Guide technique

Comment configurer un enregistrement SPF

Mis à jour en mars 2026 - Temps de lecture : 8 min

SPF (Sender Policy Framework) est le premier rempart contre l'usurpation d'identité email. C'est un enregistrement DNS de type TXT qui indique aux serveurs de messagerie quels serveurs sont autorisés à envoyer des emails pour votre domaine. Sans SPF, n'importe qui peut envoyer un email en prétendant être contact@votre-domaine.fr, et les serveurs destinataires n'ont aucun moyen de vérifier.

Comment fonctionne SPF

Quand un serveur de messagerie reçoit un email prétendant venir de votre-domaine.fr, il effectue les vérifications suivantes :

  1. Extraction du domaine - Le serveur extrait le domaine de l'adresse d'enveloppe (MAIL FROM) de l'email reçu.
  2. Requête DNS - Il interroge le DNS de ce domaine pour trouver l'enregistrement TXT commençant par v=spf1.
  3. Comparaison de l'IP - Il compare l'adresse IP du serveur qui a envoyé l'email avec la liste des serveurs autorisés dans l'enregistrement SPF.
  4. Verdict - Si l'IP est autorisée, le résultat est PASS. Sinon, le résultat est FAIL, SOFTFAIL ou NEUTRAL selon la politique définie.

Syntaxe d'un enregistrement SPF

Un enregistrement SPF est une chaîne de texte placée dans un enregistrement DNS TXT. Voici sa structure :

v=spf1 [mécanismes] [qualificateur]all

L'enregistrement commence toujours par v=spf1 qui identifie la version du protocole. Ensuite viennent les mécanismes qui définissent les serveurs autorisés, et enfin un qualificateur all qui indique quoi faire des serveurs non listés.

Les mécanismes SPF

  • ip4:203.0.113.50 - Autorise une adresse IPv4 spécifique.
  • ip4:203.0.113.0/24 - Autorise une plage d'adresses IPv4 (notation CIDR).
  • ip6:2001:db8::1 - Autorise une adresse IPv6.
  • include:_spf.google.com - Inclut les serveurs autorisés par un autre domaine. Utilisé pour les services tiers (Google Workspace, Microsoft 365, Mailjet, etc.).
  • a - Autorise l'adresse IP associée à l'enregistrement A de votre domaine.
  • mx - Autorise les serveurs listés dans vos enregistrements MX (serveurs de réception d'emails).

Les qualificateurs

  • -all (FAIL) - Rejet strict. Tout serveur non listé est considéré comme non autorisé. C'est la configuration la plus sécurisée.
  • ~all (SOFTFAIL) - Rejet souple. Le serveur destinataire peut accepter l'email mais le marquer comme suspect. Recommandé en phase de transition.
  • ?all (NEUTRAL) - Aucune indication. Équivaut à ne pas avoir de SPF pour les serveurs non listés.
  • +all (PASS) - Tout le monde est autorisé. À ne jamais utiliser, cela annule complètement l'intérêt de SPF.

Exemples d'enregistrements SPF courants

Google Workspace (Gmail professionnel)

v=spf1 include:_spf.google.com ~all

Microsoft 365 (Outlook professionnel)

v=spf1 include:spf.protection.outlook.com ~all

OVH Mail

v=spf1 include:mx.ovh.com ~all

Hébergement web + Google Workspace + Mailjet

v=spf1 a mx include:_spf.google.com include:spf.mailjet.com ~all

Infomaniak

v=spf1 include:spf.infomaniak.ch ~all

o2switch

v=spf1 include:o2switch.net ~all

Testez votre enregistrement SPF

Vérifiez si votre SPF est correctement configuré en une seconde.

Entrez un nom de domaine valide (ex : monentreprise.fr)

La limite des 10 lookups DNS

C'est la contrainte la plus importante et la plus méconnue de SPF. Chaque mécanisme include, a, mx et redirect génère une ou plusieurs requêtes DNS supplémentaires (appelées "lookups"). La norme SPF (RFC 7208) impose une limite stricte de 10 lookups DNS par vérification.

Si votre enregistrement dépasse cette limite, le résultat sera PERMERROR et le serveur destinataire traitera l'email comme si SPF n'existait pas - voire le rejettera.

