Comment utiliser SPF votre enregistrement TXT DNS

Points clés à retenir

Le mécanisme SPF améliore la délivrabilité des e-mails en spécifiant les domaines ou adresses IP d'envoi autorisés.
L'incorporation des déclarations "Include" dans les enregistrements SPF est cruciale pour éviter les courriers électroniques rejetés par des fournisseurs tiers.
Chaque enregistrement SPF doit suivre une structure spécifique, comprenant des déclarations, des domaines autorisés et des adresses IP.
La présence de plusieurs SPF peut semer la confusion chez les serveurs de messagerie destinataires, ce qui peut entraîner des problèmes de livraison des e-mails.
Des enregistrements SPF correctement optimisés avec des inclusions peuvent simplifier la gestion et améliorer les processus d'authentification du courrier électronique.
Pour les entreprises et les fournisseurs de services gérés (MSP), SPF protège la réputation de votre marque et garantit le respect des normes de sécurité des e-mails.

Votre SPF indique à tous les serveurs quels sont ceux qui sont autorisés à envoyer des e-mails au nom de votre domaine. Mais dès que vous commencez à utiliser des plateformes tierces pour envoyer des e-mails, les choses se compliquent rapidement. C'est là qu'un mécanisme SPF peut s'avérer utile.

Ce guide explique en détail ce qu'est SPF , comment elle fonctionne et comment gérer plusieurs inclusions sans endommager votre enregistrement. Nous abordons également la manière de garantir la conformité avec DMARC, afin que vos e-mails parviennent systématiquement dans la boîte de réception.

Qu'est-ce qu'un enregistrement SPF ?

Un SPF , ou Sender Policy Framework , est un enregistrement DNS de type TXT qui répertorie tous les serveurs et adresses IP autorisés à envoyer des e-mails au nom d'un domaine particulier.

Lorsqu'un e-mail arrive, le serveur de messagerie destinataire vérifie les enregistrements DNS de l'expéditeur afin de s'assurer que l'e-mail provient d'une source autorisée. Si l'adresse IP de l'expéditeur correspond à une entrée de l'enregistrement, SPF . Dans le cas contraire, SPF .

Ce que SPF ne peuvent pas faire à eux seuls

SPF sont fondamentaux, mais ils présentent des limites qu'il convient de bien comprendre :

Il vérifie l'identité de l'expéditeur de l'enveloppe, et non l'adresse « De » visible que les destinataires voient réellement
Cela se produit lors du le transfert d'e-mails, ce qui signifie que les e-mails transférés échouent souvent SPF lorsque l'expéditeur d'origine est légitime
Cela ne suffit pas à empêcher l'usurpation de domaine au niveau de l'en-tête « From », qui est la cible de la plupart des attaques de phishing

C'est pourquoi SPF plus efficace lorsqu'il s'inscrit dans un dispositif d'authentification plus large qui inclut également DKIM et DMARC. Il est fortement recommandé de configurer ces trois protocoles ensemble pour bénéficier du meilleur niveau de protection des e-mails.

Qu'est-ce que le SPF Include ?

Si SPF constituent le règlement qui définit qui peut envoyer des e-mails depuis votre domaine, le mécanisme SPF vous permet d'intégrer les règles définies par un tiers.

Le mécanisme SPF permet au propriétaire d'un domaine de déléguer son autorité d'envoi à un autre domaine en faisant référence SPF de ce dernier dans le sien. Au lieu de répertorier manuellement toutes les adresses IP utilisées par un service de messagerie tiers, il suffit d'inclure son domaine, et le serveur destinataire récupère et évalue son SPF comme s'il faisait partie du vôtre.

Pourquoi SPF existe

De nos jours, l'envoi d'e-mails se fait rarement à partir d'un seul serveur.

La plupart des entreprises combinent leur propre serveur de messagerie avec des plateformes tierces pour les e-mails transactionnels, les campagnes marketing, les outils d'assistance et les CRM. Chacun de ces services envoie des e-mails en votre nom depuis sa propre infrastructure, en utilisant des adresses IP que vous ne pouvez pas indiquer directement.

Le mécanisme SPF résout ce problème en vous permettant de faire directement référence à SPF du service tiers.

Lorsque le serveur destinataire analyse votre SPF et rencontre une instruction « include », il récupère et résout l'enregistrement SPF de ce domaine externe dans le cadre du processus de validation. Si l'adresse IP de l'expéditeur correspond à une entrée de l'enregistrement inclus, SPF .

