Dernière mise à jour : juillet 2026

En bref : après ce guide, ton domaine a un enregistrement SPF correct dans le LiveDNS de Gandi. Les serveurs destinataires savent alors quels serveurs ont le droit d’envoyer en ton nom — et peuvent écarter les expéditeurs falsifiés.

Prérequis

  • Un domaine chez Gandi utilisant Gandi LiveDNS (les serveurs de noms par défaut)
  • Accès à ton compte Gandi (admin.gandi.net)

Qu’est-ce que SPF ?

SPF (Sender Policy Framework) est un enregistrement TXT dans le DNS de ton domaine. Gandi le dit simplement : il partage publiquement quelles adresses IP sont autorisées à envoyer des e-mails depuis ton nom de domaine. Les serveurs destinataires consultent l’enregistrement à chaque message entrant et vérifient si le serveur qui livre figure sur la liste. Sans SPF, n’importe quel serveur peut envoyer du courrier au nom de ton domaine — une porte ouverte au phishing. Sans enregistrement, tes e-mails finissent aussi plus vite en spam : Gmail et les autres grands destinataires attendent désormais SPF, tout simplement.

Pour situer : SPF seul n’est pas une protection complète. Ce n’est qu’avec DKIM et DMARC que cela devient une base solide. Mais SPF est la porte d’entrée la plus simple.

Le point de départ chez Gandi

Gandi est à la fois un registrar avec LiveDNS et un hébergeur de boîtes mail (Gandi Mail). Si tu envoies via les serveurs de messagerie de Gandi, tu publies un enregistrement SPF qui les autorise avec un seul include. Contrairement à DKIM, SPF n’est pas activé automatiquement — tu ajoutes l’enregistrement TXT toi-même. La valeur dépend de ta façon d’envoyer :

  • Gandi Mail (boîtes chez Gandi) → l’include mail
  • Hébergement web Gandi qui envoie du courrier (p. ex. un formulaire de contact) → l’include hébergement web
  • les deux → un enregistrement combiné

Guide étape par étape

1. Vérifier si SPF est déjà actif

Le plus rapide, dans le terminal :

dig TXT example.com +short | grep spf1

Si un enregistrement avec v=spf1 revient, SPF est actif. Sinon, passe ton domaine dans le scanner MXAudit gratuit — il vérifie en même temps la syntaxe et la limite de lookups.

2. Ouvrir les enregistrements DNS dans LiveDNS

Connecte-toi sur admin.gandi.net, clique sur Domain dans le menu de gauche, puis sur le nom de domaine à gérer. Ouvre l’onglet DNS Records.

3. Ajouter l’enregistrement SPF

Clique sur le bouton vert Add au-dessus du tableau pour ajouter un enregistrement. Choisis le type TXT, mets le nom à @ (le domaine nu) et saisis la valeur qui correspond à ton installation.

Si tu envoies du courrier via les serveurs de messagerie de Gandi :

v=spf1 include:_mailcust.gandi.net ?all

Si tu as un site hébergé chez Gandi Web Hosting qui envoie des e-mails :

v=spf1 include:_spf.gpaas.net ?all

Si tu utilises à la fois Gandi Mail et un site hébergé chez Gandi qui envoie des e-mails, combine-les dans un seul enregistrement :

v=spf1 include:_mailcust.gandi.net include:_spf.gpaas.net ?all

L’include hébergement web n’est nécessaire que si tu prévois d’envoyer des e-mails via ton site (par un formulaire de contact, par exemple). Si ton site n’envoie jamais de courrier, laisse-le de côté.

4. Ajouter d’autres expéditeurs (si nécessaire)

Si tu envoies aussi via d’autres services — outil de newsletter, CRM, boutique — leurs serveurs doivent aussi figurer dans l’enregistrement. Tu trouveras la valeur include dans la doc du service concerné (cherche « SPF »). Édite l’enregistrement TXT existant et ajoute le nouvel include avant le ?all :

v=spf1 include:_mailcust.gandi.net include:spf.newsletter-dienst.de ?all

Important : il ne peut y avoir qu’un seul enregistrement SPF par domaine. Deux enregistrements TXT avec v=spf1 produisent un permerror — les serveurs destinataires ignorent alors SPF complètement. C’est pire que pas de SPF du tout.

5. Attendre que la modification soit en ligne

Dans LiveDNS, un nouvel enregistrement est appliqué en temps réel, mais à cause du cache DNS cela peut prendre quelques heures — Gandi indique que les changements peuvent mettre jusqu’à 72 heures à s’appliquer partout.

Les composants en détail

ComposantSignification
v=spf1identifiant de version, toujours au début
include:_mailcust.gandi.netautorise les serveurs de messagerie de Gandi
include:_spf.gpaas.netautorise Gandi Web Hosting (seulement si ton site envoie du courrier)
?allneutre : les autres serveurs ne sont ni validés ni rejetés

Les enregistrements prêts à l’emploi de Gandi se terminent en ?all (neutre). Plus strict : ~all (softfail) ou -all (hardfail), où les serveurs non listés sont traités comme suspects ou rejetés d’office. Ne durcis en -all que lorsque tu es sûr que toutes tes voies d’envoi figurent dans l’enregistrement — sinon tu perds du courrier légitime.

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre immédiatement si ton enregistrement SPF est syntaxiquement correct et combien de lookups DNS il consomme (la limite est de 10).

Ou directement dans le terminal :

dig TXT example.com +short | grep spf1

La sortie doit contenir exactement un enregistrement avec v=spf1.

Erreurs fréquentes

Deux enregistrements SPF. Deux entrées TXT avec v=spf1 produisent un permerror. Toutes les déclarations include vont dans un seul enregistrement.

Include hébergement web sans hébergement web. include:_spf.gpaas.net n’a sa place dans l’enregistrement que si un site hébergé chez Gandi envoie réellement du courrier. Sinon, laisse-le — c’est un lookup inutile.

Limite de lookups DNS dépassée. SPF autorise au maximum 10 lookups DNS par vérification. Chaque include:, a, mx, exists: et redirect= compte — y compris imbriqués. MXAudit compte les lookups pour toi.

+all à la fin. Un +all autorise n’importe quel serveur à envoyer et rend tout l’enregistrement inutile. Ne le copie pas depuis de vieux forums.

Les transferts échouent. Si un destinataire transfère automatiquement ton courrier, SPF échoue souvent chez le destinataire final — le serveur qui transfère ne figure pas dans ton enregistrement. C’est une faiblesse de conception de SPF, pas une erreur de configuration ; DKIM et DMARC rattrapent ce cas.

Pour aller plus loin