Qu'est-ce qu'un enregistrement SPF et pourquoi en ai-je besoin ?

SPF (Sender Policy Framework) est un enregistrement DNS TXT qui specifie quels serveurs de messagerie sont autorises a envoyer des emails au nom de votre domaine. Sans SPF, les spammeurs peuvent usurper votre domaine dans l'adresse De, et les serveurs destinataires n'ont aucun moyen de verifier la legitimite.

Que signifie la limite de 10 lookups DNS pour SPF ?

La specification SPF limite les resolutions DNS a 10 par evaluation SPF. Chaque mecanisme include, a, mx et redirect compte comme une resolution. Depasser cette limite provoque une erreur permanente (PermError), ce qui peut entrainer le rejet de vos emails.

Faut-il utiliser ~all ou -all dans son enregistrement SPF ?

Utilisez -all (hard fail) si vous etes certain que votre enregistrement SPF liste tous les expediteurs legitimes. Utilisez ~all (soft fail) pendant la phase de mise en place ou de test. Le hard fail offre une meilleure protection contre l'usurpation, mais le soft fail est plus prudent tant que vous identifiez encore toutes les sources d'envoi.

Peut-on avoir plusieurs enregistrements SPF pour un meme domaine ?

Non. La specification SPF exige exactement un seul enregistrement SPF TXT par domaine. Avoir plusieurs enregistrements SPF provoque un PermError et casse l'authentification email. Si vous devez autoriser plusieurs expediteurs, combinez-les dans un seul enregistrement avec des mecanismes include.

Configurer un Enregistrement SPF — Gmail, Office 365 & Serveurs (2026)

SPF (Sender Policy Framework) constitue la premiere ligne de defense de l'authentification email. Ce protocole permet de declarer quels serveurs sont autorises a envoyer des emails en votre nom.

Sans SPF correctement configure, vos emails legitimes risquent d'etre consideres comme suspects. Des acteurs malveillants peuvent aussi librement usurper votre identite.

Qu'est-ce qu'un Enregistrement SPF ?

Un enregistrement SPF est un enregistrement DNS de type TXT qui liste les serveurs autorises a envoyer des emails pour votre domaine.

Fonctionnement de la verification

Lorsqu'un serveur de messagerie recoit un email :

Il interroge le DNS du domaine expediteur
Il recupere l'enregistrement SPF
Il verifie si l'adresse IP du serveur emetteur y figure

Syntaxe et mecanismes

La syntaxe SPF utilise des mecanismes pour definir les sources autorisees :

Mecanisme	Description
`a`	Autorise l'adresse IP du domaine lui-meme
`mx`	Autorise les serveurs de reception email du domaine
`ip4` / `ip6`	Autorise des adresses ou plages IP specifiques
`include`	Incorpore les enregistrements SPF d'autres domaines

Qualificateurs de politique

Chaque enregistrement se termine par un qualificateur :

-all : rejet strict des sources non listees
~all : soft fail, marquage suspect
?all : neutre, aucune action

Le choix du qualificateur equilibre securite et tolerance aux erreurs de configuration.

Exemple d'enregistrement SPF

dns

v=spf1 mx include:_spf.google.com include:sendgrid.net -all

Pourquoi SPF est Indispensable

L'importance de SPF dans l'ecosysteme email moderne est capitale.

Impact sur la delivrabilite

C'est le premier protocole verifie par les serveurs destinataires. Les emails sans SPF valide ont un taux de placement en boite de reception inferieur de 30%.

Protection contre le spoofing

Sans SPF, n'importe qui peut envoyer des emails semblant provenir de votre domaine. Les consequences :

Atteinte a la reputation
Pertes financieres par phishing cible
Degradation de la confiance client

Exigences des fournisseurs

Depuis 2024, Gmail et Yahoo exigent une authentification SPF pour les expediteurs de plus de 5000 emails quotidiens. Le non-respect entraine le rejet des messages.

Contribution a la reputation

Les fournisseurs de messagerie maintiennent des scores de reputation. Un SPF coherent signale un expediteur serieux et digne de confiance.

Comment Configurer votre Enregistrement SPF

La configuration SPF suit une methodologie structuree.

