « redirect » et « exists » est pris en compte dans la limite de 10 requêtes DNS SPF. Si cette limite est dépassée, l'ensemble de l'enregistrement renvoie une erreur « PermError ». Veillez à ce que l'enregistrement reste concis (ou utilisez l'aplatissement automatique) pour ne pas dépasser cette limite.

Centre de ressources PowerDMARC

Ce guide aborde tous les aspects du sujet : ce SPF , son fonctionnement exact, comment créer et valider un enregistrement, la signification de chaque mécanisme et qualificatif, comment corriger les erreurs les plus courantes, et comment SPF dans une stratégie DMARC complète. Ajoutez-le à vos favoris : vous y reviendrez souvent.

Guides SPF étape par étape

Procédures détaillées de mise en œuvre

Dépanner les erreurs

Correction des recherches, des « softfails » et de l'alignement

Alignement SPF DMARC

Faire en sorte que SPF dans le DMARC

SPF gratuits

Vérifier, générer et valider les enregistrements

Qu'est-ce que le SPF?

SPF Sender Policy Framework) est l'un des trois principaux protocoles d'authentification des e-mails, aux côtés du DKIM et du DMARC, qui empêche les serveurs non autorisés d'envoyer des e-mails en utilisant votre domaine. Un SPF est un enregistrement DNS de type TXT qui répertorie toutes les adresses IP et tous les serveurs de messagerie autorisés à envoyer des e-mails en votre nom. En l'absence d'un tel enregistrement, n'importe quel serveur sur Internet peut usurper l'identité de votre domaine, et les serveurs destinataires n'ont aucun moyen de faire la différence.

Contenu de ce guide

Accédez directement à la section de votre choix ou lisez l'article d'un bout à l'autre pour avoir une vue d'ensemble :

Comment fonctionne le SPF ?

Lorsqu'un serveur de messagerie récepteur reçoit un e-mail, il extrait le domaine du champ « Return-Path » (expéditeur de l'enveloppe), interroge le DNS pour rechercher un enregistrement TXT commençant par « v=spf1 », puis vérifie si l'adresse IP du serveur expéditeur figure dans la liste autorisée. Si c'est le cas, SPF . Dans le cas contraire, le résultat est un « fail », un « softfail » ou une « error », et la suite des événements dépend de votre politique DMARC.

SPF le domaine « Return-Path » (l'adresse technique de l'enveloppe), et non l'adresse « De : » visible. Cela signifie que SPF ne peut SPF empêcher l'usurpation du nom d'affichage. C'est pourquoi l'alignement DMARC a été mis en place pour combler cette lacune.

SPFCe que cela signifie
PassezL'envoi d'IP est autorisé.
Échec (-tout)Non autorisé. Doit être rejeté.
SoftFail (~tout)Probablement non autorisé. Accepter mais signaler.
Erreur de permissionL'enregistrement a été endommagé (erreur de syntaxe, trop de recherches). Considéré comme un échec.

Syntaxe SPF : mécanismes et qualificatifs

Un SPF commence par v=spf1, répertorie les expéditeurs autorisés à l'aide de mécanismes tels que ip4:, ip6:, et inclure :, et se termine par une clause précisant aux destinataires comment traiter les expéditeurs non répertoriés. Voici un exemple :

v=spf1 ip4:192.168.1.1 include:_spf.google.com include:sendgrid.net -all

- Les options -all et ~all indiquent différents niveaux d'application des SPF. L'option -all (hard fail) indique aux serveurs destinataires que seuls les expéditeurs figurant dans la liste sont autorisés et que tous les autres doivent être rejetés. L'option ~all (soft fail) est plus souple : elle signale tous les expéditeurs non autorisés comme suspects, mais les accepte tout de même. Utilisez l'option -all une fois que vos expéditeurs ont été entièrement vérifiés.

Chacun include:, a, mx, redirect=, et exists: ce mécanisme est pris en compte dans le Limite de 10 requêtes DNS. Si cette limite est dépassée, cela déclenche une erreur « PermError » qui interrompt complètement l'authentification. Le ptr : ce mécanisme est obsolète, à éviter.

Comment créer un SPF

Commencez par dresser la liste de tous les services qui envoient des e-mails depuis votre domaine, par exemple :

  • Votre serveur de messagerie principal
  • Google Workspace ou Microsoft 365
  • Outils marketing (Mailchimp, HubSpot, Klaviyo)
  • Les services transactionnels (SendGrid, Mailgun, Amazon SES), ainsi que tout logiciel de gestion de la relation client (CRM) ou service d'assistance qui envoie des messages en votre nom.

