Dernière mise à jour : juillet 2026

En bref : après ce guide, ton domaine publie un enregistrement SPF correct. Les serveurs de messagerie destinataires peuvent alors reconnaître quels serveurs sont autorisés à envoyer en ton nom — et écarter les expéditeurs falsifiés.

Prérequis

  • Un domaine chez checkdomain avec les serveurs de noms checkdomain actifs
  • L’accès à l’espace client (numéro de client ou adresse e-mail)

Qu’est-ce que SPF ?

SPF (Sender Policy Framework) est un enregistrement TXT dans le DNS de ton domaine. Il liste les serveurs de messagerie autorisés à envoyer des e-mails avec ton domaine comme expéditeur. Les serveurs destinataires consultent l’enregistrement à chaque message entrant et vérifient si le serveur qui livre le message figure sur la liste. Sans SPF, n’importe quel serveur peut envoyer des e-mails en ton nom — et tes e-mails légitimes finissent plus vite dans les spams, car les grands destinataires comme Gmail attendent désormais tout simplement SPF.

Pour situer les choses : SPF seul n’est pas une protection complète. Ce n’est qu’associé à DKIM et DMARC qu’il devient une base solide. Mais SPF est le point d’entrée le plus simple.

Le point de départ chez checkdomain

checkdomain ne propose pas d’interrupteur SPF prêt à l’emploi : tu crées l’enregistrement toi-même sous forme d’entrée TXT, cachée dans la zone Réglages pro de la gestion des serveurs de noms. Deux particularités issues du guide officiel :

  • La valeur se saisit sans guillemets (d’autres fournisseurs — Hetzner par exemple — exigent exactement l’inverse ; ne copie pas aveuglément depuis d’autres guides).
  • checkdomain souligne explicitement que la gestion des serveurs de noms relève de ta propre responsabilité — des entrées erronées perturbent la distribution du courrier.

L’exemple documenté par checkdomain est l’enregistrement classique basé sur mx :

v=spf1 mx -all

Le mécanisme mx autorise les serveurs derrière tes enregistrements MX. Si tes boîtes mail tournent chez checkdomain (donc ton MX pointe vers des serveurs checkdomain), cette seule entrée les couvre automatiquement.

Guide étape par étape

1. Vérifier si SPF est déjà actif

Le plus rapide, via le terminal :

dig TXT example.com +short | grep spf1

Si un enregistrement avec v=spf1 revient, ton domaine publie déjà SPF. Autre possibilité : entre ton domaine dans le scanner MXAudit gratuit — il vérifie en même temps la syntaxe de l’enregistrement et les limites de lookups.

2. Ouvrir l’espace client

Ouvre www.checkdomain.de, clique en haut à droite sur Mon accès et choisis Espace client. Connecte-toi avec ton numéro de client ou ton adresse e-mail.

3. Naviguer vers la configuration du domaine

Dans la navigation de gauche, clique sur Domaines, trouve ton domaine et clique sur Configuration. Sur la page de détail, ouvre Serveur de noms Checkdomain.

4. Définir l’entrée SPF dans les réglages pro

Ouvre la zone Réglages pro et crée une entrée TXT pour le domaine. Saisis la valeur SPF sans guillemets :

v=spf1 mx -all

Vérifie la valeur et clique sur Enregistrer. Important : il ne peut y avoir qu’une seule entrée SPF par domaine — si un enregistrement TXT avec v=spf1 existe déjà, modifie-le au lieu d’en créer un second.

5. Ajouter des expéditeurs supplémentaires (si nécessaire)

Si tu envoies aussi via d’autres services — outil de newsletter, CRM, système de boutique — leurs serveurs doivent aussi figurer dans l’enregistrement. Tu trouveras la valeur include nécessaire dans la documentation du service en question (cherche « SPF ») :

v=spf1 mx include:spf.newsletter-dienst.de ~all

6. Attendre que la modification soit en ligne

Selon checkdomain, la modification est généralement enregistrée en quelques secondes ; jusqu’à ce qu’elle soit totalement visible dans le monde entier, cela peut prendre jusqu’à 48 heures.

Les composants en détail

ComposantSignification
v=spf1identifiant de version, toujours au début
mxautorise les serveurs derrière les enregistrements MX de ton domaine
include:autorise les serveurs d’un service externe (1 lookup DNS par include)
-allhardfail : les serveurs non listés sont rejetés
~allsoftfail : la variante plus douce — utile tant que tu mets encore de l’ordre dans tes chemins d’envoi

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il montre immédiatement si ton enregistrement SPF est syntaxiquement correct et combien de lookups DNS il consomme (la limite est de 10).

Ou directement dans le terminal :

dig TXT example.com +short | grep spf1

La sortie doit contenir exactement un enregistrement avec v=spf1.

Erreurs fréquentes

Guillemets copiés par erreur. Chez checkdomain, la valeur va dans le champ sans guillemets. Copier "v=spf1 mx -all" avec les guillemets depuis le guide de quelqu’un d’autre crée un enregistrement cassé.

Deux enregistrements SPF. Deux entrées TXT avec v=spf1 provoquent un permerror — les serveurs destinataires ignorent alors totalement SPF. Toutes les sources doivent tenir dans un seul enregistrement.

mx ne couvre pas tous les chemins d’envoi. L’enregistrement d’exemple n’autorise que les serveurs de tes enregistrements MX. Si un système de boutique ou un formulaire d’envoi expédie depuis ailleurs, il faut des ajouts include: ou ip4:.

+all à la fin. Un +all autorise n’importe quel serveur à envoyer et rend tout l’enregistrement inutile — ne le copie pas.

Le transfert échoue. Si un destinataire fait suivre automatiquement ton e-mail, SPF échoue souvent chez le destinataire final — le serveur de transfert ne figure pas dans ton enregistrement. C’est une faiblesse de conception de SPF, pas une erreur de configuration ; DKIM et DMARC couvrent ce cas.

Pour aller plus loin