SPF : Comment éviter l’usurpation d’identité et les blocages par les FAI ?
Vos emails tombent en spam ? Vos prospects reçoivent des messages frauduleux signés de votre nom ? Il s’agit sûrement d’un problème d’usurpation d’identité ou d’un SPF mal configuré. Ce protocole, encore trop souvent négligé, est pourtant essentiel pour garantir la légitimité de vos envois et éviter les blocages par les fournisseurs d’accès à Internet (FAI). Le SPF (Sender Policy Framework) permet de déclarer officiellement quels serveurs sont autorisés à envoyer des emails depuis votre domaine. Mal configuré, il peut faire chuter vos taux d’ouverture ou nuire à votre réputation. Bien maîtrisé, il devient votre première ligne de défense contre le spoofing. Dans cet article, MO&JO vous guide pas à pas pour comprendre, mettre en place et tester un SPF efficace. À la clé : plus de sécurité, une meilleure délivrabilité, et des campagnes email qui atteignent enfin leur cible.
Temps de lecture :
6 min
Fabien
Publié le
3/26/2025
Temps de lecture :
6 min
Fabien
Publié le
3/26/2025
SPF : Comment éviter l’usurpation d’identité et les blocages par les FAI ?
Vos emails tombent en spam ? Vos prospects reçoivent des messages frauduleux signés de votre nom ? Il s’agit sûrement d’un problème d’usurpation d’identité ou d’un SPF mal configuré. Ce protocole, encore trop souvent négligé, est pourtant essentiel pour garantir la légitimité de vos envois et éviter les blocages par les fournisseurs d’accès à Internet (FAI). Le SPF (Sender Policy Framework) permet de déclarer officiellement quels serveurs sont autorisés à envoyer des emails depuis votre domaine. Mal configuré, il peut faire chuter vos taux d’ouverture ou nuire à votre réputation. Bien maîtrisé, il devient votre première ligne de défense contre le spoofing. Dans cet article, MO&JO vous guide pas à pas pour comprendre, mettre en place et tester un SPF efficace. À la clé : plus de sécurité, une meilleure délivrabilité, et des campagnes email qui atteignent enfin leur cible.
Imaginez : un de vos prospects reçoit un email soi-disant envoyé par votre entreprise. Le message semble authentique… sauf que vous ne l’avez jamais rédigé. Il s’agit d’un cas typique d’usurpation d’identité email. Et pendant ce temps, vos véritables campagnes marketing tombent dans les spams ou sont carrément bloquées par les fournisseurs d’accès à Internet (FAI).
Un fléau bien connu des responsables IT, des marketeurs et des entrepreneurs. Il impacte directement la délivrabilité, la crédibilité et la sécurité de vos communications email.
La bonne nouvelle ? Une solution existe, et MO&JO, agence emailing, peut vous aider à la mettre en œuvre : le protocole SPF (Sender Policy Framework). C’est l’un des piliers de l’authentification email qui vous permet de déclarer explicitement quels serveurs ont le droit d’envoyer des emails en votre nom.
Dans cet article, on vous guide pas à pas pour comprendre le SPF, maîtriser son fonctionnement, saisir ses enjeux clés et le mettre en place efficacement. Le tout illustré par des exemples concrets, des outils gratuits et des captures d’écran pour vous accompagner à chaque étape.
En bref
Qu’est-ce qu’un enregistrement SPF (SPF record) ? Un SPF record est une entrée DNS de type TXT, utilisée pour déclarer quels serveurs sont autorisés à envoyer des emails pour votre domaine. Il agit comme une whitelist officielle consultée par les serveurs de réception.
Dois-je créer un SPF pour chaque sous-domaine ? Non, sauf si vous envoyez des emails depuis ce sous-domaine. Sinon, appliquez la directive v=spf1 -all pour éviter qu’il soit utilisé abusivement.
Comment savoir si mon SPF est bien configuré ? Utilisez des outils comme MxToolbox, EasyDMARC ou Google Admin Toolbox. Ils vous indiqueront si votre enregistrement est valide, complet et sans erreur.
Usurpation d’identité et blocages d’e-mails : le cauchemar des entreprises
Les symptômes : vos mails n’arrivent plus, vos contacts doutent de vous
Vous envoyez vos newsletters… mais les taux d’ouverture s’effondrent. Vos clients signalent qu’ils ne reçoivent plus vos emails. Pire, un partenaire vous transfère un message suspect signé de votre domaine, que vous n’avez jamais envoyé.
Ces symptômes sont les signes avant-coureurs :
D’un SPF mal configuré (ou inexistant)
D’une tentative d’usurpation de votre nom de domaine
D’un rejet par les FAI de vos emails, considérés comme peu fiables
Exemple concret : une PME utilisant Gmail Pro et Brevo (ex-Sendinblue) oublie d’intégrer l’IP de Brevo dans son enregistrement SPF. Résultat : ses campagnes marketing tombent dans les spams chez Outlook et Orange.
