Dernière mise à jour : juillet 2026

En bref : après ce guide, ton domaine dispose d’un enregistrement SPF correct. Les serveurs de messagerie destinataires peuvent alors reconnaître quels serveurs sont autorisés à envoyer en ton nom — et écarter les expéditeurs falsifiés.

Prérequis

  • Un contrat IONOS avec au moins un domaine
  • L’accès à ton compte IONOS (login.ionos.de)

Qu’est-ce que SPF ?

SPF (Sender Policy Framework) est un enregistrement TXT dans le DNS de ton domaine. Il liste les serveurs de messagerie autorisés à envoyer des e-mails avec ton domaine comme expéditeur. Les serveurs destinataires consultent l’enregistrement à chaque message entrant et vérifient si le serveur qui livre le message figure sur la liste. Sans SPF, n’importe quel serveur peut envoyer des e-mails en ton nom — une porte ouverte au phishing. Et si l’enregistrement manque, tes e-mails finissent plus vite dans les spams : Gmail et les autres grands destinataires attendent désormais tout simplement SPF.

Pour situer les choses : SPF seul n’est pas une protection complète. Ce n’est qu’associé à DKIM et DMARC qu’il devient une base solide. Mais SPF est le point d’entrée le plus simple.

Le point de départ chez IONOS

La bonne nouvelle d’abord : SPF IONOS est activé par défaut pour chaque domaine hébergé chez IONOS. Si ton domaine et tes boîtes mail sont chez IONOS, l’enregistrement existe généralement déjà — IONOS le maintient comme une entrée prédéfinie. Ton travail consiste donc surtout à vérifier qu’il est bien là. Tu dois intervenir si l’enregistrement manque, si ta zone DNS est chez un autre fournisseur, ou si des services supplémentaires doivent envoyer en ton nom.

Guide étape par étape

1. Vérifier si SPF est déjà actif

Le plus rapide, via le terminal :

dig TXT example.com +short | grep spf1

Si un enregistrement avec v=spf1 revient, SPF est actif. Autre possibilité : entre ton domaine dans le scanner MXAudit gratuit — il vérifie en même temps la syntaxe de l’enregistrement et les limites de lookups.

Dans le compte IONOS, tu vois l’entrée dans l’aperçu DNS de ton domaine avec la mention de service SPF.

2. Ouvrir la gestion DNS

Connecte-toi sur login.ionos.de et clique sur MenuDomaines & SSL dans la barre de titre de ton compte. Dans l’aperçu des domaines, clique sur les trois points à côté de ton domaine → DNS.

3. Activer SPF IONOS (si l’enregistrement manque)

Clique sur Ajouter un enregistrement et choisis SPF IONOS (TXT) — puis Enregistrer.

Important : choisis bien SPF IONOS (TXT), et pas SPF (TXT). L’entrée SPF IONOS est prédéfinie et maintenue par IONOS ; avec l’entrée SPF générique, tu dois écrire toi-même la valeur et la tenir à jour.

Pratique : si un enregistrement SPF d’un autre service e-mail existe déjà pour le domaine, IONOS le fusionne automatiquement avec les serveurs IONOS lors de l’activation — les deux sont donc combinés au lieu de se bloquer mutuellement.

4. Domaine avec un autre fournisseur DNS ? (DNS externe)

Si tu utilises les boîtes mail IONOS mais gères ta zone DNS ailleurs (par ex. chez un hébergeur DNS pur), tu y crées toi-même un enregistrement TXT avec exactement cette valeur :

v=spf1 include:_spf-eu.ionos.com ~all

5. Ajouter des expéditeurs supplémentaires (si nécessaire)

Si tu envoies aussi via d’autres services — outil de newsletter, CRM, système de boutique — leurs serveurs doivent aussi figurer dans l’enregistrement. Tu trouveras la valeur include nécessaire dans la documentation du service en question (cherche « SPF »). Modifie l’enregistrement TXT existant et ajoute le nouveau include avant le ~all :

v=spf1 include:_spf-eu.ionos.com include:spf.newsletter-dienst.de ~all

Important : il ne peut y avoir qu’un seul enregistrement SPF par domaine. Deux enregistrements TXT avec v=spf1 provoquent un permerror — les serveurs destinataires ignorent alors totalement SPF. C’est pire que pas de SPF du tout.

6. Attendre que la modification soit en ligne

IONOS applique les modifications DNS généralement en 15 à 60 minutes. À cause de la mise en cache DNS, il peut s’écouler quelques heures avant que chaque serveur dans le monde voie le nouvel enregistrement.

Les composants en détail

ComposantSignification
v=spf1identifiant de version, toujours au début
include:_spf-eu.ionos.comautorise tous les serveurs de messagerie IONOS (plages IPv4 et IPv6) ; coûte exactement un lookup DNS
~allsoftfail : tous les autres serveurs sont considérés comme suspects, mais l’e-mail est généralement quand même accepté

À la place de ~all, tu peux utiliser -all (hardfail) — les serveurs non listés sont alors rejetés fermement. Ne fais cela qu’une fois certain que tous tes chemins d’envoi figurent dans l’enregistrement. Sinon, tu perdras des e-mails légitimes.

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il montre immédiatement si ton enregistrement SPF est syntaxiquement correct et combien de lookups DNS il consomme (la limite est de 10).

Ou directement dans le terminal :

dig TXT example.com +short | grep spf1

La sortie doit contenir exactement un enregistrement avec v=spf1.

Erreurs fréquentes

Deux enregistrements SPF. Deux entrées TXT avec v=spf1 provoquent un permerror. Toutes les instructions include doivent tenir dans un seul enregistrement.

Includes obsolètes issus d’anciens guides. Des guides avec include:_spf.kundenserver.de ou include:_spf.perfora.net — les anciens includes de 1&1 — circulent encore. Ils existent toujours, mais IONOS recommande actuellement include:_spf-eu.ionos.com pour l’Europe ; cet include couvre aussi les plages IPv6 qui manquent aux anciennes entrées.

Avoir choisi SPF (TXT) au lieu de SPF IONOS (TXT). Tu obtiens alors un formulaire TXT vide au lieu de l’entrée maintenue par IONOS — et tu dois suivre toi-même chaque changement de l’infrastructure d’IONOS.

Dépassement de la limite de lookups DNS. SPF autorise au maximum 10 lookups DNS par vérification. Chaque include:, a, mx, exists: et redirect= compte — y compris ceux imbriqués. L’include IONOS coûte un lookup ; si tu ajoutes beaucoup de services, tu atteins la limite plus vite que tu ne le crois. MXAudit compte les lookups pour toi.

+all à la fin. Un +all autorise n’importe quel serveur à envoyer et rend tout l’enregistrement inutile. On le voit encore dans de vieux posts de forum — ne le copie pas.

Le transfert échoue. Si un destinataire fait suivre automatiquement ton e-mail, SPF échoue souvent chez le destinataire final — le serveur de transfert ne figure pas dans ton enregistrement. C’est une faiblesse de conception de SPF, pas une erreur de configuration ; DKIM et DMARC couvrent ce cas.

Pour aller plus loin