SPF : Comment éviter l’usurpation d’identité et les blocages par les FAI ?

Vos emails tombent en spam ? Vos prospects reçoivent des messages frauduleux signés de votre nom ? Il s’agit sûrement d’un problème d’usurpation d’identité ou d’un SPF mal configuré. Ce protocole, encore trop souvent négligé, est pourtant essentiel pour garantir la légitimité de vos envois et éviter les blocages par les fournisseurs d’accès à Internet (FAI). Le SPF (Sender Policy Framework) permet de déclarer officiellement quels serveurs sont autorisés à envoyer des emails depuis votre domaine. Mal configuré, il peut faire chuter vos taux d’ouverture ou nuire à votre réputation. Bien maîtrisé, il devient votre première ligne de défense contre le spoofing. Dans cet article, MO&JO vous guide pas à pas pour comprendre, mettre en place et tester un SPF efficace. À la clé : plus de sécurité, une meilleure délivrabilité, et des campagnes email qui atteignent enfin leur cible.

Temps de lecture :
6 min
Fabien
Publié le
3/26/2025
Temps de lecture :
6 min
Fabien
Publié le
3/26/2025

SPF : Comment éviter l’usurpation d’identité et les blocages par les FAI ?

Vos emails tombent en spam ? Vos prospects reçoivent des messages frauduleux signés de votre nom ? Il s’agit sûrement d’un problème d’usurpation d’identité ou d’un SPF mal configuré. Ce protocole, encore trop souvent négligé, est pourtant essentiel pour garantir la légitimité de vos envois et éviter les blocages par les fournisseurs d’accès à Internet (FAI). Le SPF (Sender Policy Framework) permet de déclarer officiellement quels serveurs sont autorisés à envoyer des emails depuis votre domaine. Mal configuré, il peut faire chuter vos taux d’ouverture ou nuire à votre réputation. Bien maîtrisé, il devient votre première ligne de défense contre le spoofing. Dans cet article, MO&JO vous guide pas à pas pour comprendre, mettre en place et tester un SPF efficace. À la clé : plus de sécurité, une meilleure délivrabilité, et des campagnes email qui atteignent enfin leur cible.

Imaginez : un de vos prospects reçoit un email soi-disant envoyé par votre entreprise. Le message semble authentique… sauf que vous ne l’avez jamais rédigé. Il s’agit d’un cas typique d’usurpation d’identité email. Et pendant ce temps, vos véritables campagnes marketing tombent dans les spams ou sont carrément bloquées par les fournisseurs d’accès à Internet (FAI).

Un fléau bien connu des responsables IT, des marketeurs et des entrepreneurs. Il impacte directement la délivrabilité, la crédibilité et la sécurité de vos communications email.

La bonne nouvelle ? Une solution existe, et MO&JO, agence emailing, peut vous aider à la mettre en œuvre : le protocole SPF (Sender Policy Framework). C’est l’un des piliers de l’authentification email qui vous permet de déclarer explicitement quels serveurs ont le droit d’envoyer des emails en votre nom.

Dans cet article, on vous guide pas à pas pour comprendre le SPF, maîtriser son fonctionnement, saisir ses enjeux clés et le mettre en place efficacement. Le tout illustré par des exemples concrets, des outils gratuits et des captures d’écran pour vous accompagner à chaque étape.

En bref

  • Qu’est-ce qu’un enregistrement SPF (SPF record) ? Un SPF record est une entrée DNS de type TXT, utilisée pour déclarer quels serveurs sont autorisés à envoyer des emails pour votre domaine. Il agit comme une whitelist officielle consultée par les serveurs de réception.
  • Dois-je créer un SPF pour chaque sous-domaine ? Non, sauf si vous envoyez des emails depuis ce sous-domaine. Sinon, appliquez la directive v=spf1 -all pour éviter qu’il soit utilisé abusivement.
  • Comment savoir si mon SPF est bien configuré ? Utilisez des outils comme MxToolbox, EasyDMARC ou Google Admin Toolbox. Ils vous indiqueront si votre enregistrement est valide, complet et sans erreur.

Usurpation d’identité et blocages d’e-mails : le cauchemar des entreprises

Les symptômes : vos mails n’arrivent plus, vos contacts doutent de vous

Vous envoyez vos newsletters… mais les taux d’ouverture s’effondrent. Vos clients signalent qu’ils ne reçoivent plus vos emails. Pire, un partenaire vous transfère un message suspect signé de votre domaine, que vous n’avez jamais envoyé.

