Guide de configuration des protocoles email de Red Sift
Échecs SPF : Hard fail vs Soft fail
Qu'est-ce qu'un échec SPF ?
Un échec SPF se produit lorsque l'adresse IP de l'expéditeur n'est pas trouvée dans l'enregistrement SPF publié. Les échecs affectent de manière significative la délivrabilité de votre e-mail, car ils entraînent le placement de l'e-mail en spam, ou même sa suppression. Cela peut être catastrophique pour les entreprises qui comptent sur l'e-mail pour atteindre leurs clients. Avec l'application des exigences d'authentification par les principaux fournisseurs de messagerie en 2026, les échecs SPF ont des conséquences directes sur la délivrabilité.
Il existe deux types d'échecs SPF : softfail et hardfail SPF. Un hardfail indique qu'un e-mail n'est pas autorisé, tandis qu'un softfail signifie qu'un e-mail n'a probablement pas été autorisé. Pour le destinataire, cela détermine le traitement de l'e-mail : un hardfail indique qu'il faut rejeter l'e-mail, tandis qu'un softfail suggère qu'il doit être dirigé vers le dossier spam.
Nous allons utiliser deux exemples pour démontrer la différence visuelle entre les deux.
Exemple de hardfail SPF
v=spf1 ip4:192.168.0.1 -all
Dans l'exemple ci-dessus, le symbole moins (devant all à la fin de l'enregistrement) signifie que tout expéditeur non listé dans cet enregistrement SPF doit être traité comme un hardfail, c'est-à-dire qu'il n'est pas autorisé et que ses e-mails doivent être rejetés. Dans ce cas, seule l'adresse IP 192.168.0.1 est autorisée à envoyer des e-mails, rien d'autre.
Exemple de softfail SPF
v=spf1 include:spf.protection.outlook.com ~all
Dans l'exemple ci-dessus, le symbole tilde (devant all à la fin de l'enregistrement) signifie que tout expéditeur non listé dans cet enregistrement SPF doit être traité comme un softfail, c'est-à-dire que le message peut être accepté mais doit être signalé comme spam ou suspect. Dans ce cas, le mécanisme include:spf.protection.outook.com autorise Microsoft 365 à envoyer des e-mails. Tout e-mail émis par un autre serveur devra être marqué comme spam par les destinataires.
Vous n'êtes pas sûr de votre configuration SPF ? Utilisez notre outil de vérification gratuit pour commencer.
Quel mode d'échec SPF devez-vous utiliser ?
Puisque le hardfail (« -all ») indique de rejeter tous les expéditeurs non autorisés non présents dans l’enregistrement SPF, cela pourrait sembler être le mode à privilégier. Cependant, la décision est plus nuancée.
Avant DMARC, les enregistrements SPF utilisaient couramment le mécanisme « -all » pour appliquer strictement les politiques d'expéditeurs, sans la couche supplémentaire de DKIM et DMARC permettant d'authentifier les e-mails légitimes.
Toutefois, les recommandations actuelles de l'industrie en 2026 privilégient « ~all » pour trouver l'équilibre entre sécurité et délivrabilité, évitant ainsi le rejet abusif d’e-mails valides qui pourraient échouer SPF mais réussir DKIM et DMARC.
L'industrie rappelle qu'il faut être prudent avec les modes SPF ; la spécification DMARC (RFC 7489) stipule :
« Certaines architectures de réception peuvent mettre en œuvre SPF avant toute opération DMARC. Cela signifie qu’un préfixe « - » sur un mécanisme SPF, tel que « -all », peut entraîner un rejet du message en amont, avant tout traitement DMARC. Les opérateurs choisissant d'utiliser « -all » doivent en être conscients. »
Pour ces raisons, nous suggérons les recommandations suivantes :
- Utilisez « -all » pour les domaines inactifs qui n’envoient pas d’e-mails : Appliquez « -all » uniquement si le domaine n’envoie aucun e-mail. Ce réglage bloque strictement les e-mails non autorisés mais risque de refuser des messages légitimes si l'enregistrement SPF n'est pas à jour.