Comment compter les lookups

  • Chaque include: = 1 lookup + les lookups imbriqués dans l'enregistrement inclus
  • Chaque a = 1 lookup
  • Chaque mx = 1 lookup + 1 lookup par serveur MX trouvé
  • ip4: et ip6: = 0 lookup (résolution directe, pas de requête DNS)

Par exemple, include:_spf.google.com génère à lui seul 3-4 lookups car l'enregistrement de Google inclut lui-même d'autres domaines.

Solutions quand vous approchez la limite

  • Remplacez les include par des ip4 - Si un service utilise des IP fixes, utilisez directement les adresses IP au lieu d'un include.
  • Supprimez les mécanismes inutiles - Si vous n'utilisez plus un service d'envoi, retirez son include de votre SPF.
  • Évitez le mécanisme a et mx - Ils génèrent des lookups. Préférez les adresses IP directes quand c'est possible.
  • Utilisez un service de "SPF flattening" - Ces services résolvent automatiquement les includes en adresses IP et maintiennent l'enregistrement à jour.

Erreurs courantes à éviter

  • Plusieurs enregistrements SPF - Un domaine ne doit avoir qu'un seul enregistrement TXT commençant par v=spf1. S'il y en a plusieurs, SPF est invalide. Fusionnez-les en un seul.
  • Oublier un service d'envoi - Si vous utilisez Mailchimp pour vos newsletters, Stripe pour les reçus de paiement, ou un CRM qui envoie des emails, chacun de ces services doit être inclus dans votre SPF.
  • Utiliser +all - Cette configuration autorise tout le monde à envoyer en votre nom. C'est pire que de ne pas avoir de SPF.
  • Syntaxe incorrecte - Une espace en trop, un point-virgule au lieu de deux-points, ou un v=spf1 mal écrit rendent l'enregistrement invalide.
  • Enregistrement trop long - Un enregistrement TXT DNS est limité à 255 caractères par chaîne. Au-delà, il faut utiliser plusieurs chaînes concaténées (votre hébergeur gère généralement cela automatiquement).
Pas le temps de configurer votre SPF ? On s'en occupe pour vous - SPF + DKIM + DMARC complets en moins de 48h.
On s'en occupe →

Comment ajouter un enregistrement SPF chez votre hébergeur

La procédure varie selon votre hébergeur DNS, mais le principe est toujours le même :

  1. Connectez-vous à l'interface de gestion DNS de votre domaine.
  2. Cherchez la section "Zone DNS" ou "Enregistrements DNS".
  3. Ajoutez (ou modifiez) un enregistrement de type TXT.
  4. Dans le champ "Nom" ou "Hôte", mettez @ (ou laissez vide, selon l'hébergeur) pour cibler le domaine racine.
  5. Dans le champ "Valeur", collez votre enregistrement SPF complet.
  6. Sauvegardez et attendez la propagation DNS (jusqu'à 48 heures, souvent quelques minutes).

Consultez nos guides par hébergeur pour des instructions détaillées avec captures d'écran.

Vérifier que votre SPF fonctionne

Après avoir ajouté votre enregistrement SPF, vérifiez qu'il est correctement publié et fonctionnel :

  1. Utilisez notre outil de diagnostic pour vérifier la syntaxe et la validité de votre SPF.
  2. Envoyez un email de test vers une adresse Gmail et vérifiez les en-têtes ("Afficher l'original") : la ligne SPF doit afficher PASS.
  3. Vérifiez le nombre de lookups DNS pour vous assurer de rester sous la limite de 10.

Besoin d'aide ?

La configuration SPF est la plus accessible des trois protocoles d'authentification, mais les subtilités (limite de lookups, alignement avec DMARC, services multiples) peuvent compliquer les choses. Notre équipe peut configurer votre SPF et l'ensemble de votre authentification email en moins de 48 heures.

Pas le temps de configurer tout ça ?

On configure SPF, DKIM et DMARC sur votre domaine. Vous n'avez rien à faire.

49€ HT
Par domaine · Configuration complète · Résultat garanti · Sous 48h
On s'en occupe →