Comment utiliser le validateur/générateur d'enregistrements SPF

Mode de validation : Collez votre enregistrement SPF existant (obtenez-le via `dig TXT votresite.com`). L'outil vérifie la syntaxe SPF, compte les requêtes DNS (la limite de 10 requêtes est appliquée par chaque serveur de messagerie destinataire) et audite votre politique de gestion des échecs. Mode construction : Indiquez les services d'envoi que vous utilisez (Google, Mailchimp, SendGrid, etc.) et choisissez une politique de tolérance aux échecs. L'outil génère un enregistrement SPF valide, prêt à être intégré au DNS.

Pourquoi cet outil est important

SPF, DKIM et DMARC sont les trois normes d'authentification des e-mails qui déterminent si votre message arrive dans la boîte de réception ou dans les spams. Une configuration SPF incorrecte (trop de requêtes, services manquants, politique d'échec inappropriée) est l'une des principales causes de problèmes de délivrabilité. Un validateur d'une minute permet d'éviter des semaines de signalements inexpliqués comme spams.

Cas d'utilisation courants

• Audit de délivrabilité des e-mails avant lancement
• Ajout d'un nouveau service d'envoi à votre SPF existant
• Résolution des notifications “ Échec DMARC ”
• Migration d'un ESP à un autre sans rupture de SPF
• Examen rapide du SPF lors d'un audit de sécurité/informatique
• Aider un client à configurer l'authentification par e-mail pour la première fois

La limite de 10 recherches

Le protocole SPF autorise un maximum de 10 requêtes DNS lors de la validation. Chaque directive “ include: ” compte comme une requête, et de nombreuses directives de service contiennent plusieurs requêtes internes (par exemple, la directive « include » de Mailchimp génère 6 sous-requêtes). Si vous dépassez 10 requêtes, les serveurs de messagerie renvoient une erreur PermError et vos e-mails échouent à la validation SPF. Utilisez des outils d'aplatissement SPF ou supprimez les directives « include » inutilisées si vous atteignez la limite.

Foire aux questions

Quelle est la différence entre -all, ~all et ?all ?
-all = rejet définitif (courriel rejeté). ~all = acceptation conditionnelle (signalé comme suspect mais accepté). ?all = neutre (sans opinion). +all = autorisation totale (non sécurisé — possibilité d’usurpation d’identité). Utilisez -all en production après une période de tests avec acceptation conditionnelle.

Puis-je avoir plusieurs enregistrements SPF ?
Non — la RFC 7208 interdit explicitement les enregistrements SPF multiples. Fusionnez-les en un seul. De nombreux domaines en possèdent deux par erreur (l'ancien et le nouveau) ; il est impératif de les consolider.

Le protocole SPF s'applique-t-il aux sous-domaines ?
Non — les enregistrements SPF de votre-site.com ne s'appliquent pas à mail.votre-site.com, sauf si vous en configurez un également pour ce sous-domaine. Chaque sous-domaine a besoin de son propre enregistrement SPF s'il envoie des e-mails.

Pourquoi Gmail indique-t-il que mon SPF est “ neutre ” même avec l'option -all ?
Le protocole SPF authentifie uniquement l'expéditeur de l'enveloppe (Return-Path). L'adresse « De » visible peut être différente, et Gmail évalue cette dernière. Pour une protection complète, combinez SPF avec DKIM et DMARC.