Etape 1 : Inventorier vos sources d'envoi

Listez toutes les sources envoyant des emails pour votre domaine :

Serveurs SMTP propres
Services de marketing email (Mailchimp, SendGrid, etc.)
Applications SaaS envoyant des notifications
Tout autre systeme emetteur

Etape 2 : Identifier les mecanismes

Pour chaque source, identifiez le mecanisme SPF approprie :

Serveurs propres : adresse IP directe (ip4/ip6) ou reference au domaine (a, mx)
Services tiers : directive include fournie dans leur documentation

Etape 3 : Construire l'enregistrement

Assemblez votre enregistrement :

dns

v=spf1 mx ip4:192.168.1.1 include:_spf.google.com include:sendgrid.net -all

Etape 4 : Respecter les limites

SPF est limite a 10 consultations DNS (lookups). Chaque include, a, mx et redirect consomme un lookup. Depasser cette limite invalide l'enregistrement.

Pour les configurations complexes :

Utilisez des techniques d'aplatissement (flattening)
Creez des sous-domaines dedies

Etape 5 : Publier et verifier

Publiez l'enregistrement TXT dans votre zone DNS
Verifiez la propagation avec des outils de diagnostic
Testez l'envoi d'emails reels

Enregistrements SPF Prets a Copier par Fournisseur

Voici des enregistrements SPF prets a l'emploi pour les combinaisons les plus courantes. Remplacez example.com par votre domaine et ajoutez en tant qu'enregistrement DNS TXT a la racine du domaine.

Gmail / Google Workspace seul

dns

example.com.  IN  TXT  "v=spf1 include:_spf.google.com -all"

Microsoft 365 / Office 365 seul

dns

example.com.  IN  TXT  "v=spf1 include:spf.protection.outlook.com -all"

Google Workspace + Mailchimp

dns

example.com.  IN  TXT  "v=spf1 include:_spf.google.com include:servers.mcsv.net -all"

Google Workspace + SendGrid

dns

example.com.  IN  TXT  "v=spf1 include:_spf.google.com include:sendgrid.net -all"

Microsoft 365 + Mailchimp

dns

example.com.  IN  TXT  "v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all"

Microsoft 365 + SendGrid

dns

example.com.  IN  TXT  "v=spf1 include:spf.protection.outlook.com include:sendgrid.net -all"

Google Workspace + SendGrid + Mailchimp

dns

example.com.  IN  TXT  "v=spf1 include:_spf.google.com include:sendgrid.net include:servers.mcsv.net -all"

Serveur custom + Google Workspace + SendGrid

dns

example.com.  IN  TXT  "v=spf1 ip4:203.0.113.10 include:_spf.google.com include:sendgrid.net -all"

Verifiez toujours le nombre total de lookups DNS apres avoir construit votre enregistrement. Chaque include: et ses includes imbriques comptent dans la limite de 10 lookups.

Erreurs SPF Courantes

Voici les erreurs de configuration SPF les plus frequentes et comment les corriger :

#	Erreur	Consequence	Correction
1	Plusieurs enregistrements SPF sur le meme domaine	`PermError` — tous les checks SPF echouent	Fusionner en un seul enregistrement `v=spf1 ... -all`
2	Depasser les 10 lookups DNS	`PermError` — emails rejetes ou en spam	Aplatir les IP, deplacer des expediteurs sur des sous-domaines, supprimer les includes inutilises
3	Utiliser `+all`	N'importe qui peut usurper votre domaine	Changer en `-all` (ou `~all` pendant les tests)
4	Oublier une source d'envoi	Les emails legitimes echouent au SPF	Auditer tous les systemes envoyant en votre nom avant publication
5	Garder `~all` en permanence	Protection anti-spoofing plus faible	Passer a `-all` une fois tous les expediteurs confirmes
6	Includes obsoletes de services desactives	Lookups gaspilles, risque si le domaine est reutilise	Revoir et supprimer les includes inutilises chaque trimestre
7	Utiliser le mecanisme `ptr`	Lent, peu fiable, deprecie par la RFC 7208	Remplacer par des mecanismes `ip4:` ou `include:`
8	Prefix `v=spf1` manquant	L'enregistrement n'est pas reconnu comme SPF	Toujours commencer par `v=spf1`
9	Erreurs de syntaxe (espaces en trop, deux-points manquants)	`PermError` — tout l'enregistrement invalide	Valider avec un outil SPF avant publication
10	Pas de SPF sur les sous-domaines	Les sous-domaines sans SPF peuvent etre usurpes	Ajouter `v=spf1 -all` aux sous-domaines qui n'envoient pas d'email