À quoi ressemble SPF dans la pratique

Une instruction SPF de base se présente comme suit :

v=spf1 include:thirdpartydomain.com ~all

Dans cet exemple, le serveur destinataire recherchera SPF correspondant à thirdpartydomain.com et l'évaluera en même temps que le reste de vos enregistrements.

Si l'adresse IP de l'expéditeur est autorisée dans cet enregistrement, l'e-mail passe SPF votre domaine.

Le mécanisme d'inclusion est indispensable pour les domaines qui externalisent l'envoi d'e-mails ou qui font appel à plusieurs prestataires pour répondre à leurs différents besoins en matière d'e-mails. Sans lui, il faudrait répertorier manuellement chaque adresse IP utilisée par chaque service, ce qui est peu pratique et source d'erreurs.

Comment fonctionne le mécanisme SPF ?

Comprendre le mécanisme SPF d'un point de vue technique vous aide à éviter les erreurs de configuration qui entraînent SPF silencieux SPF . Voici ce qui se passe lorsqu'un serveur destinataire évalue un SPF contenant des instructions d'inclusion.

Le processus SPF du SPF

Lorsqu'un e-mail arrive sur un serveur de messagerie destinataire, celui-ci extrait le domaine de l'adresse « MAIL FROM » et effectue une recherche DNS pour récupérer l'enregistrement SPF de ce domaine. Il lit ensuite l'enregistrement de gauche à droite, en évaluant chaque mécanisme jusqu'à ce qu'il trouve une correspondance ou atteigne la fin de l'enregistrement.

Lorsqu'il rencontre une instruction « include », voici ce qui se passe :

Le serveur destinataire effectue une recherche DNS supplémentaire pour récupérer l'enregistrement SPF du domaine concerné
Il compare SPF du domaine concerné à l'adresse IP de l'expéditeur
Si l'adresse IP correspond à une entrée autorisée dans l'enregistrement inclus, le mécanisme d'inclusion renvoie un résultat positif
Si aucune correspondance n'est trouvée, le serveur poursuit l'évaluation des mécanismes restants dans l'enregistrement d'origine

Comment les requêtes sont-elles prises en compte dans la limite de recherche DNS ?

Chaque instruction « include » dans un SPF déclenche au moins une requête DNS supplémentaire. Ceci est important car SPF est limitée à un maximum de dix requêtes DNS par vérification.

Chaque inclusion, ainsi que les mécanismes tels que « mx » et « a », est prise en compte dans cette limite. Si SPF du domaine inclus contient lui-même d'autres inclusions, celles-ci sont également prises en compte, créant ainsi une chaîne de requêtes qui peut rapidement s'allonger.

Si la limite de dix requêtes SPF dépassée SPF une erreur « PermError », qui est considérée comme un SPF par les serveurs destinataires. Cela peut entraîner le rejet des e-mails ou leur classement dans les dossiers de courrier indésirable, même lorsque l'expéditeur est tout à fait légitime.

Configurer SPF de la bonne façon avec PowerDMARC !

PowerDMARC face aux outils génériques :

✓ Optimisation automatique des requêtes DNS (ne dépasse jamais la limite de 10 requêtes)

✓ Surveillance en temps réel et contrôles de conformité

✓ Assistance par des experts et maintenance continue

✓ Plateforme certifiée SOC 2 et ISO 27001

15 jours d'essai Réservez une démo

Syntaxe SPF : comment rédiger correctement une instruction « SPF

Il est impératif de respecter la syntaxe. Une seule erreur dans votre syntaxe de votreSPF peut entraîner l'échec de l'ensemble de l'enregistrement, quelle que soit la qualité de la configuration du reste.

La structure de base d'un SPF

Tous SPF suivent la même structure de base :

v=spf1 [mécanismes] [qualificateur:tout]

v=spf1 déclare la SPF et doit apparaître au début de chaque enregistrement SPF
mécanismes définissent les sources d'envoi autorisées, qui peuvent inclure des adresses IP, des domaines via des enregistrements « include » et « mx », etc.
« all » est le mécanisme fourre-tout qui détermine ce qu'il advient des e-mails qui ne correspondent à aucune des sources répertoriées