Ces symptômes sont les signes avant-coureurs :

  • D’un SPF mal configuré (ou inexistant)
  • D’une tentative d’usurpation de votre nom de domaine
  • D’un rejet par les FAI de vos emails, considérés comme peu fiables

Exemple concret : une PME utilisant Gmail Pro et Brevo (ex-Sendinblue) oublie d’intégrer l’IP de Brevo dans son enregistrement SPF. Résultat : ses campagnes marketing tombent dans les spams chez Outlook et Orange.

Pourquoi ces problèmes arrivent ?

Aujourd’hui, les FAI comme Gmail, Outlook ou Microsoft 365 appliquent des politiques de sécurité strictes. Si votre domaine ne leur indique pas clairement quels serveurs sont autorisés à envoyer vos emails, ils appliquent le principe de précaution : ils bloquent ou filtrent vos messages.

Autre menace : le spoofing, ou usurpation d’identité. Il suffit que votre domaine ne soit pas protégé par SPF pour que n’importe qui puisse envoyer des emails “en votre nom”. Ces faux messages peuvent contenir des liens malveillants, des tentatives de phishing ou nuire à votre réputation.

Notre conseil : le SPF est le mécanisme de votre première ligne de défense contre l’usurpation d’identité. Une configuration propre permet aux FAI de vous faire confiance… et à vos emails d’atteindre leur destination.

SPF, c’est quoi exactement ?

Le Sender Policy Framework expliqué simplement

SPF (Sender Policy Framework) est un protocole d’authentification email qui vous permet de déclarer publiquement quels serveurs sont autorisés à envoyer des emails depuis votre domaine. Cette déclaration se fait via un enregistrement TXT dans votre zone DNS.

En pratique, quand un destinataire reçoit un email “@votredomaine.com”, son serveur vérifie si l’adresse IP de l’expéditeur correspond à un server autorisé par le SPF.

Exemple d’enregistrement SPF simple :

v=spf1 include:_spf.google.com -all

Cet enregistrement autorise uniquement les serveurs de Google Workspace à envoyer des emails au nom de votre domaine. Tous les autres sont rejetés (-all).

Source MO&JO : Exemple d’enregistrement SPF simple
Source MO&JO : Exemple d’enregistrement SPF simple

SPF vs. autres protocoles (DKIM, DMARC)

Le SPF est nécessaire mais pas suffisant. Il s’intègre dans une stratégie d’authentification email plus large, aux côtés de :

  • DKIM : il ajoute une signature numérique au contenu de vos emails. Il permet de garantir que le message n’a pas été modifié après envoi

  • DMARC : il regroupe les résultats SPF + DKIM et vous permet de définir une politique claire (quarantaine, rejet, rapport). Il donne également une vision détaillée des tentatives d’usurpation de votre domaine

Cas d’usage concret : un e-commerçant configure uniquement SPF. Tout semble fonctionner jusqu’au jour où un de ses emails est transféré. Le transfert casse le SPF (l’IP change) donc l’email considéré comme suspect. Avec DKIM, le message aurait été validé.

Exemple cas d'usage concret SPF
Source MO&JO : Exemple cas d’usage concret SPF

Et n’oubliez pas : SPF protège votre domaine. DKIM protège vos contenus. DMARC contrôle les règles du jeu. Les trois sont complémentaires.

Comment le SPF protège votre domaine ?

Le fonctionnement technique sans prise de tête

Quand vous envoyez un courrier électronique, voici ce qu’il se passe en coulisse :

1. Le serveur de réception (par exemple celui de Gmail ou Outlook) reçoit l’email.
2. Il identifie le domaine de l’expéditeur (ex. votredomaine.com).
3. Il consulte le SPF record associé à ce domaine dans les DNS.
4. Il vérifie si l’IP de l’expéditeur correspond à l’une des IP ou des “include:” autorisés.

Trois scénarios possibles :

  • Pass : l’IP est autorisée → l’email est reçu
  • Fail : l’IP n’est pas autorisée → l’email subit un échec de validation et est rejeté
  • Softfail : L'IP n'est pas autorisée, mais la politique est souple (~all) → l’email va souvent en spam~all
Comment le SPF protège votre domaine ?
Source de l’image : https://dmarcian.com/

Exemple d’attaque stoppée par le SPF

Un pirate tente d’envoyer un faux email à vos clients depuis une IP située en Russie, avec l’adresse “support@votredomaine.com”. Si vous avez correctement configuré votre SPF (en excluant cette IP), le système de réception détecte l’incohérence entre l’IP utilisée et celle autorisée.

