La fraude par e-mail coûte chaque année des milliards de dollars aux entreprises — et la plupart de ces cas commencent par une adresse « De » usurpée. Le Sender Policy Framework (SPF) est l'un des trois protocoles fondamentaux d'authentification des e-mails, aux côtés de DKIM et DMARC, qui empêche les expéditeurs non autorisés d'envoyer des e-mails en utilisant votre domaine. Ce guide aborde tous les aspects du sujet : ce SPF , son fonctionnement exact, comment créer et valider un enregistrement, la signification de chaque mécanisme et qualificatif, comment corriger les erreurs les plus courantes, et comment SPF dans une stratégie DMARC complète. Ajoutez-le à vos favoris : vous y reviendrez souvent. Procédures détaillées de mise en œuvre Correction des recherches, des « softfails » et de l'alignement Faire en sorte que SPF dans le DMARC Vérifier, générer et valider les enregistrements SPF Sender Policy Framework) est l'un des trois principaux protocoles d'authentification des e-mails, aux côtés du DKIM et du DMARC, qui empêche les serveurs non autorisés d'envoyer des e-mails en utilisant votre domaine. Un SPF est un enregistrement DNS de type TXT qui répertorie toutes les adresses IP et tous les serveurs de messagerie autorisés à envoyer des e-mails en votre nom. En l'absence d'un tel enregistrement, n'importe quel serveur sur Internet peut usurper l'identité de votre domaine, et les serveurs destinataires n'ont aucun moyen de faire la différence. Accédez directement à la section de votre choix ou lisez l'article d'un bout à l'autre pour avoir une vue d'ensemble : Lorsqu'un serveur de messagerie récepteur reçoit un e-mail, il extrait le domaine du champ « Return-Path » (expéditeur de l'enveloppe), interroge le DNS pour rechercher un enregistrement TXT commençant par « v=spf1 », puis vérifie si l'adresse IP du serveur expéditeur figure dans la liste autorisée. Si c'est le cas, SPF . Dans le cas contraire, le résultat est un « fail », un « softfail » ou une « error », et la suite des événements dépend de votre politique DMARC. SPF le domaine « Return-Path » (l'adresse technique de l'enveloppe), et non l'adresse « De : » visible. Cela signifie que SPF ne peut SPF empêcher l'usurpation du nom d'affichage. C'est pourquoi l'alignement DMARC a été mis en place pour combler cette lacune. Un SPF commence par - Les options -all et ~all indiquent différents niveaux d'application des SPF. L'option -all (hard fail) indique aux serveurs destinataires que seuls les expéditeurs figurant dans la liste sont autorisés et que tous les autres doivent être rejetés. L'option ~all (soft fail) est plus souple : elle signale tous les expéditeurs non autorisés comme suspects, mais les accepte tout de même. Utilisez l'option -all une fois que vos expéditeurs ont été entièrement vérifiés. Chacun Commencez par dresser la liste de tous les services qui envoient des e-mails depuis votre domaine, par exemple : Chaque prestataire publie un Utilisez un outil SPF pour vous assurer que votre enregistrement est syntaxiquement correct, qu'il respecte la limite de 10 requêtes et qu'il renvoie les bonnes adresses IP. L'outil SPF de PowerDMARC effectue toutes ces vérifications instantanément. Utilisation de SPF de PowerDMARC : saisissez votre domaine dans SPF de PowerDMARC pour obtenir un rapport de diagnostic instantané indiquant le nombre de requêtes, la répartition par mécanisme et les éventuelles erreurs. La plupart SPF sont dues à une dérive de configuration, et non au protocole lui-même. Voici les erreurs que nous rencontrons le plus souvent et où les corriger : SPF être validé alors que le DMARC échoue. Cela s'explique par le fait que SPF le domaine « Return-Path », tandis que le DMARC exige que ce domaine corresponde à l'adresse « De : » visible. Lorsque vous envoyez un e-mail via un service tiers qui utilise son propre « Return-Path », SPF par rapport à son domaine, et non au vôtre, ce qui entraîne l'échec du contrôle de correspondance par le DMARC. Pour résoudre ce problème, vous pouvez soit configurer un Return-Path personnalisé sur votre domaine