Rédaction d'une instruction « SPF

La syntaxe correcte d'une instruction « include » est la suivante :

inclure : domaine.com

Notez qu'il n'y a pas d'espace entre « include » et les deux points. Un espace entraînerait une erreur de syntaxe. Voici un exemple complet SPF comportant plusieurs inclusions :

v=spf1 include:sendgrid.net include:mailchimp.com ip4:192.168.1.1 ~all

Dans ce document :

sendgrid.net et mailchimp.com sont autorisés en tant qu'expéditeurs tiers via la balise « include »
192.168.1.1 est une adresse IP autorisée individuellement
~« all » correspond à un « softfail », ce qui signifie que les e-mails provenant de sources non autorisées seront signalés, mais ne seront pas rejetés d'emblée

Erreurs de syntaxe courantes à éviter

La publication de plusieurs enregistrements SPF pour un même domaine. La présence de plusieurs SPF entraîne une boucle de recherche DNS qui rend SPF totalement SPF . Vous devez regrouper tous ces enregistrements en un seul par domaine ou sous-domaine.
Ajouter un espace après les deux points dans une instruction d'inclusion
Utilisation de qualificatifs incorrects ou de mécanismes qui s'opposent les uns aux autres
Oublier de terminer l'enregistrement avec un mécanisme complet

Vous pouvez utiliser le générateurSPF pour créer un enregistrement correctement formaté à partir de zéro. Vous pouvez également soumettre votre enregistrement existant à une outil de vérificationSPF afin de vérifier s'il contient des erreurs avant qu'elles n'entraînent des problèmes de délivrabilité.

SPF avec plusieurs inclusions : ce qu'il faut savoir

L'utilisation SPF plusieurs SPF est courante et souvent nécessaire, mais elle introduit une complexité qui doit être gérée avec soin. Voici tout ce que vous devez savoir sur la gestion d'un SPF avec plusieurs inclusions.

Pourquoi faut-il utiliser plusieurs inclusions ?

La plupart des entreprises utilisent plusieurs plateformes pour envoyer leurs e-mails. Une configuration type peut comprendre :

Un serveur de messagerie principal pour les e-mails internes et sortants
Un service d'e-mails transactionnels pour les confirmations de commande et les notifications
Une plateforme marketing pour les newsletters et les campagnes
Un outil CRM ou de service d'assistance pour la communication avec les clients

Chacun de ces services doit être autorisé dans votre SPF , et la manière la plus pratique d'y parvenir consiste à utiliser des instructions « include » faisant référence à SPF de chaque fournisseur.

Le problème de la limite des requêtes DNS

C'est là que les inclusions multiples présentent un risque.

Chaque instruction « include » déclenche au moins une requête DNS, et certains SPF tiers contiennent eux-mêmes d'autres instructions « include », ce qui ajoute encore davantage de requêtes. Lorsque vous aurez autorisé quatre ou cinq plateformes, vous aurez peut-être déjà atteint, voire dépassé, la limite de dix requêtes.

Voici un exemple simplifié illustrant comment les recherches s'additionnent :

inclut : sendgrid.net = 1 requête, ainsi que toutes les requêtes effectuées au sein de l'enregistrement de SendGrid
comprend : mailchimp.com = 1 recherche, plus toutes celles figurant dans la base de données de Mailchimp
comprend : salesforce.com = 1 référence, plus toutes celles contenues dans l'enregistrement Salesforce
mx = 1 (recherche)
Le total peut facilement atteindre, voire dépasser, 10

Lorsque la limite est dépassée, le serveur destinataire renvoie une erreur « PermError » et traite l'e-mail comme une échecSPF .

Comment respecter la limite de requêtes DNS

Vérifiez votre SPF actuel et comptez le nombre total de requêtes DNS qu'il déclenche, y compris les requêtes imbriquées au sein des enregistrements inclus
Supprimez toutes les instructions d'inclusion relatives aux services que vous n'utilisez plus
Dans la mesure du possible, remplacez les mécanismes d'inclusion par des entrées IPv4 ou IPv6 directes pour les services dont les plages d'adresses IP sont statiques et clairement documentées
Utilisez l'outil de mise à plat outilSPF qui résout automatiquement les chaînes d'inclusion et les remplace par des adresses IP directes, réduisant ainsi le nombre total de recherches
Vérifiez régulièrement votre historique chaque fois que vous ajoutez ou supprimez une plateforme d'envoi

Un SPF par domaine, systématiquement

Une règle essentielle qui s'applique quel que soit le nombre d'enregistrements que vous gérez : ne publiez jamais plus d'un enregistrement SPF pour un même domaine ou sous-domaine.

