SPF (Sender Policy Framework) : Le guide complet
Tout comprendre sur l'enregistrement SPF pour proteger votre domaine contre l'usurpation d'email.
Qu'est-ce que le SPF ?
Le SPF (Sender Policy Framework) est un protocole d'authentification email defini dans la RFC 7208. Il permet au proprietaire d'un domaine de specifier quels serveurs de messagerie sont autorises a envoyer des emails en son nom.
Concretement, le SPF fonctionne via un enregistrement DNS de type TXT. Quand un serveur de messagerie recoit un email pretendant venir de votre domaine, il consulte cet enregistrement pour verifier si le serveur expediteur est bien autorise. Si ce n'est pas le cas, l'email peut etre rejete ou marque comme suspect.
Sans SPF, n'importe qui peut envoyer un email en se faisant passer pour votre domaine. C'est ce qu'on appelle le spoofing email, une technique massivement utilisee dans les attaques de phishing. Le SPF est donc la premiere ligne de defense contre ce type d'usurpation.
Le SPF seul ne suffit pas : il doit etre combine avec DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication) pour une protection complete de votre domaine.
Comment fonctionne le SPF ?
Le fonctionnement du SPF repose sur une verification en plusieurs etapes lors de la reception d'un email :
- Envoi de l'email — Un serveur de messagerie envoie un email avec votre domaine dans l'adresse de l'expediteur (le champ
MAIL FROMde l'enveloppe SMTP). - Requete DNS — Le serveur recepteur extrait le domaine de l'adresse
MAIL FROMet interroge le DNS pour recuperer l'enregistrement SPF (TXT) associe. - Comparaison de l'IP — Le serveur recepteur compare l'adresse IP du serveur expediteur avec la liste des IP et mecanismes autorises dans l'enregistrement SPF.
- Verdict — Selon le resultat, le serveur recepteur applique une action : accepter (
pass), rejeter (fail), marquer comme douteux (softfail) ou considerer comme neutre (neutral).
Un enregistrement SPF typique ressemble a ceci :
Chaque element a une signification precise :
v=spf1— Indique qu'il s'agit d'un enregistrement SPF version 1 (obligatoire).include:— Autorise les serveurs definis dans le SPF d'un autre domaine (ex: Google, SendGrid).ip4:— Autorise une adresse IPv4 ou un bloc d'adresses specifique.-all— Rejette tous les serveurs non explicitement autorises (hard fail).~all— Marque comme suspect sans rejeter (soft fail) — moins strict.
Comment configurer le SPF etape par etape
Etape 1 : Identifier vos serveurs d'envoi
Listez tous les services qui envoient des emails pour votre domaine. Cela inclut generalement :
- Votre fournisseur de messagerie (Google Workspace, Microsoft 365, OVH, etc.)
- Vos outils d'email marketing (Mailchimp, Brevo, SendGrid, etc.)
- Votre application web si elle envoie des emails transactionnels
- Tout autre service tiers (CRM, helpdesk, etc.)
Etape 2 : Construire votre enregistrement SPF
Commencez toujours par v=spf1 et terminez par un mecanisme -all ou ~all. Entre les deux, ajoutez vos serveurs autorises. Exemple pour Google Workspace + Brevo :
Etape 3 : Ajouter l'enregistrement dans votre DNS
Connectez-vous a l'interface de gestion DNS de votre registrar ou hebergeur (OVH, Cloudflare, Gandi, etc.) et creez un enregistrement TXT :
- Type : TXT
- Nom / Host : @ (ou laissez vide selon le fournisseur)
- Valeur : votre enregistrement SPF complet
- TTL : 3600 (1 heure) ou la valeur par defaut
Etape 4 : Verifier votre configuration
Apres la propagation DNS (quelques minutes a 48 heures), testez votre enregistrement SPF. Vous pouvez utiliser notre outil de verification gratuit pour valider que tout fonctionne correctement.
Erreurs courantes a eviter
1. Depasser la limite de 10 lookups DNS
La specification SPF impose un maximum de 10 resolutions DNS (include, a, mx, redirect). Chaque include peut lui-meme contenir d'autres includes. Depassez cette limite et votre SPF sera automatiquement invalide avec un resultat permerror.
2. Avoir plusieurs enregistrements SPF
Un domaine ne doit avoir qu'un seul enregistrement SPF. Si vous en avez plusieurs, la verification echouera. Fusionnez tous vos mecanismes dans un seul enregistrement TXT.
3. Utiliser +all au lieu de -all ou ~all
Le mecanisme +all autorise tous les serveurs a envoyer des emails pour votre domaine, ce qui revient a n'avoir aucune protection. Utilisez toujours -all (hard fail) pour une protection maximale.
4. Oublier un service d'envoi
Si vous oubliez d'inclure un service legitime (par exemple votre outil de newsletter), ses emails seront rejetes ou classes en spam. Faites un inventaire complet avant de configurer votre SPF.
Questions frequentes sur le SPF
Le SPF suffit-il a proteger mon domaine contre le spoofing ?
Non. Le SPF verifie uniquement l'adresse d'enveloppe (MAIL FROM), pas l'adresse affichee au destinataire (le header "From"). Un attaquant peut contourner le SPF en utilisant un domaine d'enveloppe different. C'est pourquoi vous devez obligatoirement combiner le SPF avec DKIM et DMARC pour une protection complete.
Que se passe-t-il si je depasse les 10 lookups DNS ?
Si votre enregistrement SPF necessite plus de 10 resolutions DNS, le resultat sera un permerror (erreur permanente). Les serveurs recepteurs traiteront alors votre SPF comme s'il n'existait pas. Pour rester sous la limite, vous pouvez remplacer certains include par des adresses IP directes ou utiliser un service de "flattening" SPF.
Quelle est la difference entre -all et ~all ?
-all (hard fail) indique que les emails provenant de serveurs non autorises doivent etre rejetes. ~all (soft fail) indique qu'ils doivent etre acceptes mais marques comme suspects. En pratique, avec une politique DMARC correcte, la difference est minime. Neanmoins, -all est recommande pour une securite maximale.
Verifiez votre domaine gratuitement
Testez votre configuration SPF, DKIM et DMARC en un clic. Notre outil analyse votre domaine et vous indique exactement ce qu'il faut corriger.
Tester mon domaine