Chaque prestataire publie un include: valeur dans leur documentation. Créez un enregistrement unique regroupant tous les expéditeurs (vous ne pouvez avoir que un SPF par domaine), publiez-le sous forme d'enregistrement TXT dans votre Fournisseur de services DNS, puis le valider à l'aide d'un Vérificateur SPF. Propagation DNS Cela prend généralement quelques heures, mais peut aller jusqu'à 48 heures.

Guides de configuration spécifiques à chaque fournisseur

Comment vérifier et valider votre SPF

Utilisez un outil SPF pour vous assurer que votre enregistrement est syntaxiquement correct, qu'il respecte la limite de 10 requêtes et qu'il renvoie les bonnes adresses IP. L'outil SPF de PowerDMARC effectue toutes ces vérifications instantanément.

Ce qu'un bon SPF doit vérifier :

  • L'enregistrement commence par v=spf1
  • Il n'existe qu'un seul SPF pour ce domaine
  • Le nombre total de requêtes DNS est inférieur ou égal à 10
  • Aucune erreur de syntaxe ni aucun problème insoluble include: domaines
  • Les all le qualificatif est présent et approprié
  • Aucun mécanisme obsolète (par exemple, ptr:)

Vérification en ligne de commande (Linux/Mac) :

dig TXT votredomaine.com +short | grep "v=spf1"

Utilisation de SPF de PowerDMARC : saisissez votre domaine dans SPF de PowerDMARC pour obtenir un rapport de diagnostic instantané indiquant le nombre de requêtes, la répartition par mécanisme et les éventuelles erreurs.

SPF courantes SPF et comment les corriger

La plupart SPF sont dues à une dérive de configuration, et non au protocole lui-même. Voici les erreurs que nous rencontrons le plus souvent et où les corriger :

ErreurActualitésGuide de dépannage
PermError : trop de requêtes DNSL'enregistrement dépasse la limite de 10 recherchesCorrection de l'erreur « SPF »
SPF multiplesDeux enregistrements « v=spf1 » sur le même domaineCorriger plusieurs SPF
SPF , mais le DMARC échoueLe champ « Return-Path » ne correspond pas au champ « From : » :Corriger SPF
SoftFail. Le domaine ne désigne pas l'expéditeurL'adresse IP d'origine ne figure pas dans SPFCorrection du « SPF
Échec de SPF 550Rejet définitif au niveau du serveur destinataireCorrection de SPF 550 SPF
Aucun enregistrement SPF n'a été trouvéEnregistrement manquant ou non publiéCorrection de l'absence SPF
SPF sur un e-mail transféréL'adresse IP du serveur de transfert n'est pas autoriséeGuide de redirection des e-mails
Erreur de validation SPFProblème de syntaxe ou de mise en formeCorriger les erreurs SPF
E-mail rejeté conformément à SPFServeur de réception appliquant une politique SPF stricteRésoudre le problème de SPF
SPF dépasse la limite de caractèresEnregistrement trop long pour une seule entrée TXT DNSCorrection de la limite du nombre de SPF

SPF DMARC : comprendre leur alignement

SPF être validé alors que le DMARC échoue. Cela s'explique par le fait que SPF le domaine « Return-Path », tandis que le DMARC exige que ce domaine corresponde à l'adresse « De : » visible. Lorsque vous envoyez un e-mail via un service tiers qui utilise son propre « Return-Path », SPF par rapport à son domaine, et non au vôtre, ce qui entraîne l'échec du contrôle de correspondance par le DMARC.

Pour résoudre ce problème, vous pouvez soit configurer un Return-Path personnalisé sur votre domaine auprès de chaque fournisseur, soit recourir à l'alignement DKIM (les signatures DKIM sont conservées lors du transfert et ne sont pas liées à l'adresse IP d'origine). Définissez le mode d'alignement à l'aide de la balise `aspf=` dans votre enregistrement DMARC : `aspf=r` (mode assoupli, sous-domaines autorisés) ou `aspf=s` (mode strict, correspondance exacte).

SPF DKIM et DMARC : comment ils fonctionnent ensemble

Ces trois protocoles sont complémentaires, mais ne sont pas interchangeables. SPF l’identité du serveur expéditeur, tandis que le protocole DKIM vérifie l’intégrité du message à l’aide d’une signature cryptographique. Le protocole DMARC relie ces deux protocoles, applique une politique (aucune action / quarantine rejet) et génère des rapports agrégés et d’analyse approfondie. Un e-mail est considéré comme conforme à DMARC s’il satisfait soit SPF , soit à l’alignement DKIM ; il est nécessaire de configurer les deux afin que l’un puisse compenser la défaillance de l’autre (par exemple, lorsque SPF sur un e-mail transféré, mais que le DKIM fonctionne correctement).

