Qu'est-ce qu'un enregistrement SPF ?
SPF (Sender Policy Framework) est un mécanisme d'authentification email défini dans la RFC 7208. Il permet à un domaine de déclarer quels serveurs sont autorisés à envoyer des emails en son nom.
Pourquoi configurer SPF :
- Protéger votre domaine — Empêche l'usurpation d'identité (spoofing) de vos emails
- Améliorer la délivrabilité — Les emails légitimes sont mieux acceptés par les destinataires
- Prérequis pour DMARC — SPF est l'un des deux piliers de l'authentification DMARC (avec DKIM)
- Standard industriel — Tous les grands providers (Gmail, Outlook, Yahoo) vérifient SPF
Syntaxe d'un enregistrement SPF
Un enregistrement SPF est un enregistrement DNS TXT qui commence toujours par v=spf1 :
v=spf1 include:_spf.google.com include:sendgrid.net ip4:192.0.2.1 ~all
Mécanismes SPF
| Mécanisme | Description | Exemple | DNS Lookup |
|---|---|---|---|
include: | Inclut le SPF d'un autre domaine | include:_spf.google.com | Oui |
ip4: | Autorise une adresse ou plage IPv4 | ip4:192.0.2.1 ou ip4:192.0.2.0/24 | Non |
ip6: | Autorise une adresse ou plage IPv6 | ip6:2001:db8::1 | Non |
a | Autorise l'IP du record A du domaine | a ou a:mail.exemple.com | Oui |
mx | Autorise les serveurs MX du domaine | mx | Oui |
all | Définit le comportement par défaut | -all, ~all, ?all | Non |
Qualificateurs de policy
| Policy | Syntaxe | Signification | Recommandation |
|---|---|---|---|
| Fail | -all | Rejeter les emails non autorisés | Production (après tests) |
| Softfail | ~all | Marquer comme suspect mais accepter | Recommandé pour débuter |
| Neutral | ?all | Aucune politique (faible protection) | Non recommandé |
La limite des 10 DNS lookups
La RFC 7208 impose un maximum de 10 DNS lookups lors de l'évaluation d'un enregistrement SPF. C'est une limite stricte qui, si dépassée, provoque une erreur permerror et l'échec de la validation.
Ce qui compte comme lookup
| Mécanisme | Compte comme lookup ? | Remarque |
|---|---|---|
include: | Oui (+ lookups imbriqués) | Google = ~4 lookups |
a | Oui | |
mx | Oui | + 1 par MX résolu |
redirect= | Oui | |
exists: | Oui | |
ip4: / ip6: | Non | Utilisez-les pour économiser |
all | Non |
Exemple de décompte
v=spf1 include:_spf.google.com include:sendgrid.net include:servers.mcsv.net mx ~all
| Mécanisme | Lookups |
|---|---|
include:_spf.google.com | 4 |
include:sendgrid.net | 1 |
include:servers.mcsv.net | 1 |
mx | 1 |
| Total | 7 / 10 |
Notre générateur affiche ce compteur en temps réel pour vous aider à rester sous la limite.
Providers email préconfigurés
Notre générateur inclut 14 providers avec leurs includes SPF officiels :
| Provider | Include SPF | DNS Lookups |
|---|---|---|
| Google Workspace | _spf.google.com | ~4 |
| Microsoft 365 | spf.protection.outlook.com | ~2 |
| SendGrid | sendgrid.net | 1 |
| Mailchimp | servers.mcsv.net | 1 |
| Amazon SES | amazonses.com | 1 |
| Brevo (Sendinblue) | sendinblue.com | 1 |
| Mailgun | mailgun.org | 1 |
| Postmark | spf.mtasv.net | 1 |
| HubSpot | spf.hubspot.com | 1 |
| Salesforce | _spf.salesforce.com | ~2 |
| Zendesk | mail.zendesk.com | 1 |
| Freshdesk | email.freshdesk.com | 1 |
| Zoho | zoho.com | 1 |
| Klaviyo | _spf.klaviyo.com | 1 |
❓ FAQ - Questions fréquentes
Q : Comment créer un enregistrement SPF pour mon domaine ?
R : Utilisez notre générateur : 1) Sélectionnez vos providers email, 2) Ajoutez vos IPs personnalisées si nécessaire, 3) Choisissez la policy (~all recommandé), 4) Copiez l'enregistrement TXT et ajoutez-le dans votre zone DNS.
Q : Quelle est la limite de 10 DNS lookups SPF ?
R : La RFC 7208 impose un maximum de 10 DNS lookups. Chaque include, a, mx, redirect et exists compte. Les ip4/ip6 ne comptent pas. Dépasser cette limite provoque une erreur permerror.
Q : Quelle différence entre ~all et -all ?
R : ~all (softfail) marque les emails non autorisés comme suspects. -all (fail) les rejette. Commencez par ~all pour tester, puis passez à -all en production.
Q : Puis-je avoir plusieurs enregistrements SPF ?
R : Non, un domaine ne doit avoir qu'un seul SPF. Plusieurs SPF provoquent une erreur permerror. Combinez vos providers dans un seul enregistrement.
Q : Comment configurer SPF pour Google Workspace ?
R : Ajoutez include:_spf.google.com. Notre générateur le fait automatiquement. Ce include compte pour ~4 DNS lookups.
Q : Comment configurer SPF pour Microsoft 365 ?
R : Ajoutez include:spf.protection.outlook.com. Notre générateur l'ajoute quand vous sélectionnez Microsoft 365. Compte pour ~2 lookups.
Q : Comment résoudre "too many DNS lookups" ?
R : 1) Supprimez les includes non utilisés, 2) Remplacez certains includes par des IP directes (ip4/ip6), 3) Utilisez un service de SPF flattening. Notre générateur affiche le compteur pour prévenir ce problème.
Outils complémentaires
| Outil | Utilité |
|---|---|
| SPF Record Check | Vérifiez votre SPF publié et sa validité |
| SPF Syntax Check | Validez la syntaxe SPF avant publication |
| DKIM Generator | Créez vos clés DKIM (RSA/Ed25519) |
| DMARC Generator | Configurez DMARC pour compléter l'authentification |
| Mail Tester | Testez la délivrabilité de vos emails |
Ressources utiles
- RFC 7208 - Sender Policy Framework (SPF) — Spécification officielle SPF
- RFC 7489 - DMARC — Comment SPF s'intègre avec DMARC
- Google Workspace - Configurer SPF — Guide officiel Google
- Microsoft 365 - Configurer SPF — Guide officiel Microsoft