La présence de plusieurs SPF entraîne un échec immédiat et ne peut être résolue par aucun serveur destinataire. Tous les enregistrements doivent être regroupés en un seul.

Si vous envoyez des e-mails à partir de sous-domaines, chaque sous-domaine doit disposer de son propre enregistrement SPF .

Erreurs courantes SPF et comment les éviter

SPF sont puissants, mais ne pardonnent aucune erreur. Une seule erreur de configuration peut entraîner des échecs d'authentification sur l'ensemble de votre flux de messagerie, et le plus frustrant, c'est que bon nombre de ces erreurs ne se traduisent pas par un message d'erreur évident. Que vous configuriez SPF la première fois ou que vous vérifiiez un enregistrement existant, voici les erreurs à surveiller et comment les éviter.

Erreur	Que se passe-t-il ?	Comment l'éviter
Publication de plusieurs enregistrements SPF pour un même domaine	SPF immédiatement avec une erreur PermError, quel que soit le contenu des enregistrements	Regroupez le tout en un seul enregistrement SPF par domaine ou sous-domaine
Dépassement de la limite de dix requêtes DNS	Les serveurs de réception renvoient une erreur « PermError » et considèrent l'e-mail comme un SPF	Vérifiez régulièrement votre enregistrement, supprimez les inclusions inutilisées et utilisez SPF si nécessaire
Ne pas mettre à jour SPF lors de l'ajout de nouveaux expéditeurs	Les e-mails envoyés via la nouvelle plateforme échouent à SPF	Mettez à jour votre SPF chaque fois que vous intégrez un nouveau fournisseur de messagerie
Ignorer les exigences relatives aux sous-domaines	Les e-mails envoyés depuis des sous-domaines échouent SPF l'enregistrement du domaine parent ne les couvre pas	Publiez un enregistrement SPF distinct pour chaque sous-domaine utilisé pour envoyer des e-mails
Syntaxe incorrecte, comme des espaces après les deux-points	L'ensemble de l'enregistrement devient invalide et la vérification SPF pour tous les expéditeurs	Vérifiez votre enregistrement à l'aide d'un outil SPF après chaque modification
Y compris les services que vous n'utilisez plus	Les requêtes inutiles épuisent votre quota de requêtes DNS et augmentent le risque d'atteindre la limite	Vérifiez régulièrement vos listes de diffusion et supprimez toutes les plateformes vers lesquelles vous n'envoyez plus de messages
En partant du principe que SPF automatiquement la conformité à DMARC	SPF réussir, mais le test DMARC échouera tout de même si le domaine de l'enveloppe ne correspond pas au domaine de l'expéditeur	Configurez l'alignement DKIM comme solution de secours et vérifiez vos paramètres d'alignement DMARC

SPF et conformité DMARC

SPF ne fonctionnent pas de manière isolée. La manière dont vous les configurez a un impact direct sur votre conformité DMARC, et il est essentiel de bien comprendre la relation entre les deux pour garantir une délivrabilité constante des e-mails.

Comment SPF au DMARC

DMARC s'appuie sur les protocoles SPF DKIM pour permettre aux propriétaires de domaines de contrôler la manière dont leurs e-mails sont traités en cas d'échec de l'authentification. Pour qu'un e-mail soit conforme à DMARC, au moins l'une des conditions suivantes doit être remplie :

SPF et le domaine de l'enveloppe correspond au domaine de l'expéditeur
Le contrôle DKIM est validé et le domaine de signature DKIM correspond au domaine « De »

Cela signifie que même un SPF correctement configuré, avec toutes les inclusions nécessaires, ne suffit pas à lui seul. SPF doit également être validé, ce qui signifie que le domaine figurant dans le chemin de retour doit correspondre au domaine « De » conformément à vos paramètres d'alignement DMARC.

Comment SPF influe sur l'alignement

Lorsqu'un expéditeur tiers utilise son propre domaine dans le champ « Return-Path », son SPF « include » peut figurer dans votre SPF et SPF techniquement être validé pour son domaine, mais celui-ci ne correspondra pas à votre domaine « From ».

Dans ce scénario, DMARC échouera toujours lors de la SPF . Il est essentiel de configurer le service tiers pour qu'il utilise un chemin de retour personnalisé sous votre domaine, ou de s'assurer que l'alignement DKIM est en place à titre de solution de secours.

Pourquoi un indice de protection solaire ( SPF ne suffit pas

SPF, DKIM et DMARC sont conçus pour fonctionner ensemble. SPF la source d'envoi, mais ne fonctionne pas lors du transfert.