SPF hébergé : résoudre le problème d'évolutivité

Chaque outil SaaS que vous ajoutez à votre SPF génère des requêtes DNS. Dès que vous atteignez la limite de 10 requêtes, l'enregistrement tout entier cesse de fonctionner et toutes SPF renvoient une erreur « PermError ». SPF manuel SPF (qui consiste à remplacer les inclusions par des adresses IP brutes) fonctionne à court terme, mais devient obsolète lorsque les fournisseurs modifient leurs plages d'adresses IP, ce qu'ils font d'ailleurs sans préavis.

Les fonctionnalités de PowerDMARC SPF automatique SPF résout ce problème en effectuant une résolution dynamique include: transformer les chaînes en enregistrements optimisés, surveiller les modifications apportées aux adresses IP des fournisseurs et maintenir votre enregistrement en dessous de la limite de recherche sans avoir à modifier manuellement les paramètres DNS. Pour les organisations qui utilisent SPF ou la gestion SPF plusieurs domaines et sous-domaines, SPF hébergé SPF totalement les frais de maintenance.

Liste de contrôle des SPF pratiques en matière de SPF

Un « hard fail » envoie un signal clair. Un « soft fail » est ambigu.
Ne pas dépasser 8 recherches
Ça laisse une marge de manœuvre. Exactement 10, c'est une bombe à retardement.
Les pirates usurpent l'identité des domaines « en attente » précisément parce que ceux-ci ne disposent pas de SPF.
Publier un enregistrement SPF chaque sous-domaine
SPF votredomaine.com ne couvre pas mail.votredomaine.com.
Utilisation de « include: » pour les tiers
Les fournisseurs gèrent leurs plages d'adresses IP ; notamment : se tient à jour.
N'utilisez jamais ptr :
Obsolète conformément à la RFC 7208. Lent, peu fiable, gaspille une requête.
Suivi à l'aide des rapports DMARC
Les rapports RUA révèlent l'existence d'expéditeurs dont vous ignoriez l'existence. Voir également « RUA vs RUF ».
Audit trimestriel
Supprimez les fournisseurs avec lesquels vous ne travaillez plus avant qu'ils ne deviennent un fardeau.
À associer avec DKIM et DMARC
SPF , n'assure pas le respect des règles. Le DKIM couvre le transfert. Le DMARC assure le respect des règles.

Configurer correctement le SPF

Si vous configurez SPF la première fois, commencez par consulter les guides spécifiques à chaque fournisseur ci-dessus et validez votre enregistrement à l'aide de SPF gratuit de PowerDMARC. Si vous utilisez déjà SPF vous atteignez les limites de requêtes ou rencontrez des erreurs « PermError », SPF automatisé SPF élimine la charge de maintenance. Et si vous n'avez pas encore configuré le DMARC, c'est la prochaine étape la plus importante : SPF DMARC, c'est comme une serrure sans porte.

Outils gratuits de PowerDMARC

Prenez le contrôle de l'authentification de vos e-mails grâce SPF gratuits de PowerDMARC. Vérifiez instantanément votre domaine, générez de nouveaux enregistrements ou découvrez l'ensemble de la plateforme. Aucune inscription requise.

Vérificateur d'enregistrements SPF

Vérifiez instantanément SPF de votre domaine, affichez la chaîne de recherche complète et identifiez les éventuels problèmes de configuration.

Caractéristiques principales :

  • Extension instantanée de la chaîne de recherche : consultez toutes les adresses IP vers lesquelles votre enregistrement est résolu.
  • Compteur de requêtes DNS : signale que la limite de 10 requêtes DNS est atteinte avant que la messagerie ne cesse de fonctionner.
  • Détection des erreurs : détecte les exceptions PermError et TempError, ainsi que les problèmes de syntaxe.
  • Illimité et gratuit : effectuez un nombre illimité de vérifications sans avoir à vous inscrire.
Utiliser l'outil « SPF »

Générateur d'enregistrements SPF

Générez un SPF valide, adapté aux expéditeurs de votre domaine, sans avoir à saisir manuellement la syntaxe.

Caractéristiques principales :

  • Assistant de configuration : ajoutez des expéditeurs et des mécanismes en quelques étapes simples.
  • Sortie sous forme d'enregistrement unique : regroupe tous vos expéditeurs en un seul enregistrement conforme.
  • Résultat sans erreur : génère SPF correctement formaté.
  • Adapté aux débutants : une interface simple, conçue pour une configuration rapide et sans souci.
Utiliser SPF

Boîte à outils PowerDMARC

Une plateforme complète permettant de surveiller, de contrôler et d'analyser l'authentification des e-mails sur plusieurs domaines.