auprès de chaque fournisseur, soit recourir à l'alignement DKIM (les signatures DKIM sont conservées lors du transfert et ne sont pas liées à l'adresse IP d'origine). Définissez le mode d'alignement à l'aide de la balise `aspf=` dans votre enregistrement DMARC : `aspf=r` (mode assoupli, sous-domaines autorisés) ou `aspf=s` (mode strict, correspondance exacte). Ces trois protocoles sont complémentaires, mais ne sont pas interchangeables. SPF l’identité du serveur expéditeur, tandis que le protocole DKIM vérifie l’intégrité du message à l’aide d’une signature cryptographique. Le protocole DMARC relie ces deux protocoles, applique une politique (aucune action / quarantine rejet) et génère des rapports agrégés et d’analyse approfondie. Un e-mail est considéré comme conforme à DMARC s’il satisfait soit SPF , soit à l’alignement DKIM ; il est nécessaire de configurer les deux afin que l’un puisse compenser la défaillance de l’autre (par exemple, lorsque SPF sur un e-mail transféré, mais que le DKIM fonctionne correctement). Chaque outil SaaS que vous ajoutez à votre SPF génère des requêtes DNS. Dès que vous atteignez la limite de 10 requêtes, l'enregistrement tout entier cesse de fonctionner et toutes SPF renvoient une erreur « PermError ». SPF manuel SPF (qui consiste à remplacer les inclusions par des adresses IP brutes) fonctionne à court terme, mais devient obsolète lorsque les fournisseurs modifient leurs plages d'adresses IP, ce qu'ils font d'ailleurs sans préavis. Les fonctionnalités de PowerDMARC SPF automatique SPF résout ce problème en effectuant une résolution dynamique Si vous configurez SPF la première fois, commencez par consulter les guides spécifiques à chaque fournisseur ci-dessus et validez votre enregistrement à l'aide de SPF gratuit de PowerDMARC. Si vous utilisez déjà SPF vous atteignez les limites de requêtes ou rencontrez des erreurs « PermError », SPF automatisé SPF élimine la charge de maintenance. Et si vous n'avez pas encore configuré le DMARC, c'est la prochaine étape la plus importante : SPF DMARC, c'est comme une serrure sans porte. Prenez le contrôle de l'authentification de vos e-mails grâce SPF gratuits de PowerDMARC. Vérifiez instantanément votre domaine, générez de nouveaux enregistrements ou découvrez l'ensemble de la plateforme. Aucune inscription requise. Vérifiez instantanément SPF de votre domaine, affichez la chaîne de recherche complète et identifiez les éventuels problèmes de configuration. Générez un SPF valide, adapté aux expéditeurs de votre domaine, sans avoir à saisir manuellement la syntaxe. Une plateforme complète permettant de surveiller, de contrôler et d'analyser l'authentification des e-mails sur plusieurs domaines. Générez des enregistrements d'authentification, vérifiez la configuration DNS et surveillez l'activité de messagerie de votre domaine à partir d'une seule et même plateforme. Mettez fin à l'usurpation d'identité, améliorez la délivrabilité et bénéficiez d'une visibilité totale sur les expéditeurs qui envoient des e-mails en votre nom. Reconnu par les entreprises, les fournisseurs de services gérés (MSP) et les équipes de sécurité chargées de préserver la réputation des domaines et de prévenir l'usurpation d'identité. « PowerDMARC est un outil très puissant et complet qui simplifie considérablement le travail quotidien de surveillance de l'authentification des e-mails et des fonctionnalités de sécurité. Il offre une visibilité et une clarté qui seraient autrement difficiles à obtenir. Je recommande sincèrement PowerDMARC à tous ceux qui cherchent à renforcer la sécurité de leurs e-mails ! » SPF qu'un indicateur parmi tant d'autres. La délivrabilité des e-mails dépend également de la réputation du domaine, de celle de l'adresse IP, de la qualité du contenu, de l'historique d'engagement, ainsi que de la configuration ou non des protocoles DKIM et DMARC. Une SPF réussie ne garantit pas que l'e-mail arrive dans la boîte de réception. Pourquoi les e-mails finissent-ils dans le dossier spam et comment y remédier ? → Oui. Ces protocoles couvrent différents types de