Résultat : l’email est automatiquement rejeté, ou classé comme spam, selon votre politique (-all ou ~all).

Cas réel : une entreprise SaaS française a vu son domaine utilisé pour diffuser un malware. Depuis la mise en place d’un SPF strict et DMARC en mode “reject”, les tentatives ont chuté de 87 % en 2 mois.

Notre astuce : simulez un test SPF fail avec une IP volontairement incorrecte pour vérifier que votre configuration réagit comme prévu.

Mettre en place un enregistrement SPF : votre guide étape par étape

1. Recenser vos sources d’envoi

Avant de rédiger votre SPF, il faut dresser la liste exhaustive de tous les services qui envoient des emails pour votre compte. Il peut s’agir de :

  • Votre fournisseur de messagerie principal (ex : Google Workspace, Microsoft 365)
  • Des outils de newsletter (Brevo, Mailchimp, Mindbaz...)
  • Des plateformes de support ou CRM (Zendesk, HubSpot, Salesforce…)
  • Des applications SaaS ou outils métiers qui envoient des notifications

Exemple concret : si vous utilisez Gmail, Brevo et votre propre serveur SMTP, il faudra intégrer les trois dans votre SPF.

2. Générer votre enregistrement SPF

Une fois la liste faite, vous allez créer l’enregistrement SPF. Il se présente sous forme d’une chaîne TXT que vous allez insérer dans votre DNS.

Exemple simple :

v=spf1 include:_spf.google.com include:spf.sendinblue.com ip4:192.168.0.1 -all

Ce que cela signifie :

  • include:_spf.google.com → autorise les serveurs de Google Workspace
  • include:spf.sendinblue.com → autorise les serveurs de Brevo
  • ip4:192.168.0.1 → autorise votre propre serveur SMTP
  • all → rejette tous les autres

3 – L’intégrer dans votre DNS

Rendez-vous dans la zone DNS de votre domaine (chez votre hébergeur : OVH, Gandi, Ionos…). Ajoutez un enregistrement TXT, collez votre SPF dans le champ “valeur”, puis enregistrez.

Étapes clés :

  • Type : TXT
  • Nom de l’hôte : @ ou vide
  • Valeur : v=spf1 ... -all

Attention :

  • Un seul enregistrement SPF est autorisé par domaine
  • Ne dépassez pas 10 requêtes DNS dans votre chaîne (include, redirect, etc.)

Notre conseil : notez dans un document interne toutes les modifications apportées à votre SPF. Cela facilite les audits futurs et évite les oublis critiques.

Tester, corriger, optimiser : les outils pour garder le contrôle

Une fois votre enregistrement SPF en place, il est crucial de le tester régulièrement. Une petite erreur de syntaxe, un oubli d’IP ou un include mal intégré peut rendre tout votre SPF inutile.

Outils gratuits pour vérifier votre configuration SPF

Voici les outils les plus fiables pour auditer votre enregistrement SPF en temps réel :

  • MxToolbox SPF Record Lookup : il analyse la validité de votre SPF, détecte les erreurs et vous indique s’il dépasse la limite de requêtes DNS
  • Google Admin Toolbox CheckMX : il est parfait pour les domaines utilisant Google Workspace
  • Kitterman SPF Validator : c’est un outil très technique, utile pour valider la syntaxe
  • EasyDMARC SPF Checker : il est clair, visuel, avec des alertes sur les mauvaises pratiques

Évitez les erreurs classiques

Voici les erreurs les plus fréquentes que nous rencontrons chez les clients :

  • Plusieurs enregistrements SPF dans le DNS (invalide car il ne doit y en avoir qu’un seul)
  • SPF trop long (> 10 requêtes DNS). Chaque include ou redirect compte !
  • IP manquantes (ex : vous ajoutez un nouvel outil de messagerie, mais oubliez d’actualiser votre SPF)

Mauvais usage de la directive finale :

  • -all = strict (rejet total, recommandé)
  • ~all = tolérant (softfail)
  • +all = à éviter à tout prix (autorise tout le monde)

Cas concret : une agence digitale a intégré Mailchimp sans modifier son SPF. Résultat : tous ses emails de campagne allaient en spam chez ses clients B2B utilisant Microsoft Outlook. Une simple mise à jour avec include:servers.mcsv.net a résolu le problème.

Et n’oubliez pas : programmez une revue mensuelle de votre enregistrement SPF, surtout si vous ajoutez de nouveaux outils ou modifiez vos flux d’envoi.