DKIM signe le message lui-même et résiste aux transferts. DMARC relie ces deux éléments et vous offre une visibilité et un contrôle sur ce qui se passe en cas de défaillance de l'un ou l'autre. La configuration de ces trois éléments est le seul moyen de mettre en place un système d'authentification des e-mails robuste et résilient.

Configuration de DMARC en parallèle avec SPF

Si vos SPF sont correctement configurés mais que vous n'avez pas encore déployé DMARC, la mise en place de DMARC est la prochaine étape logique.

Commencez par appliquer une politique « p=none » pour surveiller vos flux de courriels sans nuire à leur délivrabilité, puis passez à quarantine et au rejet à mesure que vous gagnez en confiance dans votre configuration d'authentification.

Optimisez votre SPF avec PowerDMARC

La gestion SPF est simple lorsque vous travaillez avec une ou deux plateformes d'envoi. Mais à mesure que votre infrastructure de messagerie se développe, la complexité augmente également.

Plus il y a de plateformes, plus il y a d'inclusions, de requêtes DNS et de risques que quelque chose se détraque discrètement en arrière-plan sans que vous vous en rendiez compte, jusqu'à ce que le taux de délivrabilité commence à baisser.

PowerDMARC vous offre les outils et la visibilité nécessaires pour garder une longueur d'avance. Il vous aide à générer et à valider votre SPF , ainsi qu'à surveiller la conformité et les résultats d'authentification pour chaque source d'envoi.

Ce qu'en dit un client :

« PowerDMARC nous a aidés à regrouper 15 services de messagerie différents en un seul SPF optimisé. Le taux de délivrabilité de nos e-mails s'est amélioré de 23 % dès le premier mois. » – Directeur informatique, entreprise SaaS du classement Fortune 500

Si vous êtes prêt à prendre en main l' authentification des e-mails et de vous assurer que vos SPF fonctionnent exactement comme prévu, commencez votre essai gratuit.

FAQ

1. Que se passe-t-il si je dépasse les 10 requêtes DNS dans mon SPF ?

Si votre SPF nécessite plus de 10 requêtes DNS, cela entraînera une erreur permanente (PermError), ce qui fera échouer complètement SPF . Cela peut conduire au rejet de courriels légitimes ou à leur classification comme spam. Utilisez SPF ou des macros pour rester dans les limites autorisées.

2. Puis-je inclure plusieurs fois le même domaine dans mon SPF ?

Bien que cela soit techniquement possible, inclure plusieurs fois le même domaine est redondant et entraîne un gaspillage de requêtes DNS. Chaque instruction « include » doit être unique et remplir un rôle précis dans votre stratégie d'authentification des e-mails.

3. À quelle fréquence dois-je vérifier mes SPF ?

Vérifiez votre SPF tous les trimestres ou chaque fois que vous ajoutez ou supprimez des services de messagerie. Mettez en place une surveillance automatisée afin de détecter toute modification non autorisée ou mise à jour du fournisseur de services susceptible d'affecter votre authentification.

4. Quelle est la différence entre « ~all » et « -all » dans SPF ?

~all (softfail) indique que les e-mails provenant de sources non autorisées doivent être signalés comme suspects, mais tout de même remis. -all (hardfail) ordonne aux serveurs destinataires de rejeter purement et simplement les e-mails provenant de sources non autorisées. La plupart des organisations commencent par utiliser ~all, puis passent à -all après avoir effectué des tests.

5. SPF peut-il SPF incidence SPF la délivrabilité des e-mails ?

Oui, SPF mal configurées peuvent avoir un impact significatif sur la délivrabilité. L'absence d'inclusions pour des services légitimes peut entraîner l'échec de l'authentification des e-mails, tandis qu'un nombre trop élevé d'inclusions peut dépasser les limites de recherche DNS et provoquer des erreurs permanentes.

À propos de
Derniers messages

Yunes Tarada

Expert en sécurité des domaines et des courriels chez PowerDMARC

Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.

Derniers messages de Yunes Tarada (voir tous)

Le format du numéro de série SOA n'est pas valide : causes et solutions - 13 avril 2026
Comment envoyer des e-mails sécurisés dans Gmail : guide étape par étape - 7 avril 2026
Comment envoyer des e-mails sécurisés dans Outlook : guide étape par étape - 2 avril 2026

Qu'est-ce que « SPF » et comment l'utiliser dans votre SPF ?