Checklist de Validation SPF

Suivez ces 10 etapes a chaque creation ou modification d'un enregistrement SPF :

Inventorier tous les expediteurs — Lister chaque systeme, service et outil tiers qui envoie des emails avec votre domaine (marketing, transactionnel, support, CRM, apps internes)
Verifier qu'il n'y a qu'un seul enregistrement SPF — Executer dig +short TXT example.com | grep spf et confirmer un seul resultat commencant par v=spf1
Valider la syntaxe — Utiliser un validateur SPF en ligne (MXToolbox, dmarcian ou EasyDMARC)
Compter les lookups DNS — Verifier que le total est de 10 ou moins (inclure les lookups imbriques de chaque include:)
Confirmer la couverture des IP — Envoyer un email de test depuis chaque source et verifier que l'en-tete Received-SPF affiche pass
Verifier le qualificateur — Utiliser ~all uniquement pendant les tests initiaux, passer a -all en production
Tester avec les principaux fournisseurs — Envoyer des emails de test vers Gmail, Outlook et Yahoo, verifier le pass SPF dans les en-tetes
Configurer les sous-domaines non expediteurs — Ajouter v=spf1 -all a tout sous-domaine qui ne doit jamais envoyer d'email
Documenter l'enregistrement — Noter quel service correspond a chaque mecanisme, la date d'ajout et le responsable
Planifier des revues trimestrielles — Programmer un rappel pour auditer les includes obsoletes, le nombre de lookups et les nouvelles sources

Parcourez cette checklist apres chaque modification. Une seule erreur peut casser la delivrabilite de tous vos emails sortants.

Bonnes Pratiques de Configuration SPF

Commencer en mode permissif

Demarrez avec ~all avant de passer a -all. Cela permet d'identifier les sources oubliees sans bloquer les emails legitimes.

Analysez vos rapports DMARC pour confirmer que toutes les sources passent avant de durcir la politique.

Eviter les autorisations trop larges

Chaque autorisation devrait correspondre a un besoin identifie :

Ne jamais utiliser +all
Eviter les plages IP trop larges
Documenter chaque mecanisme

Maintenir a jour

Chaque changement doit se repercuter dans votre SPF :

Nouveau service SaaS
Changement de prestataire email
Modification d'infrastructure

Utiliser des sous-domaines

Pour les envois de masse ou services tiers, utilisez des sous-domaines dedies. Cette separation isole les reputations et simplifie les configurations.

Surveiller regulierement

Testez la validite avec des outils automatises
Documentez l'historique des modifications
Configurez des alertes sur les problemes

Conclusion

Un enregistrement SPF bien configure constitue le fondement d'une authentification email robuste. En declarant precisement vos sources d'envoi legitimes, vous ameliorez votre delivrabilite et protegez votre domaine.

Prenez le temps d'inventorier exhaustivement vos sources avant de publier. Adoptez une approche progressive vers une politique stricte.

WizStatus surveille la validite et l'accessibilite de vos enregistrements SPF, vous alertant immediatement en cas de probleme de configuration ou de propagation DNS.

Guides connexes

Configuration DKIM — Complétez votre SPF avec la signature DKIM de vos emails
Implémenter une Politique DMARC — Passez du monitoring à l'application avec DMARC
Monitoring Authentification Email — Surveillez SPF, DKIM et DMARC depuis un tableau de bord unifié
Exigences Gmail et Yahoo 2026 — Assurez la conformité avec les dernières exigences d'envoi

Configurer un Enregistrement SPF — Gmail, Office 365 & Serveurs (2026)

Questions fréquentes

Articles connexes

Guide Implémentation BIMI : Affichez votre Logo dans les Emails

Délivrabilité des Cold Emails : Conseils et Stratégies

Configuration DKIM : Tutoriel Complet pour Signer vos Emails

Commencez à surveiller votre infrastructure dès aujourd'hui