Contactez-nous

SPF, un outil puissant… mais pas suffisant

Pourquoi il faut aussi activer DKIM et DMARC

Le SPF est une excellente première couche de sécurité. Mais il ne protège pas le contenu de vos emails et n’empêche pas certaines failles, comme les transferts d’e-mails (qui cassent le SPF) ou les attaques via des sous-domaines.

C’est là que DKIM et DMARC entrent en jeu.

  • DKIM (DomainKeys Identified Mail) ajoute une signature numérique unique à chaque email. Le serveur de réception peut alors vérifier que le message n’a pas été modifié entre l’envoi et la réception.

  • DMARC (Domain-based Message Authentication, Reporting and Conformance) vous permet de :
    • Définir une politique claire : que faire des messages non conformes (rien, quarantaine, rejet)
    • Recevoir des rapports sur l’utilisation (et les abus) de votre domaine
    • Combiner les résultats SPF et DKIM pour une stratégie cohérente

Cas concret : une entreprise SaaS reçoit des plaintes de clients ayant reçu de faux emails “support@entreprise.com”. Après analyse, aucun SPF/DKIM/DMARC n’était en place. En configurant ces trois protections, les attaques cessent, la réputation remonte, et les emails retrouvent leur place en boîte de réception.

Notre astuce : pour débuter avec DMARC sans prendre de risque, utilisez la politique “none”. Vous recevrez les rapports sans bloquer d’email. Une fois les anomalies corrigées, vous pouvez passer en “quarantine” ou “reject”.

FAQ – Tout ce que vous devez savoir sur le SPF

SPF empêche-t-il complètement les emails frauduleux ?
 Il réduit fortement le risque, mais ne suffit pas à lui seul. Combinez SPF avec DKIM et DMARC pour une protection optimale.

Que veut dire -all dans un SPF ?
 Cela signifie : “rejetez tout envoi provenant d’un serveur non listé dans cet enregistrement”. C’est la directive la plus stricte, à utiliser quand vous êtes sûr de votre configuration.

Combien de requêtes DNS puis-je faire dans mon SPF ?
 Maximum 10. Chaque include, redirect, ou a, mx, etc. peut déclencher une requête. Au-delà, votre SPF est invalidé.

Puis-je avoir plusieurs SPF records ?
 Non, un seul par domaine est autorisé. Si vous en avez plusieurs, les serveurs de réception considèreront votre SPF comme non valide.

Le mot de la fin

Le SPF n’est pas un gadget technique : c’est un véritable rempart contre l’usurpation d’identité et les blocages injustifiés par les FAI. Bien configuré, il vous permet de :

  • Protéger votre domaine contre les pirates
  • Améliorer la délivrabilité de vos campagnes
  • Préserver la réputation de votre marque
  • Gagner la confiance des clients et des partenaires

Envie de dormir sur vos deux oreilles côté email ? On s’occupe de votre SPF ! Contactez-nous, on est sympas en plus.

Contactez-nous
A propos de l’auteur
Fabien

Fabien, consultant CRM chez MO&JO, est un expert en marketing automation et en fidélisation par email. Avec son expertise, il éclaire chaque projet et accompagne nos clients vers des stratégies CRM performantes et efficaces.

Nos autres articles sur le sujet :
Lorraine
18/4/2025
SPF, DKIM, DMARC : le guide des standards d’authentification email

Vos emails sont-ils vraiment protégés contre le spam et l’usurpation d’identité ? Si vous ne maîtrisez pas encore les protocoles SPF, DKIM et DMARC, vous laissez la porte ouverte aux cyberattaques et aux blocages en boîte mail. Dans ce guide clair et concret, découvrez comment authentifier vos envois, renforcer votre réputation et sécuriser vos campagnes pour qu’elles arrivent à bon port… et soient lues.

Fabien
18/4/2025
Volume d’emails aboutis : comment mesurer réellement votre placement en boîte de réception ?

Vous pensez que vos emails sont bien délivrés ? Attention : être délivré ne signifie pas être lu. Dans cet article, découvrez pourquoi le "placement en boîte de réception" est le véritable indicateur de performance de vos campagnes, et comment l’optimiser avec les bons outils.

Lorraine
16/4/2025
Comment le taux d’ouverture unique influence les clics et la réussite de vos campagnes emailing ? 

Plongez dans les coulisses du taux d’ouverture unique et découvrez pourquoi ce KPI peut être trompeur. Cet article vous guide pas à pas pour transformer vos campagnes emailing en véritables leviers de performance.