Pourquoi ces problèmes arrivent ?
Aujourd’hui, les FAI comme Gmail, Outlook ou Microsoft 365 appliquent des politiques de sécurité strictes. Si votre domaine ne leur indique pas clairement quels serveurs sont autorisés à envoyer vos emails, ils appliquent le principe de précaution : ils bloquent ou filtrent vos messages.
Autre menace : le spoofing, ou usurpation d’identité. Il suffit que votre domaine ne soit pas protégé par SPF pour que n’importe qui puisse envoyer des emails “en votre nom”. Ces faux messages peuvent contenir des liens malveillants, des tentatives de phishing ou nuire à votre réputation.
Notre conseil : le SPF est le mécanisme de votre première ligne de défense contre l’usurpation d’identité. Une configuration propre permet aux FAI de vous faire confiance… et à vos emails d’atteindre leur destination.
SPF, c’est quoi exactement ?
Le Sender Policy Framework expliqué simplement
SPF (Sender Policy Framework) est un protocole d’authentification email qui vous permet de déclarer publiquement quels serveurs sont autorisés à envoyer des emails depuis votre domaine. Cette déclaration se fait via un enregistrement TXT dans votre zone DNS.
En pratique, quand un destinataire reçoit un email “@votredomaine.com”, son serveur vérifie si l’adresse IP de l’expéditeur correspond à un server autorisé par le SPF.
Exemple d’enregistrement SPF simple :
v=spf1 include:_spf.google.com -all
Cet enregistrement autorise uniquement les serveurs de Google Workspace à envoyer des emails au nom de votre domaine. Tous les autres sont rejetés (-all).
Source MO&JO : Exemple d’enregistrement SPF simple
SPF vs. autres protocoles (DKIM, DMARC)
Le SPF est nécessaire mais pas suffisant. Il s’intègre dans une stratégie d’authentification email plus large, aux côtés de :
DKIM : il ajoute une signature numérique au contenu de vos emails. Il permet de garantir que le message n’a pas été modifié après envoi
DMARC : il regroupe les résultats SPF + DKIM et vous permet de définir une politique claire (quarantaine, rejet, rapport). Il donne également une vision détaillée des tentatives d’usurpation de votre domaine
Cas d’usage concret : un e-commerçant configure uniquement SPF. Tout semble fonctionner jusqu’au jour où un de ses emails est transféré. Le transfert casse le SPF (l’IP change) donc l’email considéré comme suspect. Avec DKIM, le message aurait été validé.
Source MO&JO : Exemple cas d’usage concret SPF
Et n’oubliez pas : SPF protège votre domaine. DKIM protège vos contenus. DMARC contrôle les règles du jeu. Les trois sont complémentaires.
Comment le SPF protège votre domaine ?
Le fonctionnement technique sans prise de tête
Quand vous envoyez un courrier électronique, voici ce qu’il se passe en coulisse :
1. Le serveur de réception (par exemple celui de Gmail ou Outlook) reçoit l’email. 2. Il identifie le domaine de l’expéditeur (ex. votredomaine.com). 3. Il consulte le SPF record associé à ce domaine dans les DNS. 4. Il vérifie si l’IP de l’expéditeur correspond à l’une des IP ou des “include:” autorisés.
Trois scénarios possibles :
Pass : l’IP est autorisée → l’email est reçu
Fail : l’IP n’est pas autorisée → l’email subit un échec de validation et est rejeté
Softfail : L'IP n'est pas autorisée, mais la politique est souple (~all) → l’email va souvent en spam~all
Source de l’image : https://dmarcian.com/
Exemple d’attaque stoppée par le SPF
Un pirate tente d’envoyer un faux email à vos clients depuis une IP située en Russie, avec l’adresse “support@votredomaine.com”. Si vous avez correctement configuré votre SPF (en excluant cette IP), le système de réception détecte l’incohérence entre l’IP utilisée et celle autorisée.
Résultat : l’email est automatiquement rejeté, ou classé comme spam, selon votre politique (-all ou ~all).
Cas réel : une entreprise SaaS française a vu son domaine utilisé pour diffuser un malware. Depuis la mise en place d’un SPF strict et DMARC en mode “reject”, les tentatives ont chuté de 87 % en 2 mois.
Notre astuce : simulez un test SPF fail avec une IP volontairement incorrecte pour vérifier que votre configuration réagit comme prévu.