défaillances. DKIM résiste au transfert mais ne vérifie pas le serveur d'origine. SPF le serveur mais ne fonctionne pas en cas de transfert. DMARC nécessite qu'au moins l'un des deux protocoles soit validé avec alignement ; le fait de disposer des deux signifie que si l'un échoue, l'autre peut tout de même authentifier le message. Peut-on utiliser DMARC sans DKIM ? → Uniquement si vous avez des expéditeurs légitimes qui ne figurent pas encore dans votre enregistrement. Avant de procéder au changement, surveillez les rapports agrégés DMARC pendant au moins 2 à 4 semaines afin d’identifier tous les services d’envoi. Une fois que vous êtes certain que l’enregistrement couvre toutes les sources légitimes, l’option « -all » est la bonne. SPF ou « hardfail » : quand changer ? → À chaque fois que vous ajoutez ou supprimez un service d'envoi d'e-mails. Dans la pratique, effectuez un audit tous les trimestres. Les fournisseurs changent d'adresses IP, les équipes ajoutent des outils sans en informer le service informatique, et il arrive parfois que des domaines cessent de fonctionner. SPF hébergé SPF cela automatiquement ; les enregistrements manuels nécessitent des vérifications régulières. SPF certaines limites. Les services utilisant des adresses IP partagées (comme Mailchimp) font que tout client se trouvant dans la même plage d'adresses IP passe avec succès votre SPF . L'usurpation du nom d'affichage contourne SPF , car elle n'affecte pas le champ « Return-Path ». Et l'attaque « BreakSPF » a démontré comment des enregistrements trop permissifs, avec des plages d'adresses IP trop larges, peuvent être exploités. Le protocole DMARC, avec un alignement strict, permet d'atténuer ces risques. SPF vous permet de gérer SPF sous-domaine à partir d'une zone DNS différente. Le modificateur « redirect= » indique aux destinataires d'utiliser intégralement SPF d'un autre domaine. Il remplace votre enregistrement au lieu de le compléter. Utilisez « redirect » lorsque SPF d'un domaine doit s'appliquer à un autre domaine de manière identique. La propagation DNS dépend de la durée de vie (TTL) de votre enregistrement existant et de la mise en cache par les résolveurs intermédiaires. La propagation prend généralement entre 1 et 4 heures. Dans le pire des cas, elle peut prendre jusqu'à 48 heures. Réduisez votre TTL à 300 secondes avant d'effectuer des modifications, puis remettez-la à son niveau initial une fois la propagation confirmée.
SPF : qu'est-ce que c'est, comment ça fonctionne et comment en configurer un
Points clés à retenir
Centre de ressources PowerDMARC
Table des matières
Qu'est-ce que le SPF?
Contenu de ce guide
Comment fonctionne le SPF ?
SPF Ce que cela signifie Passez L'envoi d'IP est autorisé. Échec (-tout) Non autorisé. Doit être rejeté. SoftFail (~tout) Probablement non autorisé. Accepter mais signaler. Erreur de permission L'enregistrement a été endommagé (erreur de syntaxe, trop de recherches). Considéré comme un échec. Syntaxe SPF : mécanismes et qualificatifs
v=spf1, répertorie les expéditeurs autorisés à l'aide de mécanismes tels que ip4:, ip6:, et inclure :, et se termine par une clause précisant aux destinataires comment traiter les expéditeurs non répertoriés. Voici un exemple :v=spf1 ip4:192.168.1.1 include:_spf.google.com include:sendgrid.net -all
include:, a, mx, redirect=, et exists: ce mécanisme est pris en compte dans le Limite de 10 requêtes DNS. Si cette limite est dépassée, cela déclenche une erreur « PermError » qui interrompt complètement l'authentification. Le ptr : ce mécanisme est obsolète, à éviter.Comment créer un SPF
include: valeur dans leur documentation. Créez un enregistrement unique regroupant tous les expéditeurs (vous ne pouvez avoir que un SPF par domaine), publiez-le sous forme d'enregistrement TXT dans votre Fournisseur de services DNS, puis le valider à l'aide d'un Vérificateur SPF. Propagation DNS Cela prend généralement quelques heures, mais peut aller jusqu'à 48 heures.Guides de configuration spécifiques à chaque fournisseur
Comment vérifier et valider votre SPF
Ce qu'un bon SPF doit vérifier :