Nos autres articles sur le sujet :
Lorraine
18/4/2025
SPF, DKIM, DMARC : le guide des standards d’authentification email

Vos emails sont-ils vraiment protégés contre le spam et l’usurpation d’identité ? Si vous ne maîtrisez pas encore les protocoles SPF, DKIM et DMARC, vous laissez la porte ouverte aux cyberattaques et aux blocages en boîte mail. Dans ce guide clair et concret, découvrez comment authentifier vos envois, renforcer votre réputation et sécuriser vos campagnes pour qu’elles arrivent à bon port… et soient lues.

Fabien
18/4/2025
Volume d’emails aboutis : comment mesurer réellement votre placement en boîte de réception ?

Vous pensez que vos emails sont bien délivrés ? Attention : être délivré ne signifie pas être lu. Dans cet article, découvrez pourquoi le "placement en boîte de réception" est le véritable indicateur de performance de vos campagnes, et comment l’optimiser avec les bons outils.

Lorraine
16/4/2025
Comment le taux d’ouverture unique influence les clics et la réussite de vos campagnes emailing ? 

Plongez dans les coulisses du taux d’ouverture unique et découvrez pourquoi ce KPI peut être trompeur. Cet article vous guide pas à pas pour transformer vos campagnes emailing en véritables leviers de performance.

La mojonews
Les tendances les plus chaudes du marketing directement dans votre boîte mail !
Merci  ! Vous recevrez la MOJONEWS prochainement
Oups !  Une erreur s'est produite. Merci de réessayer
Vivre le Mojo avec MO&JO

Depuis 2016, nous vous permettons de vous concentrer sur votre métier en prenant en main l’intégralité de votre stratégie marketing.
Notre Leitmotiv ? Vous aider à mettre en place vos projets de développement business, avec méthode, sympathie et efficacité.

10 Millions
Budget ADS
Display / Social / Search / Emailing, DOOH
500
campagnes
35
collaborateurs
95%
satisfaction client
Questions fréquentes

Pourquoi mo&jo ?

MO&JO, c’est avant tout un collectif d’experts passionnés partageant les mêmes valeurs basées sur l’énergie positive et l’envie d’avancer ensemble.
L'esperluette quant à elle est un symbole typographique représentant la conjonction "et" ("&"). Chez MO&JO, l'esperluette joue un rôle central dans notre identité et incarne notre esprit d'explorateur, notre audace et notre créativité.

Qu’est-ce qu’avoir le Mojo ?

Comme dirait France Gall, le mojo c’est “ce tout petit supplément d’âme, cet indéfinissable charme, cette petite flamme !”. Le mojo est mystérieux, redoutable et définit votre feu sacré, cette énergie intérieure qui fait de votre marque ce qu’elle est.
Et notre mojo dans tout ça ? Il nous vient de l’innovation, de l’expertise, de la création et de l’expérience. Notre raison d’être c’est d’être l’agence marketing qui inspire & stimule le monde.

Quelle est la méthodologie de Mo&Jo
pour mes activations digitales ?

La méthodologie MO&JO : une aventure en quatre étapes. Tout commence par la prise de contact, où nous prenons la mesure de vos challenges. Ensuite, une feuille de route soigneusement timée prend forme, pour guider chaque étape avec précision. Nous créons ensuite un environnement de travail parfait pour vous, en utilisant des outils de pointe pour plus d’efficacité. Notre mission ? Vous offrir l’accompagnement le plus fluide et personnalisé possible.

Quelle différence avec les autres agences web ?

Ce qui nous différencie des autres agences web, c’est que nous ne sommes pas une agence web ! Notre méthodologie basée sur une expertise solide et des outils innovants, mais c’est surtout notre engagement envers l'authenticité ! C’est à dire la relation de confiance, la proximité et l’approche partenaire que l’on instaure avec nos clients.
Notre but : vous aidez à développer une présence en ligne en phase avec vos valeurs et explorer le champ des possibles.

Combien coûtent vos services ?

Chez MO&JO, nous croyons en la personnalisation et au sur-mesure. En effet, comme chacune de vos demandes se veut unique, nos tarifs sont façonnés selon vos besoins, la durée de vos campagnes, la complexité de votre projet et les moyens employés. Si vous souhaitez avoir plus de précisions sur nos budgets, faites-nous signe et contactez-nous !

Prêt à révéler votre Mojo
Tous les champs sont obligatoires
Oups !  Une erreur s'est produite. Merci de réessayer