Échec SPF : Vos Emails Sont Rejetés

Un enregistrement SPF mal configuré peut faire atterrir vos emails en spam ou les bloquer.

SPF (Sender Policy Framework) permet de déclarer quels serveurs sont autorisés à envoyer des emails pour votre domaine. Quand SPF échoue, les destinataires voient "SPF: FAIL" dans les headers et peuvent rejeter ou marquer comme spam vos emails légitimes. Les causes courantes : serveur d'envoi non listé, syntaxe incorrecte, dépassement de la limite de 10 lookups DNS, ou absence de l'enregistrement. Un SPF bien configuré est essentiel pour la délivrabilité.

Symptômes d'un Échec SPF

  • Vos emails arrivent en spam chez les destinataires
  • Les headers montrent "spf=fail" ou "spf=softfail"
  • Certains destinataires rejettent vos emails avec un message SPF
  • Les rapports DMARC montrent des échecs SPF

Causes des Échecs SPF

  • IP non autorisée : Le serveur qui envoie n'est pas listé dans le SPF. Ajoutez son IP ou son include.
  • Limite de lookups : SPF autorise max 10 lookups DNS. Trop d'includes ou redirects = PermError.
  • Syntaxe incorrecte : Une erreur de syntaxe rend tout le SPF invalide. Utilisez un validateur.

Diagnostic et Correction

  1. Vérifiez votre SPF actuel : dig TXT example.com | grep spf
  2. Validez la syntaxe avec mxtoolbox.com/spf.aspx ou un outil similaire.
  3. Comptez les lookups : chaque include, a, mx, redirect compte. Maximum 10.
  4. Identifiez tous vos services d'envoi et assurez-vous qu'ils sont inclus.

Surveillance SPF avec MoniTao

MoniTao surveille la validité de votre SPF :

  • Alerte si votre enregistrement SPF change ou disparaît
  • Vérification de la syntaxe et du nombre de lookups
  • Détection des IPs d'envoi non couvertes par le SPF

SPF Optimisé

  • Terminez toujours par -all (hard fail) plutôt que ~all (soft fail) en production
  • Utilisez des mécanismes IP directement quand possible pour économiser les lookups
  • Aplatissez les includes avec des outils comme dmarcian pour rester sous 10 lookups
  • Mettez à jour le SPF chaque fois que vous ajoutez un nouveau service d'envoi

FAQ - SPF Fail

Quelle différence entre -all et ~all ?

-all = hard fail, rejeter. ~all = soft fail, accepter mais marquer. Utilisez -all une fois votre SPF validé.

Comment ajouter Gmail/O365 au SPF ?

Gmail : include:_spf.google.com. O365 : include:spf.protection.outlook.com. Consultez leur doc officielle.

Que faire si j'ai plus de 10 lookups ?

Aplatissez les includes en IPs directement, ou utilisez un service comme dmarcian pour gérer ça.

SPF suffit-il pour la délivrabilité ?

Non. Configurez aussi DKIM et DMARC. Les trois ensemble forment la protection complète.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs