Dernière mise à jour : juillet 2026

En bref : après ce guide, ton domaine publie un enregistrement SPF correct. Les serveurs de messagerie destinataires peuvent alors reconnaître quels serveurs sont autorisés à envoyer en ton nom — et écarter les expéditeurs falsifiés.

Prérequis

  • Un pack All-Inkl avec au moins un domaine
  • L’accès au KAS (administration technique)

Qu’est-ce que SPF ?

SPF (Sender Policy Framework) est un enregistrement TXT dans le DNS de ton domaine. Il liste les serveurs de messagerie autorisés à envoyer des e-mails avec ton domaine comme expéditeur. Les serveurs destinataires consultent l’enregistrement à chaque message entrant et vérifient si le serveur qui livre le message figure sur la liste. Sans SPF, n’importe quel serveur peut envoyer des e-mails en ton nom — et tes e-mails légitimes finissent plus vite dans les spams, car les grands destinataires comme Gmail attendent désormais tout simplement SPF.

Pour situer les choses : SPF seul n’est pas une protection complète. Ce n’est qu’associé à DKIM et DMARC qu’il devient une base solide. Mais SPF est le point d’entrée le plus simple.

Le point de départ chez All-Inkl

Contrairement aux fournisseurs dotés d’interrupteurs SPF prêts à l’emploi, chez All-Inkl tu saisis l’enregistrement toi-même sous forme d’entrée TXT dans le KAS. La recommandation officielle d’All-Inkl est :

v=spf1 a mx include:spf.kasserver.com ~all

C’est une construction astucieuse : a et mx autorisent les serveurs vers lesquels ton domaine pointe déjà via ses enregistrements A/AAAA et MX — chez All-Inkl, c’est ton serveur KAS. L’include ajoute une adresse d’envoi centrale d’All-Inkl (actuellement exactement une adresse IPv4). Ainsi, l’enregistrement s’adapte automatiquement si ton pack migre vers un autre kasserver.

Guide étape par étape

1. Vérifier si SPF est déjà actif

Le plus rapide, via le terminal :

dig TXT example.com +short | grep spf1

Si un enregistrement avec v=spf1 revient, ton domaine publie déjà SPF. Autre possibilité : entre ton domaine dans le scanner MXAudit gratuit — il vérifie en même temps la syntaxe de l’enregistrement et les limites de lookups.

2. Ouvrir les paramètres DNS dans le KAS

Connecte-toi au KAS (administration technique) et clique sur OutilsParamètres DNS. Modifie le domaine dont tu veux changer le DNS.

3. Créer (ou modifier) l’entrée TXT

Important : il ne peut y avoir qu’une seule entrée SPF par domaine — All-Inkl le précise lui-même. Si une entrée existe déjà, modifie-la ; n’en crée pas une seconde.

Si l’entrée manque, clique sur créer une nouvelle entrée DNS et remplis le formulaire ainsi :

ChampValeur
Nom(laisser vide)
TypeTXT (SPF)
Prio0
Donnéesv=spf1 a mx include:spf.kasserver.com ~all

Puis enregistre — l’entrée apparaît ensuite dans le tableau.

4. Forfait sans édition DNS ?

Si le message « Ces paramètres DNS ne sont malheureusement pas possibles dans votre forfait » apparaît, il existe une solution de contournement : via Réinitialiser la zone, All-Inkl crée automatiquement l’entrée SPF par défaut (v=spf1 a mx include:spf.kasserver.com ~all).

Attention : réinitialiser la zone rétablit complètement les paramètres DNS du domaine à leur valeur par défaut — toutes les entrées supplémentaires que tu avais sont supprimées. Si tu as défini tes propres enregistrements (par ex. pour des services externes), note-les d’abord.

5. Ajouter des expéditeurs supplémentaires (si nécessaire)

Si tu envoies aussi via d’autres services — outil de newsletter, CRM, système de boutique — leurs serveurs doivent aussi figurer dans l’enregistrement. Tu trouveras la valeur include nécessaire dans la documentation du service en question (cherche « SPF »). Modifie l’entrée existante et ajoute l’include avant le ~all :

v=spf1 a mx include:spf.kasserver.com include:spf.newsletter-dienst.de ~all

6. Attendre que la modification soit en ligne

Les modifications DNS prennent du temps : selon le TTL et la mise en cache, il peut s’écouler quelques heures avant que chaque serveur dans le monde voie le nouvel enregistrement.

Les composants en détail

ComposantSignification
v=spf1identifiant de version, toujours au début
aautorise les serveurs derrière l’enregistrement A/AAAA de ton domaine
mxautorise les serveurs derrière l’enregistrement MX de ton domaine
include:spf.kasserver.comautorise l’adresse d’envoi centrale d’All-Inkl
~allsoftfail : tous les autres serveurs sont considérés comme suspects, mais l’e-mail est généralement quand même accepté

a, mx et include coûtent chacun un lookup DNS — l’entrée par défaut consomme donc trois des dix lookups autorisés au maximum.

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il montre immédiatement si ton enregistrement SPF est syntaxiquement correct et combien de lookups DNS il consomme.

Ou directement dans le terminal :

dig TXT example.com +short | grep spf1

La sortie doit contenir exactement un enregistrement avec v=spf1.

Erreurs fréquentes

Deux enregistrements SPF. Deux entrées TXT avec v=spf1 provoquent un permerror — les serveurs destinataires ignorent alors totalement SPF. Le guide d’All-Inkl le souligne explicitement : modifie l’entrée existante au lieu d’en créer une nouvelle.

Réinitialiser la zone sans sauvegarde. La solution pratique pour les petits forfaits supprime toutes les entrées DNS supplémentaires. Note d’abord tes enregistrements, puis réinitialise.

Le nom de domaine dans le champ Nom. Pour l’enregistrement SPF du domaine principal, le champ Nom reste vide — y saisir le domaine crée l’enregistrement au mauvais endroit.

+all à la fin. Un +all autorise n’importe quel serveur à envoyer et rend tout l’enregistrement inutile. On le voit encore dans de vieux posts de forum — ne le copie pas.

Le transfert échoue. Si un destinataire fait suivre automatiquement ton e-mail, SPF échoue souvent chez le destinataire final — le serveur de transfert ne figure pas dans ton enregistrement. C’est une faiblesse de conception de SPF, pas une erreur de configuration ; DKIM et DMARC couvrent ce cas.

Pour aller plus loin