Mettre en place un enregistrement SPF : votre guide étape par étape
1. Recenser vos sources d’envoi
Avant de rédiger votre SPF, il faut dresser la liste exhaustive de tous les services qui envoient des emails pour votre compte. Il peut s’agir de :
Votre fournisseur de messagerie principal (ex : Google Workspace, Microsoft 365)
Des outils de newsletter (Brevo, Mailchimp, Mindbaz...)
Des plateformes de support ou CRM (Zendesk, HubSpot, Salesforce…)
Des applications SaaS ou outils métiers qui envoient des notifications
Exemple concret : si vous utilisez Gmail, Brevo et votre propre serveur SMTP, il faudra intégrer les trois dans votre SPF.
2. Générer votre enregistrement SPF
Une fois la liste faite, vous allez créer l’enregistrement SPF. Il se présente sous forme d’une chaîne TXT que vous allez insérer dans votre DNS.
Rendez-vous dans la zone DNS de votre domaine (chez votre hébergeur : OVH, Gandi, Ionos…). Ajoutez un enregistrement TXT, collez votre SPF dans le champ “valeur”, puis enregistrez.
Étapes clés :
Type : TXT
Nom de l’hôte : @ ou vide
Valeur : v=spf1 ... -all
Attention :
Un seul enregistrement SPF est autorisé par domaine
Ne dépassez pas 10 requêtes DNS dans votre chaîne (include, redirect, etc.)
Notre conseil : notez dans un document interne toutes les modifications apportées à votre SPF. Cela facilite les audits futurs et évite les oublis critiques.
Tester, corriger, optimiser : les outils pour garder le contrôle
Une fois votre enregistrement SPF en place, il est crucial de le tester régulièrement. Une petite erreur de syntaxe, un oubli d’IP ou un include mal intégré peut rendre tout votre SPF inutile.
Outils gratuits pour vérifier votre configuration SPF
Voici les outils les plus fiables pour auditer votre enregistrement SPF en temps réel :
MxToolbox SPF Record Lookup : il analyse la validité de votre SPF, détecte les erreurs et vous indique s’il dépasse la limite de requêtes DNS
Google Admin Toolbox CheckMX : il est parfait pour les domaines utilisant Google Workspace
Kitterman SPF Validator : c’est un outil très technique, utile pour valider la syntaxe
EasyDMARC SPF Checker : il est clair, visuel, avec des alertes sur les mauvaises pratiques
Évitez les erreurs classiques
Voici les erreurs les plus fréquentes que nous rencontrons chez les clients :
Plusieurs enregistrements SPF dans le DNS (invalide car il ne doit y en avoir qu’un seul)
SPF trop long (> 10 requêtes DNS). Chaque include ou redirect compte !
IP manquantes (ex : vous ajoutez un nouvel outil de messagerie, mais oubliez d’actualiser votre SPF)
Mauvais usage de la directive finale :
-all = strict (rejet total, recommandé)
~all = tolérant (softfail)
+all = à éviter à tout prix (autorise tout le monde)
Cas concret : une agence digitale a intégré Mailchimp sans modifier son SPF. Résultat : tous ses emails de campagne allaient en spam chez ses clients B2B utilisant Microsoft Outlook. Une simple mise à jour avec include:servers.mcsv.net a résolu le problème.
Et n’oubliez pas : programmez une revue mensuelle de votre enregistrement SPF, surtout si vous ajoutez de nouveaux outils ou modifiez vos flux d’envoi.
Le SPF est une excellente première couche de sécurité. Mais il ne protège pas le contenu de vos emails et n’empêche pas certaines failles, comme les transferts d’e-mails (qui cassent le SPF) ou les attaques via des sous-domaines.
C’est là que DKIM et DMARC entrent en jeu.
DKIM (DomainKeys Identified Mail) ajoute une signature numérique unique à chaque email. Le serveur de réception peut alors vérifier que le message n’a pas été modifié entre l’envoi et la réception.
DMARC (Domain-based Message Authentication, Reporting and Conformance) vous permet de :
Définir une politique claire : que faire des messages non conformes (rien, quarantaine, rejet)
Recevoir des rapports sur l’utilisation (et les abus) de votre domaine
Combiner les résultats SPF et DKIM pour une stratégie cohérente
Cas concret : une entreprise SaaS reçoit des plaintes de clients ayant reçu de faux emails “support@entreprise.com”. Après analyse, aucun SPF/DKIM/DMARC n’était en place. En configurant ces trois protections, les attaques cessent, la réputation remonte, et les emails retrouvent leur place en boîte de réception.
Notre astuce : pour débuter avec DMARC sans prendre de risque, utilisez la politique “none”. Vous recevrez les rapports sans bloquer d’email. Une fois les anomalies corrigées, vous pouvez passer en “quarantine” ou “reject”.
