SPF : les bases – Comment contrer la limite des 10 recherches

À retenir

Le problème : SPF impose une limite stricte de 10 recherches DNS. Si elle est dépassée, les emails légitimes échouent l’authentification.

Pourquoi cela arrive : Chaque service mail (Google, Microsoft, Salesforce, etc.) ajoute des requêtes. Les entreprises modernes atteignent vite la limite.

Fausse solutions :

• Aplatir les enregistrements (listes IP manuelles) – échoue lorsque les fournisseurs changent d’IPs
• Multiplier les enregistrements SPF – contraire aux standards
• Ignorer le problème – cause des échecs de délivrabilité

La vraie solution : Dynamic SPF surveille automatiquement les changements d’IP des fournisseurs et vous maintient sous les 10 recherches sans intervention manuelle.

L’essentiel : Les solutions traditionnelles SPF échouent. Dynamic SPF résout définitivement la limite des recherches.

SPF paraît simple, mais ne l’est pas tant que ça. Le protocole limite les évaluations DNS à 10 recherches par vérification. Si vous atteignez ce plafond (souvent à cause des chaînes d’include: imbriquées provenant de plusieurs plateformes SaaS), les serveurs arrêtent l’évaluation et retournent un échec permanent de SPF. Suivent alors des échecs intermittents, un désalignement DMARC et des problèmes de délivrabilité.

Vérifiez vos DNS dès maintenant grâce au SPF checker gratuit de Red Sift.SPF checker gratuit de Red Sift.

Les environnements techniques évoluent naturellement: automatisation marketing, notifications produits, services clients, facturation, relais régionaux… Chacun ajoute des includes SPF. Après quelques rachats, vous dépassez la limite sans le savoir. Résultat : des messages qui « échouent parfois » sans raison apparente – l’enfer pour diagnostiquer.

1. Réduire la profondeur. Remplacez les include imbriqués des prestataires par des netblocks publiés ou des sous-includes dédiés si le fournisseur le permet.
2. Préférez DKIM pour l’alignement. DKIM satisfait DMARC même si SPF échoue à cause du transfert.
3. Regroupez les émetteurs. Désactivez les services inutilisés ; placez les systèmes à faible volume derrière un relais unique.
4. Étalez les changements de politique. Publiez DMARC en p=none, corrigez l’alignement, surveillez, puis passez progressivement à quarantine puis reject.

Étape bonus : Surmontez la limite des 10 recherches avec Red Sift OnDMARC. Notre Dynamic SPF consolide les enregistrements et supprime le recours aux macros pour résoudre la limite de façon fiable.

À noter : Tous les émetteurs n’ont pas besoin d’un include SPF. Vérifiez que le return path appartient à votre domaine racine avant d’ajouter ce mécanisme, car SPF s’appuie sur le return path. Si l’émetteur utilise un sous-domaine ou un autre domaine, l’ajout dans le domaine racine est inutile.

• Les rapports DMARC identifient les IP/services en échec, permettant de faire le ménage en toute sécurité.
• Faites des contrôles en direct avant et après modifications DNS pour éviter les mauvaises surprises le temps de propagation.

Red Sift OnDMARC intègre la technologie Dynamic SPF qui élimine la contrainte des 10 recherches DNS sans nuire à la sécurité ni à la délivrabilité.[1]

Au lieu d’utiliser des enregistrements SPF classiques pointant vers des domaines tiers (consommant chacun une recherche précieuse), Dynamic SPF maintient un enregistrement unique et aplati, mis à jour en temps réel par Red Sift. La plateforme surveille en continu l’ensemble de vos services de messagerie autorisés pour détecter tout changement d’IP, et met instantanément à jour votre SPF lorsque les fournisseurs modifient leur infrastructure.

1. Surveillance automatisée : Red Sift suit les adresses IP de tous vos services d’envoi (Google Workspace, Microsoft 365, Salesforce, HubSpot, etc.) en temps réel.
2. Aplatissement intelligent : La plateforme transforme les includes SPF basés sur des domaines en adresses IP, réduisant drastiquement le nombre de recherches tout en conservant une couverture complète.
3. Mises à jour proactives : Lorsqu’un fournisseur change ses IPs d’envoi, Red Sift le détecte aussitôt et modifie votre SPF automatiquement, généralement en quelques minutes.
4. Zéro intervention manuelle : Contrairement à l’aplatissement SPF traditionnel, qui nécessite une surveillance et des mises à jour continuelles, Dynamic SPF gère tout en arrière-plan.

Les organisations peuvent ajouter tous les services email dont elles ont besoin sans craindre d’atteindre la limite des 10 recherches. Dynamic SPF conserve un unique enregistrement, optimisé et sous le seuil, garantissant la bonne authentification des emails légitimes. Plus besoin de choisir entre services email ou de risquer un SPF cassé à mesure que votre activité grandit.

Cette automatisation décharge les équipes IT et sécurité, qui n’ont plus à surveiller manuellement les changements IP des fournisseurs ou à maintenir des configurations SPF complexes.

• Utilisez Red Sift Investigate pour valider rapidement SPF/DMARC sur plusieurs domaines.
• Passez à OnDMARC pour automatiser la découverte d’émetteurs et garder des SPF épurés à mesure que les équipes déploient de nouveaux outils. À la clé : alignement stable, moins de faux positifs et une arrivée fiable en boîte de réception.