- Utilisez « ~all » pour les domaines actifs qui envoient des e-mails : Privilégiez « ~all » si vous utilisez SPF conjointement avec DKIM et DMARC pour combattre le phishing et l’usurpation. En effet, « ~all », associé à DMARC (en p=reject), rejettera tout de même les messages non authentifiés si SPF et DKIM échouent. Ce mode n’entrave pas la réception d’e-mails légitimes et améliore la délivrabilité globale.
En résumé, le softfail est un compromis entre sécurité stricte (qui pourrait bloquer des e-mails légitimes) et une certaine souplesse, permettant aux e-mails d'être livrés même en cas d’occasions d'inadéquation dans l'enregistrement SPF.
Comment le softfail SPF est-il traité par les agences de notation en cybersécurité ?
Il se peut que certaines sociétés de notation vous pénalisent si vos domaines sont configurés en softfail SPF. Cependant, nous pensons que dégrader la note de sécurité d’un domaine en raison de la présence d’un softfail peut donner une image erronée du niveau de risque réel et pénaliser à tort des organisations suivant les pratiques recommandées du secteur pour une gestion responsable et sécurisée de l’e-mail. En 2026, une bonne implémentation de DMARC en p=reject apporte la couche d'application permettant de répondre aux inquiétudes sur le softfail SPF.
À l’inverse, des services de notation comme Security Scorecard reconnaissent que DMARC (quand il est configuré en policy de quarantaine ou de rejet) est un contrôle « compensatoire » au softfail SPF.
Si une audit cybersécurité vous pénalise pour implémentation d’un softfail SPF, contactez directement l’agence de notation pour expliquer votre stratégie d’authentification e-mail et sa conformité aux meilleures pratiques. Plaidez pour une approche plus nuancée de l’évaluation de la sécurité, tenant compte de l’ensemble de vos dispositifs e-mail, plutôt que de sanctionner des réglages isolés.
Pourquoi SPF ne suffit pas et qu’il vous faut aussi DMARC
Quel que soit le mode d’échec spécifié dans votre enregistrement SPF, les serveurs destinataires sont rarement enclins à appliquer la politique demandée. C’est pourquoi DMARC est devenu obligatoire chez les grands fournisseurs de messagerie en 2026. SPF présente notamment les limites suivantes :
- Il n’exige pas que le domaine du champ
Fromcorresponde à l’adresseReturn-Pathcontrôlée. D'un point de vue SPF, ces adresses peuvent différer. - SPF n’offre aucun mécanisme de reporting : le destinataire n’envoie pas de retours à l’expéditeur concernant les résultats d’authentification e-mail.
- SPF ne survit pas aux transferts automatiques ni aux flux de courrier indirects, ce qui peut occasionner des problèmes d’authentification.
Face à ces limites, DMARC (Domain-based Message Authentication, Reporting, and Conformance) a été introduit comme norme complémentaire pour l’authentification des e-mails. DMARC pallie les faiblesses de SPF et apporte les améliorations suivantes :
- DMARC cible l’en-tête
Fromvisible, celui que l’utilisateur final voit. - DMARC impose la correspondance entre le domaine utilisé par SPF et l’adresse
Fromvisible de l’e-mail. - DMARC ignore les distinctions softfail/hardfail du SPF, les considérant toutes deux comme des échecs SPF.
- DMARC permet la génération de rapports, afin que les propriétaires du domaine
Fromreçoivent les résultats d’authentification. Cela aide à détecter des abus et à corriger d’éventuels problèmes d’envoi légitimes. - DMARC inclut une politique qui indique aux destinataires comment traiter les e-mails qui échouent à l’authentification, et ces derniers appliquent effectivement cette politique. À l’inverse, SPF seul n’impose rien.
DMARC a bénéficié d’une large adoption comme exigence d’authentification, car il comble les manques de SPF et DKIM, bloque l’usurpation exacte d’e-mails, et améliore la délivrabilité. En 2026, DMARC est obligatoire pour les expéditeurs d’e-mails en masse chez Google, Yahoo et Microsoft, confirmant sa place de norme incontournable pour l’authentification des e-mails.
Vérifiez gratuitement votre enregistrement SPF, sans inscription.
Questions fréquemment posées : Guide de configuration des protocoles email
À l’époque pré-DMARC, les enregistrements SPF utilisaient couramment le mécanisme « -all » pour appliquer strictement les politiques d’expéditeur. Cependant, les recommandations actuelles de l’industrie en 2026 privilégient « ~all » pour équilibrer sécurité et délivrabilité, évitant le rejet inutile d’emails légitimes qui pourraient échouer au SPF mais réussir le DKIM et DMARC.
