Qu'est-ce que SPF ?
SPF (Sender Policy Framework) est un standard d'authentification email défini dans la RFC 7208. Il fonctionne simplement : le propriétaire d'un domaine publie dans ses enregistrements DNS la liste des serveurs de messagerie autorisés à envoyer des emails en son nom.
Lorsqu'un serveur de réception reçoit un email prétendant venir de @gaprod.fr, il interroge le DNS pour récupérer l'enregistrement SPF et vérifier si l'IP du serveur expéditeur figure dans la liste autorisée. Si ce n'est pas le cas, l'email peut être rejeté ou marqué comme suspect.
La syntaxe d'un enregistrement SPF
Un enregistrement SPF est un enregistrement DNS TXT avec une syntaxe spécifique :
v=spf1 [mécanismes] [qualifiants]
Mécanismes courants
v=spf1 ip4:185.234.217.42 include:spf.mailgun.org -all
| Mécanisme | Description |
|---|---|
ip4:1.2.3.4 | Autorise une adresse IPv4 spécifique |
ip4:1.2.3.0/24 | Autorise un bloc d'adresses IPv4 |
ip6:2001:db8::1 | Autorise une adresse IPv6 |
include:domaine.com | Inclut la politique SPF d'un autre domaine |
a | Autorise les IP de l'enregistrement A du domaine |
mx | Autorise les serveurs MX du domaine |
all | S'applique à toutes les autres sources |
Qualifiants
| Qualifiant | Signification |
|---|---|
+ (défaut) | PASS — Source autorisée |
- | FAIL — Source rejetée (recommandé pour all) |
~ | SOFTFAIL — Source suspecte (mis en spam) |
? | NEUTRAL — Pas de politique définie |
Exemples réels
Hébergement simple (un seul serveur) :
v=spf1 ip4:185.234.217.42 -all
Avec Gmail et Mailgun :
v=spf1 include:_spf.google.com include:spf.mailgun.org -all
Microsoft 365 :
v=spf1 include:spf.protection.outlook.com -all
Comment SPF protège contre le spam et le phishing
Sans SPF, n'importe quel serveur dans le monde peut envoyer des emails en prétendant venir de @gaprod.fr. C'est la base du spoofing d'email — technique utilisée dans les attaques de phishing.
Avec SPF configuré correctement :
- Les serveurs de réception vérifient l'IP de l'expéditeur contre la liste SPF
- Les emails provenant d'IPs non autorisées sont rejetés ou marqués comme spam
- Le phishing ciblant votre domaine devient beaucoup plus difficile
Configurer SPF dans cPanel
cPanel crée automatiquement un enregistrement SPF basique lors de la configuration d'un domaine. Pour le personnaliser :
- Accédez à cPanel → Email → Authentification
- Cliquez sur Activer sous SPF (s'il n'est pas déjà activé)
- Pour personnaliser : Zone Editor → Modifiez l'enregistrement TXT SPF
Limites et considérations
La limite des 10 lookups DNS
SPF autorise au maximum 10 mécanismes qui nécessitent une résolution DNS (include, a, mx, etc.) par politique. Dépasser cette limite peut invalider votre SPF.
Si vous utilisez plusieurs services d'email (hébergeur, Mailchimp, HubSpot, Sendgrid…), ces lookups s'accumulent rapidement. Des outils comme "SPF Flattening" permettent de consolider les includes en IPs directes.
SPF et forwarding d'email
SPF présente une limitation connue : la redirection d'email (forwarding) peut casser la vérification SPF, car le serveur qui relaie l'email n'est pas dans la liste SPF du domaine original.
C'est l'une des raisons pour lesquelles DKIM et DMARC sont complémentaires à SPF.
Un seul enregistrement SPF par domaine
Vous ne pouvez avoir qu'un seul enregistrement SPF par domaine. Si vous avez plusieurs services, combinez-les dans un seul enregistrement avec des include ou des adresses IP multiples.
SPF, DKIM et DMARC ensemble
SPF est le premier maillon de la chaîne d'authentification email :
- SPF → Vérifie la source de l'email (serveur autorisé ?)
- DKIM → Vérifie l'intégrité de l'email (signature valide ?)
- DMARC → Définit la politique en cas d'échec et génère des rapports
Configurer les trois est indispensable pour une délivrabilité email optimale en 2026.
Tester votre SPF
Utilisez l'outil MXToolbox SPF Lookup pour vérifier que votre enregistrement SPF est valide et que vous n'avez pas dépassé la limite de 10 lookups DNS. Une erreur SPF courante est d'avoir plusieurs enregistrements TXT commençant par v=spf1 — fusionnez-les en un seul.