Accueil » Le blog » Marketing » SPF : Le bouclier anti-usurpation pour vos emails

SPF : Le bouclier anti-usurpation pour vos emails

spf

Écrit par

Arica

dans

Si vous envoyez des emails depuis une adresse personnalisée (ex. [email protected]), il est indispensable de mettre en place une protection technique que l’on appelle SPF. Ce système permet aux serveurs de réception comme Gmail, Outlook ou Orange de vérifier que les messages envoyés depuis votre domaine sont légitimes. À défaut, vos emails risquent de finir en spam… ou même de ne jamais arriver.

Qu’est-ce que SPF exactement ?

SPF, pour Sender Policy Framework, est un protocole d’authentification email. Il permet de définir les serveurs autorisés à envoyer des emails pour un domaine donné.

En résumé : avec SPF, vous dites à Internet « seuls ces serveurs sont légitimes pour envoyer des mails avec mon nom de domaine ».

Concrètement, vous déclarez dans les DNS de votre domaine une liste d’adresses IP ou de services (ex. Mailchimp, Brevo, Google Workspace…) autorisés à envoyer des emails en votre nom.

Pourquoi SPF est crucial pour votre délivrabilité ?

Sans SPF :

  • vos emails risquent d’être classés comme spam ;
  • votre domaine peut être usurpé par des spammeurs ou hackers (phishing) ;
  • votre réputation d’expéditeur peut être dégradée durablement.

C’est donc une condition minimale pour :

  • prouver votre légitimité auprès des serveurs de réception ;
  • renforcer la sécurité de votre marque ;
  • améliorer la délivrabilité de vos campagnes.

Comment fonctionne SPF, concrètement ?

  1. Vous publiez dans vos DNS un enregistrement TXT.
  2. Cet enregistrement liste les serveurs IP ou domaines autorisés à envoyer des emails.
  3. Lorsqu’un email arrive, le serveur destinataire lit cette règle SPF et compare :
    • l’IP de l’expéditeur réel,
    • avec la liste des adresses autorisées dans vos DNS.
  4. Résultat :
    • si l’IP est autorisée → SPF = pass,
    • sinon → SPF = fail (le mail peut être rejeté ou mis en spam).

À quoi ressemble un enregistrement SPF ?

Un enregistrement SPF est une ligne de texte à ajouter dans les DNS de votre domaine.

Exemple basique :

v=spf1 include:sendinblue.com include:_spf.google.com ~all

Décryptage :

  • v=spf1 : version du protocole SPF.
  • include:sendinblue.com : autorise Sendinblue à envoyer des mails.
  • include:_spf.google.com : autorise Google Workspace.
  • ~all : tous les autres serveurs sont suspects (soft fail).

Il existe aussi -all (fail strict) et +all (autorise tout… donc à éviter).

Comment mettre en place SPF pour votre domaine ?

Étape 1 : Listez vos outils d’envoi

Avant tout, identifiez tous les services que vous utilisez pour envoyer des mails avec votre domaine :

  • boîte mail (Gmail, Outlook, OVH, etc.) ;
  • plateforme marketing (Sendinblue, Mailchimp, ActiveCampaign…) ;
  • CRM ou outils transactionnels (Stripe, WordPress, formulaire de contact, etc.).

Étape 2 : Récupérez les paramètres SPF

Chaque fournisseur propose une valeur SPF à inclure. Exemple :

  • Google Workspace → include:_spf.google.com
  • Sendinblue → include:sendinblue.com
  • Mailchimp → include:servers.mcsv.net

Étape 3 : Ajoutez ou modifiez l’enregistrement SPF

Dans le gestionnaire DNS de votre domaine (chez OVH, IONOS, Cloudflare, Gandi…) :

  • cherchez ou créez un enregistrement TXT ;
  • nom de l’entrée : @ (ou vide selon l’interface) ;
  • valeur : la chaîne SPF complète.

⚠️ Un seul enregistrement SPF est autorisé par domaine. Si vous utilisez plusieurs outils, vous devez regrouper les includes dans une seule ligne.

Exemple :

v=spf1 include:_spf.google.com include:sendinblue.com include:servers.mcsv.net ~all

Étape 4 : Vérifiez la propagation

La modification peut prendre quelques minutes à plusieurs heures. Pour tester :

  • envoyez un mail vers Gmail ;
  • ouvrez-le → options > « Afficher l’original » → ligne spf=pass.

Vous pouvez aussi utiliser :
https://www.mail-tester.com
https://mxtoolbox.com

SPF, DKIM et DMARC : le trio gagnant

SPF n’est pas suffisant à lui seul. Il doit être complété par :

  • DKIM : ajoute une signature cryptée à vos emails (intégrité du contenu) ;
  • DMARC : fixe une politique (rejeter, mettre en quarantaine, ignorer) si SPF/DKIM échouent.

Ensemble, ils forment une stratégie anti-spoofing efficace, indispensable pour :

  • la sécurité de votre marque ;
  • la confiance de vos destinataires ;
  • la performance globale de vos campagnes emailing.

Erreurs fréquentes à éviter

  • Ajouter plusieurs enregistrements SPF distincts au lieu d’un seul fusionné.
  • Oublier de mettre à jour l’enregistrement lorsqu’on change de prestataire email.
  • Utiliser +all (autorise tout) : cela expose votre domaine au spam.
  • Dépasser la limite de 10 « lookups » DNS : les serveurs peuvent ignorer le SPF.
  • Ne pas tester la configuration avant d’envoyer une campagne.

SPF et délivrabilité : ce qu’on fait chez Arica

Chez Arica, nous configurons systématiquement SPF pour les domaines de nos clients, qu’ils utilisent :

  • des solutions emailing (Sendinblue, Brevo, Mailchimp…) ;
  • des boîtes mails professionnelles (Google Workspace, Outlook) ;
  • ou des outils transactionnels (Stripe, WooCommerce, etc.).

Nous centralisons tous les outils dans un seul SPF optimisé, validé par test, pour assurer une délivrabilité maximale dès la première campagne.

En résumé

  • SPF vérifie que les serveurs qui envoient vos emails sont autorisés.
  • Il s’active via un simple enregistrement DNS.
  • Il est indispensable pour éviter le spam et protéger votre nom de domaine.
  • Il doit être mis à jour à chaque nouvel outil d’envoi.
  • Il fonctionne de pair avec DKIM et DMARC pour une protection complète.