Cela s’explique car « ~all », lorsqu’il est mis en œuvre avec DMARC (à p=reject), permettra toujours de rejeter le courrier non authentifié si SPF et DKIM échouent, sans pour autant bloquer les emails légitimes, ce qui améliore la délivrabilité globale.
La spécification DMARC (RFC 7489) précise qu’un préfixe « - » sur le mécanisme SPF de l’expéditeur, comme « -all », peut déclencher un rejet anticipé, donc avant toute analyse DMARC. Utilisez « -all » uniquement pour les domaines inactifs qui n’envoient jamais d’emails. DMARC ne tient pas compte des nuances entre soft fail et hard fail dans la configuration SPF, les considérant tous deux comme des échecs SPF.
DMARC ne nécessite pas seulement que SPF ou DKIM passe, mais exige aussi qu’au moins un des domaines utilisés par SPF ou DKIM s’aligne avec le domaine trouvé dans l’en-tête From. Un alignement correct est essentiel pour la délivrabilité email en 2026, car les principaux fournisseurs de messagerie imposent désormais ces exigences.
Pour SPF, l’alignement des identifiants signifie que la vérification MAIL FROM/Return-PATH doit passer et que la partie domaine du MAIL FROM/Return-PATH doit correspondre au domaine de l’adresse From. En mode d’alignement strict, les domaines doivent être identiques alors qu’en mode relâché, les sous-domaines sont également acceptés tant qu’ils appartiennent au même domaine organisationnel.
Par exemple, si le MAIL-FROM/RETURN-PATH est @ondmarc.com et que l’en-tête From est @knowledge.ondmarc.com, ils ne sont pas alignés en mode strict. Cependant, en mode relâché, DMARC validerait l’email.
Un rapport agrégé DMARC contient des informations sur l’état d’authentification des messages envoyés au nom d’un domaine. Il s’agit d’un rapport de retour XML conçu pour offrir une visibilité sur les emails ayant passé ou échoué aux contrôles SPF et DKIM. Ce rapport offre aux propriétaires de domaine une vision précise des sources qui envoient en leur nom et du sort réservé à ces emails (la politique appliquée par le récepteur).
Les destinataires consulteront le tag 'rua' de votre enregistrement DMARC pour envoyer les rapports. Vous pouvez spécifier l’intervalle des rapports agrégés avec le tag ri dans votre enregistrement DMARC (par défaut, défini à 86400 secondes, soit 24h). Les rapports médico-légaux contiennent des informations plus détaillées sur chaque échec d’authentification. Toute information personnelle est retirée, mais les données utiles à l’investigation du problème DMARC sont incluses, comme les informations d’échec d’en-tête SPF et DKIM, l’adresse complète de l’expéditeur et l’objet du courriel.
L’adresse de réception des rapports médico-légaux DMARC est spécifiée par le tag 'ruf' de votre enregistrement. Tous les systèmes destinataires ne prennent pas en charge l’envoi de rapports médico-légaux. Red Sift OnDMARC est l’une des rares solutions DMARC du marché à les recevoir grâce à son partenariat avec Yahoo.
Une macro SPF désigne un mécanisme utilisé dans les enregistrements SPF permettant de définir des ensembles réutilisables d’adresses IP. Les macros SPF offrent une flexibilité et une maintenabilité accrues en permettant de définir des ensembles complexes d’IP dans un seul mécanisme, qui peut ensuite être référencé dans plusieurs enregistrements SPF. Par exemple, au lieu d’énumérer chaque adresse IP autorisée, vous pouvez définir une macro comme « %{i} » qui fait appel à l’IP d’expédition de l’email. Gérer SPF de cette manière offre un meilleur contrôle sur de grandes listes IP sans dépasser la limite de consultation SPF, tout en masquant les IP autorisées lors d’une requête publique.
Cependant, selon la structure de l’enregistrement SPF avec macros, l’absence de développement des macros peut entraîner des échecs SPF ou des résultats « Neutre » (notés ?all). Si les macros SPF jouent un rôle clé dans l’autorisation de serveurs d’envoi légitimes, les emails risquent de plus facilement échouer aux contrôles SPF ou d’être considérés comme suspects par les systèmes utilisant SPF pour l’authentification.
