Qu'est-ce qu'un enregistrement SPF ?
Un enregistrement SPF (Sender Policy Framework) est un enregistrement DNS de type TXT qui spécifie quels serveurs de messagerie sont autorisés à envoyer des emails au nom de votre domaine. Défini par le RFC 7208, il constitue la première ligne de défense contre l'usurpation d'identité email (spoofing) et le phishing en permettant aux serveurs de réception de vérifier que l'email entrant provient d'un serveur autorisé.
L'enregistrement SPF commence toujours par v=spf1 et contient une liste de mécanismes (include, ip4, ip6, a, mx) suivis d'un qualificateur final (~all ou -all). Par exemple : v=spf1 include:_spf.google.com ip4:203.0.113.0/24 -all. Chaque mécanisme indique une source d'envoi autorisée, et le qualificateur final définit la politique pour les serveurs non répertoriés.
Notre vérificateur SPF analyse en profondeur votre enregistrement SPF, compte les lookups DNS, résout les chaînes include et vérifie la conformité RFC 7208 avec 12 vérifications automatiques. Utilisez-le en complément de notre DMARC Checker et DKIM Checker pour une authentification email complète.
Comment vérifier un enregistrement SPF
Il existe trois méthodes principales pour vérifier un enregistrement SPF. La méthode la plus simple est d'utiliser notre vérificateur SPF en ligne : entrez un nom de domaine, cliquez sur « Check SPF » et obtenez une analyse complète en quelques secondes avec 12 vérifications automatiques, le comptage des lookups DNS et la résolution des chaînes include.
En ligne de commande, vous pouvez utiliser nslookup -type=txt example.com sous Windows ou dig example.com TXT +short sous Mac/Linux, puis rechercher l'enregistrement commençant par v=spf1. Cette méthode affiche l'enregistrement brut mais ne valide ni la syntaxe, ni le nombre de lookups, ni les chaînes include.
La troisième méthode consiste à examiner les en-têtes email. Ouvrez un email reçu, affichez les en-têtes complets et recherchez Authentication-Results qui indique si SPF a réussi (pass), échoué (fail) ou renvoyé une erreur (softfail, temperror, permerror). Notre Email Header Analyzer facilite cette analyse.
Mécanismes SPF — Guide complet
Les mécanismes SPF définissent les sources autorisées à envoyer des emails pour votre domaine. Chaque mécanisme est évalué dans l'ordre et peut être précédé d'un qualificateur : + (pass, par défaut), - (fail), ~ (softfail) ou ? (neutral). Comprendre ces mécanismes est essentiel pour configurer un enregistrement SPF efficace sans dépasser la limite de 10 lookups DNS.
Notre vérificateur SPF exécute 12 vérifications de validation couvrant la syntaxe, les mécanismes, les limites de lookups et les bonnes pratiques. Voici le détail de ces vérifications.
SPF Record Found — vérifie l'existence d'un enregistrement TXT commençant par v=spf1
Single SPF Record — confirme qu'il n'y a qu'un seul enregistrement SPF (RFC 7208 interdit les multiples)
Valid Syntax — analyse la syntaxe complète de l'enregistrement SPF
DNS Lookup Count — compte tous les lookups DNS (include, a, mx, ptr, exists, redirect) et vérifie la limite de 10
Include Chain Resolution — résout récursivement toutes les chaînes include et affiche l'arborescence
All Mechanism Present — vérifie la présence d'un qualificateur final (all, ~all, -all)
Hard Fail Recommended — recommande -all plutôt que ~all pour une sécurité maximale
No PTR Mechanism — signale l'utilisation du mécanisme PTR (déprécié par RFC 7208)
No Void Lookups — détecte les lookups qui renvoient NXDOMAIN ou SERVFAIL (limite de 2)
IP Addresses Flattened — liste toutes les adresses IP autorisées (IPv4 et IPv6)
Record Length Check — vérifie que l'enregistrement ne dépasse pas 450 caractères (recommandé)
No Deprecated Mechanisms — détecte les mécanismes obsolètes ou déconseillés
include
Inclut les mécanismes SPF d'un autre domaine. Exemple : include:_spf.google.com. Compte comme 1 lookup DNS. Les includes imbriqués comptent aussi. Mécanisme le plus courant pour autoriser des services tiers.
ip4 / ip6
Autorise une adresse IP ou un bloc CIDR spécifique. Exemples : ip4:203.0.113.0/24, ip6:2001:db8::/32. Ne compte pas comme lookup DNS. Préférez ip4/ip6 aux includes pour réduire le nombre de lookups.
a / mx
Le mécanisme 'a' autorise les IP pointées par les enregistrements A/AAAA du domaine. Le mécanisme 'mx' autorise les IP des serveurs MX. Chacun compte comme 1 lookup DNS. Utile pour les configurations simples.
redirect / exists
Le redirect remplace la politique SPF par celle d'un autre domaine. Le exists vérifie l'existence d'un enregistrement A pour un domaine construit dynamiquement. Chacun compte comme 1 lookup DNS. Utilisations avancées.
-all / ~all / ?all
-all (hard fail) : rejette les emails non conformes. ~all (soft fail) : marque comme suspect. ?all (neutral) : aucune décision. Recommandation : utilisez -all une fois votre SPF entièrement configuré et testé.
SPF vs DKIM vs DMARC — Authentification email
SPF, DKIM et DMARC forment le trio de l'authentification email. Chacun joue un rôle distinct mais complémentaire dans la protection de votre domaine contre l'usurpation d'identité et le phishing. La configuration des trois protocoles est essentielle pour une sécurité email complète.
SPF vérifie que le serveur d'envoi est autorisé en comparant son adresse IP aux mécanismes définis dans l'enregistrement SPF du domaine. DKIM ajoute une signature cryptographique à chaque email, permettant au serveur de réception de vérifier que le message n'a pas été modifié en transit et provient bien du domaine signataire. DMARC unifie SPF et DKIM en vérifiant l'alignement du domaine visible (From header) avec les domaines authentifiés par SPF et DKIM.
Sans DMARC, un attaquant peut envoyer un email avec un domaine SPF/DKIM valide mais un en-tête From différent — l'email passe SPF et DKIM mais trompe le destinataire. DMARC corrige cette faille en exigeant que le domaine From corresponde au domaine authentifié. Vérifiez votre configuration complète avec notre DKIM Checker et DMARC Checker.
Outils associés
Complétez votre analyse SPF avec ces outils spécialisés d'authentification email et de diagnostic DNS pour sécuriser entièrement votre infrastructure de messagerie.
Vérifiez votre politique DMARC, les modes d'alignement, les adresses de rapport (rua/ruf) et obtenez un score de santé avec 11 vérifications.
Analysez vos enregistrements DKIM, détectez automatiquement les sélecteurs, vérifiez le type et la taille des clés avec 10 vérifications.
Testez la connectivité SMTP de votre serveur de messagerie, vérifiez le support TLS et les capacités d'authentification.
Vérifiez votre enregistrement BIMI pour afficher le logo de votre marque dans les boîtes de réception. Nécessite une politique DMARC p=quarantine ou p=reject.