Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie un enregistrement SPF correct. Les serveurs de messagerie destinataires peuvent alors reconnaître quels serveurs sont autorisés à envoyer en ton nom — et écarter les expéditeurs falsifiés.
Prérequis
- Un domaine chez checkdomain avec les serveurs de noms checkdomain actifs
- L’accès à l’espace client (numéro de client ou adresse e-mail)
Qu’est-ce que SPF ?
SPF (Sender Policy Framework) est un enregistrement TXT dans le DNS de ton domaine. Il liste les serveurs de messagerie autorisés à envoyer des e-mails avec ton domaine comme expéditeur. Les serveurs destinataires consultent l’enregistrement à chaque message entrant et vérifient si le serveur qui livre le message figure sur la liste. Sans SPF, n’importe quel serveur peut envoyer des e-mails en ton nom — et tes e-mails légitimes finissent plus vite dans les spams, car les grands destinataires comme Gmail attendent désormais tout simplement SPF.
Pour situer les choses : SPF seul n’est pas une protection complète. Ce n’est qu’associé à DKIM et DMARC qu’il devient une base solide. Mais SPF est le point d’entrée le plus simple.
Le point de départ chez checkdomain
checkdomain ne propose pas d’interrupteur SPF prêt à l’emploi : tu crées l’enregistrement toi-même sous forme d’entrée TXT, cachée dans la zone Réglages pro de la gestion des serveurs de noms. Deux particularités issues du guide officiel :
- La valeur se saisit sans guillemets (d’autres fournisseurs — Hetzner par exemple — exigent exactement l’inverse ; ne copie pas aveuglément depuis d’autres guides).
- checkdomain souligne explicitement que la gestion des serveurs de noms relève de ta propre responsabilité — des entrées erronées perturbent la distribution du courrier.
L’exemple documenté par checkdomain est l’enregistrement classique basé sur mx :
v=spf1 mx -all
Le mécanisme mx autorise les serveurs derrière tes enregistrements MX. Si tes boîtes mail tournent chez checkdomain (donc ton MX pointe vers des serveurs checkdomain), cette seule entrée les couvre automatiquement.
Guide étape par étape
1. Vérifier si SPF est déjà actif
Le plus rapide, via le terminal :
dig TXT example.com +short | grep spf1
Si un enregistrement avec v=spf1 revient, ton domaine publie déjà SPF. Autre possibilité : entre ton domaine dans le scanner MXAudit gratuit — il vérifie en même temps la syntaxe de l’enregistrement et les limites de lookups.
2. Ouvrir l’espace client
Ouvre www.checkdomain.de, clique en haut à droite sur Mon accès et choisis Espace client. Connecte-toi avec ton numéro de client ou ton adresse e-mail.
3. Naviguer vers la configuration du domaine
Dans la navigation de gauche, clique sur Domaines, trouve ton domaine et clique sur Configuration. Sur la page de détail, ouvre Serveur de noms Checkdomain.
4. Définir l’entrée SPF dans les réglages pro
Ouvre la zone Réglages pro et crée une entrée TXT pour le domaine. Saisis la valeur SPF sans guillemets :
v=spf1 mx -all
Vérifie la valeur et clique sur Enregistrer. Important : il ne peut y avoir qu’une seule entrée SPF par domaine — si un enregistrement TXT avec v=spf1 existe déjà, modifie-le au lieu d’en créer un second.
5. Ajouter des expéditeurs supplémentaires (si nécessaire)
Si tu envoies aussi via d’autres services — outil de newsletter, CRM, système de boutique — leurs serveurs doivent aussi figurer dans l’enregistrement. Tu trouveras la valeur include nécessaire dans la documentation du service en question (cherche « SPF ») :
v=spf1 mx include:spf.newsletter-dienst.de ~all
6. Attendre que la modification soit en ligne
Selon checkdomain, la modification est généralement enregistrée en quelques secondes ; jusqu’à ce qu’elle soit totalement visible dans le monde entier, cela peut prendre jusqu’à 48 heures.
Les composants en détail
| Composant | Signification |
|---|---|
v=spf1 | identifiant de version, toujours au début |
mx | autorise les serveurs derrière les enregistrements MX de ton domaine |
include: | autorise les serveurs d’un service externe (1 lookup DNS par include) |
-all | hardfail : les serveurs non listés sont rejetés |
~all | softfail : la variante plus douce — utile tant que tu mets encore de l’ordre dans tes chemins d’envoi |
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il montre immédiatement si ton enregistrement SPF est syntaxiquement correct et combien de lookups DNS il consomme (la limite est de 10).
Ou directement dans le terminal :
dig TXT example.com +short | grep spf1
La sortie doit contenir exactement un enregistrement avec v=spf1.
Erreurs fréquentes
Guillemets copiés par erreur. Chez checkdomain, la valeur va dans le champ sans guillemets. Copier "v=spf1 mx -all" avec les guillemets depuis le guide de quelqu’un d’autre crée un enregistrement cassé.
Deux enregistrements SPF. Deux entrées TXT avec v=spf1 provoquent un permerror — les serveurs destinataires ignorent alors totalement SPF. Toutes les sources doivent tenir dans un seul enregistrement.
mx ne couvre pas tous les chemins d’envoi. L’enregistrement d’exemple n’autorise que les serveurs de tes enregistrements MX. Si un système de boutique ou un formulaire d’envoi expédie depuis ailleurs, il faut des ajouts include: ou ip4:.
+all à la fin. Un +all autorise n’importe quel serveur à envoyer et rend tout l’enregistrement inutile — ne le copie pas.
Le transfert échoue. Si un destinataire fait suivre automatiquement ton e-mail, SPF échoue souvent chez le destinataire final — le serveur de transfert ne figure pas dans ton enregistrement. C’est une faiblesse de conception de SPF, pas une erreur de configuration ; DKIM et DMARC couvrent ce cas.
Pour aller plus loin
- Support checkdomain : Comment définir une entrée SPF ? (en allemand) (consulté le 10 juillet 2026)
- RFC 7208 — Sender Policy Framework (SPF)