Caractéristiques principales :

  • Vérification tout-en-un : vérifiez les enregistrements SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, MX et NS depuis un seul tableau de bord.
  • Informations sur la réputation : consultez les détails WHOIS, le statut sur les listes noires, les enregistrements PTR et FCrDNS pour identifier les risques liés à la délivrabilité.
Explorer la boîte à outils

Protégez et surveillez votre domaine

Générez des enregistrements d'authentification, vérifiez la configuration DNS et surveillez l'activité de messagerie de votre domaine à partir d'une seule et même plateforme. Mettez fin à l'usurpation d'identité, améliorez la délivrabilité et bénéficiez d'une visibilité totale sur les expéditeurs qui envoient des e-mails en votre nom.

Plus de 10 000Organisations protégées
32Outils gratuits disponibles
4,9/5Note sur G2
Leader du classement G2Logiciel DMARC

Reconnu par les entreprises, les fournisseurs de services gérés (MSP) et les équipes de sécurité chargées de préserver la réputation des domaines et de prévenir l'usurpation d'identité.

SOC 2 HIPAA PCI-DSS RGPD ISO 27001

« PowerDMARC est un outil très puissant et complet qui simplifie considérablement le travail quotidien de surveillance de l'authentification des e-mails et des fonctionnalités de sécurité. Il offre une visibilité et une clarté qui seraient autrement difficiles à obtenir. Je recommande sincèrement PowerDMARC à tous ceux qui cherchent à renforcer la sécurité de leurs e-mails ! »

— Yves P., ingénieur système

Foire aux questions

Mon SPF est valide, mais mes e-mails finissent quand même dans le dossier « spam ». Pourquoi ?

SPF qu'un indicateur parmi tant d'autres. La délivrabilité des e-mails dépend également de la réputation du domaine, de celle de l'adresse IP, de la qualité du contenu, de l'historique d'engagement, ainsi que de la configuration ou non des protocoles DKIM et DMARC. Une SPF réussie ne garantit pas que l'e-mail arrive dans la boîte de réception. Pourquoi les e-mails finissent-ils dans le dossier spam et comment y remédier ? →

Ai-je besoin SPF j'utilise déjà DKIM ?

Oui. Ces protocoles couvrent différents types de défaillances. DKIM résiste au transfert mais ne vérifie pas le serveur d'origine. SPF le serveur mais ne fonctionne pas en cas de transfert. DMARC nécessite qu'au moins l'un des deux protocoles soit validé avec alignement ; le fait de disposer des deux signifie que si l'un échoue, l'autre peut tout de même authentifier le message. Peut-on utiliser DMARC sans DKIM ? →

Est-ce que le fait de passer de « ~all » à « -all » va perturber mon messagerie ?

Uniquement si vous avez des expéditeurs légitimes qui ne figurent pas encore dans votre enregistrement. Avant de procéder au changement, surveillez les rapports agrégés DMARC pendant au moins 2 à 4 semaines afin d’identifier tous les services d’envoi. Une fois que vous êtes certain que l’enregistrement couvre toutes les sources légitimes, l’option « -all » est la bonne. SPF ou « hardfail » : quand changer ? →

À quelle fréquence faut-il mettre à jour SPF ?

À chaque fois que vous ajoutez ou supprimez un service d'envoi d'e-mails. Dans la pratique, effectuez un audit tous les trimestres. Les fournisseurs changent d'adresses IP, les équipes ajoutent des outils sans en informer le service informatique, et il arrive parfois que des domaines cessent de fonctionner. SPF hébergé SPF cela automatiquement ; les enregistrements manuels nécessitent des vérifications régulières.

Les pirates peuvent-ils contourner SPF?

SPF certaines limites. Les services utilisant des adresses IP partagées (comme Mailchimp) font que tout client se trouvant dans la même plage d'adresses IP passe avec succès votre SPF . L'usurpation du nom d'affichage contourne SPF , car elle n'affecte pas le champ « Return-Path ». Et l'attaque « BreakSPF » a démontré comment des enregistrements trop permissifs, avec des plages d'adresses IP trop larges, peuvent être exploités. Le protocole DMARC, avec un alignement strict, permet d'atténuer ces risques.

Quelle est la différence entre SPF et SPF ?

SPF vous permet de gérer SPF sous-domaine à partir d'une zone DNS différente. Le modificateur « redirect= » indique aux destinataires d'utiliser intégralement SPF d'un autre domaine. Il remplace votre enregistrement au lieu de le compléter. Utilisez « redirect » lorsque SPF d'un domaine doit s'appliquer à un autre domaine de manière identique.

Combien de temps faut-il pour que SPF prennent effet ?

La propagation DNS dépend de la durée de vie (TTL) de votre enregistrement existant et de la mise en cache par les résolveurs intermédiaires. La propagation prend généralement entre 1 et 4 heures. Dans le pire des cas, elle peut prendre jusqu'à 48 heures. Réduisez votre TTL à 300 secondes avant d'effectuer des modifications, puis remettez-la à son niveau initial une fois la propagation confirmée.