SPF Sender Policy Framework

Protégez votre domaine contre l'usurpation d'identité email.

SPF (Sender Policy Framework) est un mécanisme d'authentification email qui permet de spécifier quels serveurs sont autorisés à envoyer des emails pour votre domaine. Sans SPF, n'importe qui peut envoyer des emails en prétendant être vous - c'est le principe du spoofing email utilisé dans les attaques de phishing.

Quand un serveur de messagerie reçoit un email prétendument de votre domaine, il consulte votre enregistrement SPF dans le DNS. Si le serveur expéditeur n'est pas dans la liste autorisée, l'email est marqué comme suspect ou rejeté selon la politique SPF définie.

Un SPF correctement configuré améliore considérablement la délivrabilité de vos emails légitimes tout en protégeant votre réputation de domaine contre les usurpateurs. C'est la première brique de l'authentification email, complétée par DKIM et DMARC.

Comment Fonctionne SPF

SPF définit une politique d'autorisation pour l'envoi d'emails :

  • Enregistrement TXT : SPF est publiĂ© comme un enregistrement TXT DNS commençant par v=spf1. Il liste les serveurs et IP autorisĂ©s Ă  envoyer pour le domaine.
  • MĂ©canismes : SPF utilise des mĂ©canismes comme ip4:, include:, a:, mx: pour dĂ©finir les sources autorisĂ©es. Chaque mĂ©canisme peut avoir un qualificateur (+, -, ~, ?).
  • Évaluation sĂ©quentielle : Les mĂ©canismes sont Ă©valuĂ©s de gauche Ă  droite. Le premier qui correspond dĂ©termine le rĂ©sultat (pass, fail, softfail, neutral).
  • Politique finale : L'enregistrement se termine par all avec un qualificateur : -all (hard fail), ~all (soft fail), ou ?all (neutral). -all est recommandĂ©.

Pourquoi SPF est Essentiel

SPF protège votre domaine et améliore la délivrabilité :

  • Anti-spoofing : EmpĂŞche les attaquants d'envoyer des emails frauduleux semblant provenir de votre domaine. Protège vos clients et partenaires.
  • DĂ©livrabilitĂ© : Les emails de domaines avec SPF valide ont de meilleures chances d'atteindre la boĂ®te de rĂ©ception plutĂ´t que le spam.
  • RĂ©putation : Un domaine sans SPF est suspect. Les fournisseurs email pĂ©nalisent les domaines qui ne protègent pas contre le spoofing.
  • ConformitĂ© : De nombreuses politiques de sĂ©curitĂ© et rĂ©glementations exigent SPF comme mesure de protection email minimale.

Comment Configurer SPF

Suivez ces étapes pour créer votre enregistrement SPF :

  1. Inventorier les sources : Listez tous les serveurs et services qui envoient des emails pour votre domaine : serveur email principal, Gmail/O365, services marketing, etc.
  2. Construire l'enregistrement : Commencez par v=spf1, ajoutez les mécanismes pour chaque source (include:, ip4:, etc.), et terminez par -all ou ~all.
  3. Publier dans le DNS : Créez un enregistrement TXT pour votre domaine racine (@) avec la valeur SPF complète.
  4. Tester et valider : Utilisez des outils comme MXToolbox SPF checker pour valider la syntaxe et testez l'envoi d'emails.

Exemples de Configuration SPF

Voici des exemples SPF courants :

; SPF basique - serveur propre uniquement
example.com. IN TXT "v=spf1 ip4:192.0.2.1 -all"

; SPF avec Gmail/Google Workspace
example.com. IN TXT "v=spf1 include:_spf.google.com -all"

; SPF avec Microsoft 365
example.com. IN TXT "v=spf1 include:spf.protection.outlook.com -all"

; SPF multi-sources (Gmail + Mailchimp + serveur propre)
example.com. IN TXT "v=spf1 include:_spf.google.com include:servers.mcsv.net ip4:192.0.2.1 -all"

; VĂ©rification SPF
$ dig example.com TXT +short | grep spf
"v=spf1 include:_spf.google.com -all"

; Test avec nslookup
$ nslookup -type=txt example.com

v=spf1 est obligatoire en début. include: délègue la vérification à un autre domaine. ip4:/ip6: autorise des adresses spécifiques. -all rejette tout le reste (recommandé).

Bonnes Pratiques SPF

Optimisez votre configuration SPF :

  • Utilisez -all : Terminez toujours par -all (hard fail) plutĂ´t que ~all. Cela indique une politique stricte et amĂ©liore la protection.
  • Limitez les lookups : SPF a une limite de 10 DNS lookups. Chaque include: compte. Consolidez si nĂ©cessaire pour rester sous la limite.
  • Surveillez avec MoniTao : Surveillez votre enregistrement SPF pour dĂ©tecter les modifications non autorisĂ©es qui pourraient faciliter le spoofing.
  • ComplĂ©tez avec DKIM/DMARC : SPF seul ne suffit pas. Ajoutez DKIM pour la signature cryptographique et DMARC pour la politique d'application.

Checklist SPF

  • Toutes les sources d'envoi email inventoriĂ©es
  • Enregistrement SPF crĂ©Ă© avec v=spf1
  • TerminĂ© par -all (hard fail)
  • Moins de 10 DNS lookups
  • Syntaxe validĂ©e avec un outil
  • Monitoring SPF activĂ©

Questions Fréquentes - SPF

Quelle différence entre -all, ~all et ?all ?

-all = hard fail (rejeter), ~all = soft fail (marquer suspect), ?all = neutral (ignorer SPF). Utilisez -all pour une protection maximale une fois que vous êtes sûr que toutes vos sources sont listées.

Que signifie "too many DNS lookups" ?

SPF limite à 10 résolutions DNS (include:, a:, mx:). Au-delà, SPF échoue avec "permerror". Réduisez les includes ou utilisez ip4:/ip6: directement.

Puis-je avoir plusieurs enregistrements SPF ?

Non ! Un domaine ne doit avoir qu'un seul enregistrement SPF. Plusieurs SPF causent une erreur "permerror". Consolidez tout dans un seul enregistrement.

SPF protège-t-il contre le phishing ?

SPF aide mais ne suffit pas. Il vérifie l'enveloppe SMTP (envelope from), pas le header From visible par l'utilisateur. DMARC aligne les deux pour une protection complète.

Mon email passe en spam malgré SPF valide, pourquoi ?

SPF n'est qu'un facteur. Le contenu de l'email, la réputation IP, DKIM/DMARC, l'historique d'envoi influencent aussi. Vérifiez les headers pour le diagnostic.

Dois-je inclure les IP de mes fournisseurs cloud ?

Utilisez include: vers leur domaine SPF plutĂ´t que les IP directement. Ainsi, si leurs IP changent, votre SPF reste valide.

Protégez votre Email avec SPF

SPF est la première ligne de défense contre l'usurpation d'identité email. En définissant clairement qui peut envoyer des emails pour votre domaine, vous protégez votre réputation et vos destinataires contre le phishing.

Configurez SPF correctement, surveillez-le avec MoniTao, et complétez votre protection avec DKIM et DMARC. L'authentification email complète est essentielle dans l'environnement de menaces actuel.

Liens utiles

PrĂŞt Ă  dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs