Diagnostics DNS et d'authentification du courriel — et la solution.

SPF Vérificateur d'enregistrement SPF

Vérifiez l'enregistrement SPF de votre domaine et les serveurs autorisés à envoyer du courriel.

Recherche l'enregistrement SPF (TXT) de votre domaine et l'explique en langage clair.

Générer un enregistrement SPF

Construisez un enregistrement SPF valide pour votre domaine. Choisissez votre fournisseur de messagerie et tout service supplémentaire qui envoie en votre nom.

Le service qui héberge votre boîte de réception principale.
Cochez les outils que vous utilisez pour le marketing, le courriel transactionnel ou les infolettres.
~all marque le courrier non autorisé comme suspect. -all dit aux destinataires de le rejeter d'emblée — à n'utiliser que lorsque vous êtes sûr que tous vos expéditeurs sont listés.

Qu'est-ce que SPF ?

SPF (Sender Policy Framework) est un enregistrement DNS qui indique aux serveurs de messagerie destinataires quelles adresses IP et quels serveurs sont autorisés à envoyer du courriel au nom de votre domaine.

Lorsqu'un message arrive en prétendant provenir de [email protected], le serveur destinataire consulte l'enregistrement SPF de votre domaine. Si l'IP du serveur expéditeur figure dans votre liste autorisée, le message réussit SPF. Sinon, il peut être rejeté ou marqué comme pourriel selon la politique que vous avez définie.

Ce que ce vérificateur teste

  • Si votre domaine a un enregistrement SPF tout court
  • Si l'enregistrement est correctement formaté
  • Combien de requêtes DNS il utilise (la limite de la RFC est de 10)
  • Quelle politique est appliquée (échec strict, échec souple, neutre ou permissive)
  • Si plusieurs enregistrements SPF existent (une mauvaise configuration courante)
  • Quels services d'envoi (Google, Microsoft 365, SendGrid, etc.) sont autorisés

Erreurs SPF courantes et ce qu'elles signifient

Plusieurs enregistrements SPF

La RFC 7208 exige exactement un enregistrement SPF par domaine. Si votre domaine a deux enregistrements v=spf1 ou plus, les serveurs destinataires renverront une PermError et le courrier peut être rejeté. La solution est de les fusionner en un seul enregistrement combinant toutes vos instructions include:.

Trop de requêtes DNS

SPF permet un maximum de 10 mécanismes nécessitant une requête DNS (include:, a, mx, exists, redirect). Le dépasser provoque une PermError. Si vous êtes au-dessus de la limite, envisagez d'aplatir certaines instructions include: directement en entrées ip4:/ip6:, ou de retirer les services que vous n'utilisez plus.

Échec souple ou échec strict

Le mécanisme all à la fin d'un enregistrement SPF définit la politique par défaut. ~all signifie « échec souple » — les messages de serveurs non autorisés devraient être acceptés mais marqués comme suspects (généralement comme pourriel). -all signifie « échec strict » — rejeter d'emblée les expéditeurs non autorisés. +all signifie « tout accepter » et est presque toujours une mauvaise configuration.

Aucun enregistrement SPF

Si votre domaine n'a pas d'enregistrement SPF, les serveurs de messagerie destinataires ne peuvent pas vérifier si les messages prétendant provenir de votre domaine sont légitimes. Cela réduit considérablement la délivrabilité — de nombreux fournisseurs marqueront le courrier non signé comme pourriel ou le rejetteront. Gmail et Yahoo exigent maintenant SPF pour les expéditeurs de masse.

Foire aux questions

Où publier mon enregistrement SPF ?

SPF se publie sous forme d'enregistrement TXT à la racine de votre domaine (exemple.com). La plupart des fournisseurs DNS — Cloudflare, GoDaddy, Google Domains, Namecheap, Hover — permettent d'ajouter ou de modifier des enregistrements TXT depuis leur panneau de gestion DNS.

Combien de temps faut-il pour que les changements SPF prennent effet ?

Les changements DNS se propagent selon le TTL (durée de vie) de votre enregistrement TXT actuel. C'est généralement de 5 minutes à 1 heure, mais cela peut aller jusqu'à 24 heures. Après publication, vous pouvez relancer cette vérification pour confirmer.

Ai-je besoin de SPF si j'ai déjà DMARC ?

Oui. DMARC s'appuie sur SPF et DKIM — il exige qu'au moins l'un des deux réussisse. SPF et DKIM sont les méthodes d'authentification sous-jacentes ; DMARC est la couche de politique qui dit aux destinataires quoi faire lorsque l'authentification échoue.

Quelle est la différence entre ~all et -all ?

~all (échec souple) dit aux destinataires d'accepter le message mais de le traiter avec méfiance — généralement acheminé vers les pourriels. -all (échec strict) dit aux destinataires de rejeter le message d'emblée. L'échec strict est plus rigoureux et réduit le risque d'usurpation, mais peut faire perdre du courrier légitime redirigé lorsque des serveurs intermédiaires réécrivent l'expéditeur.

Puis-je avoir plus d'un enregistrement SPF pour le même domaine ?

Non. La RFC 7208 n'autorise explicitement qu'un seul enregistrement SPF par domaine. Plusieurs enregistrements v=spf1 provoquent une PermError au moment de l'évaluation, et la plupart des destinataires rejetteront le courrier. Pour autoriser plusieurs services, combinez-les en un seul enregistrement avec un include: par service.

Pourquoi mon enregistrement SPF a-t-il autant de requêtes DNS ?

Chaque instruction include: oblige le destinataire à récupérer un autre enregistrement SPF, et les propres requêtes de cet enregistrement imbriqué comptent aussi. Le spf.protection.outlook.com de Microsoft 365, par exemple, compte comme une requête directe mais s'enchaîne en interne. Si vous êtes au-dessus de la limite de 10 requêtes, aplatissez les services inutilisés en plages ip4: ou retirez les services depuis lesquels vous n'envoyez plus.

Vous voulez le portrait complet ? Lancez une vérification de domaine complète →