Consultez et validez instantanément votre enregistrement SPF. Nous testons les erreurs de syntaxe, les doublons d’enregistrements et le "trop grand nombre de consultations DNS", puis nous vous montrons précisément comment corriger les problèmes. C’est rapide et gratuit.
SPF autorise un maximum de 10 consultations DNS. Si vous dépassez ce seuil, les serveurs destinataires retournent une PermError, ce qui échoue l’envoi de tous vos emails.
Un domaine utilisant Google Workspace, Salesforce et Mailchimp HubSpot peut atteindre cette limite sans s’en rendre compte.
Vous ne pouvez avoir qu’un seul enregistrement TXT SPF par domaine. Si vous en avez deux, les serveurs destinataires retournent une PermError.
Cela se produit généralement après une migration de fournisseur d’email quand l’ancien enregistrement est conservé. Supprimez le doublon et fusionnez tout.
Un espace mal placé ou une faute de frappe peut invalider tout votre enregistrement.
Exemples courants : "inlcude" au lieu de include, ou un enregistrement qui ne commence pas par v=spf1. Le vérificateur SPF signale ces problèmes en rouge et montre précisément où ils se situent.
?all (neutre) n’exclut pas les expéditeurs non autorisés — les emails sont toujours livrés. Évitez de l’utiliser. Pour les domaines actifs qui envoient des emails, utilisez ~all combiné avec DMARC à p=reject — cela rejette les courriels non authentifiés sans risquer d’entraver la livraison des légitimes.
Réservez -all uniquement aux domaines inactifs qui n’envoient aucun mail.
Le « SubdoMailing », ou envoi de mails via des sous-domaines, est une méthode d’attaque avancée qui exploite des angles morts dans l’application de DMARC. En envoyant des messages depuis des sous-domaines légitimes au regard de l’authentification, les cybercriminels peuvent usurper de façon convaincante de grandes organisations et induire les destinataires en erreur.
Avec ce guide, découvrez :
SPF signifie Sender Policy Framework. Il s’agit d’un protocole d’authentification email qui agit comme une liste blanche, décrivant les expéditeurs autorisés à envoyer des emails en votre nom. Son objectif est de prévenir la falsification d’emails.
SPF signifie Sender Policy Framework. Il s’agit d’un protocole d’authentification email qui agit comme une liste blanche, décrivant les expéditeurs autorisés à envoyer des emails en votre nom. Son objectif est de prévenir la falsification d’emails.
Enregistrement DNS TXT qui indique aux serveurs de messagerie destinataires quelles adresses IP/hôtes sont autorisés à envoyer des emails pour un domaine.
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:203.0.113.5 -all
Il commence par v=spf1, liste les expéditeurs autorisés au milieu, et finit par un qualificateur all. Un seul enregistrement par domaine — sans exception.
La visualisation d’arbre SPF fournie par le Vérificateur SPF illustre chaque étape de la résolution de l’enregistrement, montrant comment chaque mécanisme est évalué et s’il aboutit à un succès, échec ou état neutre. Cette visualisation aide à comprendre la hiérarchie des mécanismes SPF et à identifier d’éventuelles erreurs ou mauvaises configurations.
Le 27 février 2024, les chercheurs de Guardio ont découvert une vaste campagne de fraude publicitaire email basée sur des milliers de domaines et sous-domaines détournés. Vous pouvez en savoir plus sur l’attaque SubdoMailing et comment vous en protéger ici.
L’outil de vérification SPF de Red Sift détecte si votre enregistrement SPF comprend des includes compromis laissant votre domaine vulnérable à des attaques de type spoofing. La visualisation dynamique de l’arbre SPF permet de mettre en évidence ces includes infectés. Si des inclues compromises sont détectées, nous recommandons de les retirer immédiatement de votre enregistrement SPF.
Vérifier la configuration SPF de votre domaine garantit qu’elle est correctement établie afin d’authentifier les emails envoyés de votre domaine, réduisant les risques d’être marqué comme spam ou rejeté par les serveurs destinataires.
Selon la configuration SPF du domaine indiqué, des messages d’information sont affichés avec la possibilité de « surligner dans l’arbre SPF ».
Oui, le vérificateur SPF peut identifier les erreurs dans les includes imbriqués de SPF tiers en analysant chaque enregistrement SPF inclus dans la hiérarchie. Cela permet de détecter et de corriger des problèmes tiers qui impacteraient l’authentification email de votre propre domaine.
Vous pouvez accéder à l’enregistrement SPF de votre domaine en réalisant une requête DNS (via nslookup ou dig, par exemple). Sinon, utilisez un outil de consultation SPF en ligne ou l’interface de gestion DNS de votre hébergeur ou bureau d’enregistrement.
Une consultation vide (void lookup) survient lorsqu’un mécanisme SPF conduit à une requête DNS sans résultat, signe d’une erreur ou d’un champ invalide. Ces consultations peuvent entraîner des échecs SPF et doivent être corrigées pour garantir l’intégrité de votre configuration.
Corrigez les erreurs de syntaxe dans votre SPF en consultant les règles de syntaxe, afin de formater correctement l’enregistrement. Les erreurs courantes sont les mécanismes oubliés, caractères invalides ou les espaces incorrects. Identifiez et corrigez chaque erreur depuis votre gestionnaire DNS fourni par votre hébergeur ou bureau d’enregistrement.
Les mécanismes SPF sont les éléments d’un enregistrement qui déterminent quels serveurs sont autorisés à envoyer des emails pour un domaine. Ils incluent adresses IP, noms de domaine et qualificateurs. En configurant correctement ces mécanismes, les propriétaires peuvent contrôler qui envoie des emails au nom de leur domaine et renforcer la sécurité et l’authentification email.
Lancez une vérification et assurez-vous d’avoir un enregistrement, une syntaxe valide, ≤10 consultations DNS.
Souvent à cause de multiples enregistrements, de problèmes de syntaxe ou trop de consultations “include”.
La RFC 7208 limite SPF à 10 mécanismes impliquant des requêtes DNS pour éviter de surcharger les serveurs destinataires. Les mécanismes include, a, mx, ptr et redirect comptent pour cette limite. Dépasser ce seuil cause une défaillance SPF, même pour les emails légitimes. Le vérificateur SPF vous indique le nombre de consultations et leur origine.
-all (échec strict) bloque directement les emails d’expéditeurs non autorisés. ~all (échec souple) accepte mais généralement envoie en spam. ?all (neutre) ne fait aucune déclaration et n’offre pas de protection. Pour la production, -all est recommandé. Utilisez ~all le temps d’identifier les expéditeurs légitimes.
Oui, et vous devriez. SPF sur votredomain.com ne protège pas mail.votredomaine.com ou newsletter.votredomaine.com. Chaque sous-domaine émetteur a besoin de son propre enregistrement. Les sous-domaines sans SPF sont vulnérables à l’usurpation.