Mail Transfer Agent Strict Transport Security (MTA-STS) est une norme qui permet de chiffrer les messages envoyés entre deux serveurs de messagerie. Elle indique aux serveurs expéditeurs que les emails ne peuvent être transmis qu’en connexion sécurisée via Transport Layer Security (TLS), empêchant ainsi l’interception par des cybercriminels.
L’adoption de MTA-STS a fortement progressé, les organisations en 2026 considérant la sécurité de la couche transport comme essentielle pour protéger les emails en transit. Pour activer MTA-STS sur un domaine destinataire, il faut annoncer la prise en charge MTA-STS dans le DNS et publier un fichier de politique sur son site web.
L’activation de MTA-STS doit se faire avec précaution afin d’éviter de bloquer la réception d’emails. Il est conseillé de d’abord déployer MTA-STS en mode test, afin que les rapports TLS permettent de détecter et corriger les éventuelles erreurs avant de passer à l’application stricte. Cette démarche progressive deviendra probablement la norme en 2026 pour les organisations renforçant la sécurité du transport.
Le SMTP TLS Reporting (ou TLS-RPT) permet de rapporter les problèmes de connectivité TLS rencontrés par les MTAs expéditeurs, conformément à RFC8460. À l’instar de DMARC, TLS-RPT utilise des rapports transmis par email pour avertir le propriétaire d’un domaine en cas d’échec de livraison dû à des problèmes TLS. Ces rapports incluent les politiques MTA-STS détectées, des statistiques de trafic, les connexions échouées et les raisons de l’échec.
Avec la fonction MTA-STS de Red Sift OnDMARC, vous n’avez plus besoin de gérer un déploiement complexe. Il suffit simplement d’ajouter les Smart Records MTA-STS fournis par OnDMARC à votre DNS et Red Sift prend en charge tout le reste : hébergement du fichier de politique MTA-STS, gestion du certificat SSL, et signalement de toute violation détectée via un rapport TLS. En 2026, les plateformes DMARC modernes incluent de plus en plus MTA-STS hébergé par défaut, facilitant ainsi le déploiement de la sécurité du transport.
Publié sous RFC 7671, DANE (DNS-based Authentication of Named Entities) introduit une nouvelle norme Internet pour établir une communication TLS entre client et serveur sans dépendre des Autorités de Certification (CA) classiques.
Le modèle traditionnel requiert qu’un CA puisse délivrer un certificat pour n’importe quel domaine. DANE procède autrement, s’appuyant sur l’infrastructure DNSSEC (Domain Name System Security Extensions) pour lier un nom de domaine à un certificat. DANE exploite le protocole DNSSEC existant pour garantir l’authenticité et l’intégrité des données reçues.
DANE introduit aussi un nouvel enregistrement DNS de type TLSA qui signale au client que le serveur supporte TLS. Il est recommandé de mettre en place à la fois MTA-STS et DANE. DANE est requis par de nombreuses administrations, en particulier dans l’UE pour les organismes publics.
DANE et MTA-STS ne sont utiles que si l’expéditeur les prend en charge, or beaucoup ne supportent qu’un seul de ces mécanismes. Déployer les deux améliore donc la sécurité générale. En 2026, les organisations mettent souvent d’abord en place MTA-STS pour une compatibilité maximale, puis ajoutent DANE là où le niveau de sécurité doit être renforcé.
La politique de sous-domaine permet aux administrateurs de protéger différents domaines et sous-domaines selon leur niveau d’avancement dans l’adoption de DMARC. Par exemple, si tous vos services d’envoi au nom du domaine principal sont bien configurés avec SPF et DKIM, vous pouvez protéger votre domaine principal avec une politique DMARC p=reject tout en utilisant p=none sur les sous-domaines, voire l’inverse.
Par ailleurs, si un de vos services d’envoi n’est pas compatible DMARC (il ne prend pas en charge SPF ou DKIM), vous pouvez décider de lui attribuer un sous-domaine dédié et une politique DMARC différente, sans pour autant que cela empêche la protection de vos autres domaines. Cela permet de répartir le trafic sur plusieurs sous-domaines et de protéger chacun en fonction de son besoin.