FAQ – Tout ce que vous devez savoir sur le SPF
SPF empêche-t-il complètement les emails frauduleux ? Il réduit fortement le risque, mais ne suffit pas à lui seul. Combinez SPF avec DKIM et DMARC pour une protection optimale.
Que veut dire -all dans un SPF ? Cela signifie : “rejetez tout envoi provenant d’un serveur non listé dans cet enregistrement”. C’est la directive la plus stricte, à utiliser quand vous êtes sûr de votre configuration.
Combien de requêtes DNS puis-je faire dans mon SPF ? Maximum 10. Chaque include, redirect, ou a, mx, etc. peut déclencher une requête. Au-delà, votre SPF est invalidé.
Puis-je avoir plusieurs SPF records ? Non, un seul par domaine est autorisé. Si vous en avez plusieurs, les serveurs de réception considèreront votre SPF comme non valide.
Le mot de la fin
Le SPF n’est pas un gadget technique : c’est un véritable rempart contre l’usurpation d’identité et les blocages injustifiés par les FAI. Bien configuré, il vous permet de :
Protéger votre domaine contre les pirates
Améliorer la délivrabilité de vos campagnes
Préserver la réputation de votre marque
Gagner la confiance des clients et des partenaires
Envie de dormir sur vos deux oreilles côté email ? On s’occupe de votre SPF ! Contactez-nous, on est sympas en plus.
Fabien, consultant CRM chez MO&JO, est un expert en marketing automation et en fidélisation par email. Avec son expertise, il éclaire chaque projet et accompagne nos clients vers des stratégies CRM performantes et efficaces.
Nos autres articles sur le sujet :
Lorraine
18/4/2025
SPF, DKIM, DMARC : le guide des standards d’authentification email
Vos emails sont-ils vraiment protégés contre le spam et l’usurpation d’identité ? Si vous ne maîtrisez pas encore les protocoles SPF, DKIM et DMARC, vous laissez la porte ouverte aux cyberattaques et aux blocages en boîte mail. Dans ce guide clair et concret, découvrez comment authentifier vos envois, renforcer votre réputation et sécuriser vos campagnes pour qu’elles arrivent à bon port… et soient lues.
Fabien
18/4/2025
Volume d’emails aboutis : comment mesurer réellement votre placement en boîte de réception ?
Vous pensez que vos emails sont bien délivrés ? Attention : être délivré ne signifie pas être lu. Dans cet article, découvrez pourquoi le "placement en boîte de réception" est le véritable indicateur de performance de vos campagnes, et comment l’optimiser avec les bons outils.
Lorraine
16/4/2025
Comment le taux d’ouverture unique influence les clics et la réussite de vos campagnes emailing ?
Plongez dans les coulisses du taux d’ouverture unique et découvrez pourquoi ce KPI peut être trompeur. Cet article vous guide pas à pas pour transformer vos campagnes emailing en véritables leviers de performance.
Nos autres articles sur le sujet :
Lorraine
18/4/2025
SPF, DKIM, DMARC : le guide des standards d’authentification email
Vos emails sont-ils vraiment protégés contre le spam et l’usurpation d’identité ? Si vous ne maîtrisez pas encore les protocoles SPF, DKIM et DMARC, vous laissez la porte ouverte aux cyberattaques et aux blocages en boîte mail. Dans ce guide clair et concret, découvrez comment authentifier vos envois, renforcer votre réputation et sécuriser vos campagnes pour qu’elles arrivent à bon port… et soient lues.
Fabien
18/4/2025
Volume d’emails aboutis : comment mesurer réellement votre placement en boîte de réception ?
Vous pensez que vos emails sont bien délivrés ? Attention : être délivré ne signifie pas être lu. Dans cet article, découvrez pourquoi le "placement en boîte de réception" est le véritable indicateur de performance de vos campagnes, et comment l’optimiser avec les bons outils.
Lorraine
16/4/2025
Comment le taux d’ouverture unique influence les clics et la réussite de vos campagnes emailing ?
Plongez dans les coulisses du taux d’ouverture unique et découvrez pourquoi ce KPI peut être trompeur. Cet article vous guide pas à pas pour transformer vos campagnes emailing en véritables leviers de performance.
La mojonews
Les tendances les plus chaudes du marketing directement dans votre boîte mail !
Merci ! Vous recevrez la MOJONEWS prochainement
Oups ! Une erreur s'est produite. Merci de réessayer
Vivre le Mojo avec MO&JO
Depuis 2016, nous vous permettons de vous concentrer sur votre métier en prenant en main l’intégralité de votre stratégie marketing. Notre Leitmotiv ? Vous aider à mettre en place vos projets de développement business, avec méthode, sympathie et efficacité.
10 Millions
Budget ADS Display / Social / Search / Emailing, DOOH