v=spf1include: domainesall le qualificatif est présent et appropriéptr:)Vérification en ligne de commande (Linux/Mac) :
dig TXT votredomaine.com +short | grep "v=spf1"
SPF courantes SPF et comment les corriger
Erreur Actualités Guide de dépannage PermError : trop de requêtes DNS L'enregistrement dépasse la limite de 10 recherches Correction de l'erreur « SPF » SPF multiples Deux enregistrements « v=spf1 » sur le même domaine Corriger plusieurs SPF SPF , mais le DMARC échoue Le champ « Return-Path » ne correspond pas au champ « From : » : Corriger SPF SoftFail. Le domaine ne désigne pas l'expéditeur L'adresse IP d'origine ne figure pas dans SPF Correction du « SPF Échec de SPF 550 Rejet définitif au niveau du serveur destinataire Correction de SPF 550 SPF Aucun enregistrement SPF n'a été trouvé Enregistrement manquant ou non publié Correction de l'absence SPF SPF sur un e-mail transféré L'adresse IP du serveur de transfert n'est pas autorisée Guide de redirection des e-mails Erreur de validation SPF Problème de syntaxe ou de mise en forme Corriger les erreurs SPF E-mail rejeté conformément à SPF Serveur de réception appliquant une politique SPF stricte Résoudre le problème de SPF SPF dépasse la limite de caractères Enregistrement trop long pour une seule entrée TXT DNS Correction de la limite du nombre de SPF SPF DMARC : comprendre leur alignement
SPF DKIM et DMARC : comment ils fonctionnent ensemble
SPF hébergé : résoudre le problème d'évolutivité
include: transformer les chaînes en enregistrements optimisés, surveiller les modifications apportées aux adresses IP des fournisseurs et maintenir votre enregistrement en dessous de la limite de recherche sans avoir à modifier manuellement les paramètres DNS. Pour les organisations qui utilisent SPF ou la gestion SPF plusieurs domaines et sous-domaines, SPF hébergé SPF totalement les frais de maintenance.Liste de contrôle des SPF pratiques en matière de SPF
Configurer correctement le SPF
Outils gratuits de PowerDMARC
Vérificateur d'enregistrements SPF
Caractéristiques principales :
Générateur d'enregistrements SPF
Caractéristiques principales :
Boîte à outils PowerDMARC
Caractéristiques principales :
Protégez et surveillez votre domaine
Foire aux questions
Mon SPF est valide, mais mes e-mails finissent quand même dans le dossier « spam ». Pourquoi ?
Ai-je besoin SPF j'utilise déjà DKIM ?
Est-ce que le fait de passer de « ~all » à « -all » va perturber mon messagerie ?
À quelle fréquence faut-il mettre à jour SPF ?
Les pirates peuvent-ils contourner SPF?
Quelle est la différence entre SPF et SPF ?
Combien de temps faut-il pour que SPF prennent effet ?
Qu'est-ce que SPF?
SPF
SyntaxeSPF : mécanismes et qualificatifs
Comment créer un SPF
Comment vérifier et valider votre SPF
SPF courantes et comment les corriger
SPF DMARC : comprendre l'alignement
SPF , DKIM et DMARC :SPF
SPF hébergé : la solution au problème d'évolutivité SPF
SPF pratiquesSPF
Foire aux questions
Utilisez -all et non ~all
Un « hard fail » envoie un signal clair. Un « soft fail » est ambigu.
Ne pas dépasser 8 recherches
Ça laisse une marge de manœuvre. Exactement 10, c'est une bombe à retardement.
Publier SPF les domaines qui n'envoient pas d'e-mails
Les pirates usurpent l'identité des domaines « en attente » précisément parce que ceux-ci ne disposent pas de SPF.
Publier un enregistrement SPF chaque sous-domaine
SPF votredomaine.com ne couvre pas mail.votredomaine.com.
Utilisation de « include: » pour les tiers
Les fournisseurs gèrent leurs plages d'adresses IP ; notamment : se tient à jour.
N'utilisez jamais ptr :
Obsolète conformément à la RFC 7208. Lent, peu fiable, gaspille une requête.
Suivi à l'aide des rapports DMARC
Les rapports RUA révèlent l'existence d'expéditeurs dont vous ignoriez l'existence. Voir également « RUA vs RUF ».
Audit trimestriel
Supprimez les fournisseurs avec lesquels vous ne travaillez plus avant qu'ils ne deviennent un fardeau.
Plus de 10 000Organisations protégées
32Outils gratuits disponibles
4,9/5Note sur G2
Leader du classement G2Logiciel DMARC
SOC 2
HIPAA
PCI-DSS
RGPD
ISO 27001
