Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie un enregistrement SPF correct. Les serveurs de messagerie destinataires peuvent alors reconnaître quels serveurs sont autorisés à envoyer en ton nom — et écarter les expéditeurs falsifiés.
Prérequis
- Un pack Strato avec au moins un domaine
- L’accès à l’espace client Strato
Qu’est-ce que SPF ?
SPF (Sender Policy Framework) est un enregistrement TXT dans le DNS de ton domaine. Il liste les serveurs de messagerie autorisés à envoyer des e-mails avec ton domaine comme expéditeur. Les serveurs destinataires consultent l’enregistrement à chaque message entrant et vérifient si le serveur qui livre le message figure sur la liste. Sans SPF, n’importe quel serveur peut envoyer des e-mails au nom de ton domaine — et tes e-mails légitimes finissent plus vite dans les spams, car les grands destinataires comme Gmail attendent désormais tout simplement SPF.
Pour situer les choses : SPF seul n’est pas une protection complète. Ce n’est qu’associé à DKIM et DMARC qu’il devient une base solide. Mais SPF est le point d’entrée le plus simple.
Le point de départ chez Strato
Strato gère SPF différemment de beaucoup de fournisseurs : dans les paramètres DNS, il y a des règles SPF prédéfinies que tu actives d’un clic — la plus importante s’appelle Standard STRATO Mailserver. Tu peux aussi créer une règle TXT personnalisée.
Un mot sur la documentation de Strato, car elle prête à confusion ici : la FAQ DNS indique que dans la plupart des cas le réglage « Keine STRATO SPF-Regel » (aucune règle SPF STRATO) suffit — tandis que la FAQ de Strato sur les problèmes de distribution recommande de créer précisément un tel enregistrement SPF (par ex. « Standard STRATO Mailserver ») lorsque les e-mails finissent dans les spams. Notre recommandation est claire : publie l’enregistrement. Un enregistrement SPF absent est aujourd’hui un risque de distribution, pas un état normal.
Guide étape par étape
1. Vérifier si SPF est déjà actif
Le plus rapide, via le terminal :
dig TXT example.com +short | grep spf1
Si un enregistrement avec v=spf1 revient, ton domaine publie déjà SPF. Autre possibilité : entre ton domaine dans le scanner MXAudit gratuit — il vérifie en même temps la syntaxe de l’enregistrement et les limites de lookups.
2. Ouvrir les paramètres DNS
Connecte-toi à l’espace client Strato et choisis Domaines → Domainverwaltung (gestion des domaines). Dans l’aperçu des domaines, clique sur l’icône d’engrenage à côté de ton domaine et ouvre l’onglet DNS.
3. Activer la règle SPF prédéfinie
Dans les paramètres SPF, choisis la règle prédéfinie Standard STRATO Mailserver. Cela autorise les serveurs de messagerie Strato — le bon choix tant que tu envoies exclusivement via Strato (webmail ou boîtes IMAP/SMTP).
Les options Fail et Softfail contrôlent la sévérité avec laquelle les serveurs non autorisés sont traités ; Strato recommande Fail lorsque tu utilises un serveur de messagerie alternatif avec ton propre enregistrement MX.
4. Serveurs de noms propres ou zone DNS externe ?
Si tu as défini tes propres serveurs de noms mais utilises toujours la messagerie d’hébergement mutualisé de Strato (le MX pointe vers Strato), tu dois maintenir l’enregistrement SPF toi-même. Strato documente exactement cette valeur :
v=spf1 redirect=_spf.strato.com
Le redirect= signifie que ton domaine adopte entièrement la politique SPF de _spf.strato.com — y compris son strict -all (hardfail) à la fin. La référence coûte exactement un lookup DNS ; derrière se cache une liste plate des plages IPv4 et IPv6 de Strato.
5. Ajouter des expéditeurs supplémentaires (si nécessaire)
Si tu envoies aussi via d’autres services — outil de newsletter, CRM, système de boutique — le montage redirect= ne convient plus : un redirect délègue toute la politique et ne peut pas être combiné avec d’autres sources. Dans ce cas, passe à la forme include et ajoute tes services :
v=spf1 include:_spf.strato.com include:spf.newsletter-dienst.de ~all
Important : il ne peut y avoir qu’un seul enregistrement SPF par domaine. Deux enregistrements TXT avec v=spf1 provoquent un permerror — les serveurs destinataires ignorent alors totalement SPF. C’est pire que pas de SPF du tout.
6. Attendre que la modification soit en ligne
Les modifications DNS prennent du temps : selon le TTL et la mise en cache, il peut s’écouler quelques heures avant que chaque serveur dans le monde voie le nouvel enregistrement.
Les composants en détail
| Composant | Signification |
|---|---|
v=spf1 | identifiant de version, toujours au début |
redirect=_spf.strato.com | adopte toute la politique SPF de Strato (plages IPv4 et IPv6, se termine par -all) |
include:_spf.strato.com | autorise les serveurs Strato, mais peut être combiné avec d’autres sources et ta propre terminaison ~all/-all |
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il montre immédiatement si ton enregistrement SPF est syntaxiquement correct et combien de lookups DNS il consomme (la limite est de 10).
Ou directement dans le terminal :
dig TXT example.com +short | grep spf1
La sortie doit contenir exactement un enregistrement avec v=spf1.
Erreurs fréquentes
Deux enregistrements SPF. Deux entrées TXT avec v=spf1 mènent à un permerror. Toutes les sources doivent tenir dans un seul enregistrement.
redirect= combiné avec d’autres mécanismes. Un redirect= n’est évalué que si aucun mécanisme n’a matché avant lui. Si un ~all ou -all figure dans le même enregistrement, celui-ci prend toujours effet en premier — le redirect devient alors du poids mort. Soit redirect= seul, soit include: avec ta propre terminaison all.
Nom d’hôte complet dans le champ préfixe. Strato ajoute automatiquement le nom de domaine à la valeur du champ « Präfix » (préfixe). Si tu y saisis example.com, tu obtiens example.com.example.com — l’enregistrement atterrit au mauvais endroit. Ne saisis que la partie avant le domaine ; pour l’enregistrement SPF du domaine principal, laisse le champ vide.
+all à la fin. Un +all autorise n’importe quel serveur à envoyer et rend tout l’enregistrement inutile. On le voit encore dans de vieux posts de forum — ne le copie pas.
Le transfert échoue. Si un destinataire fait suivre automatiquement ton e-mail, SPF échoue souvent chez le destinataire final — le serveur de transfert ne figure pas dans ton enregistrement. C’est une faiblesse de conception de SPF, pas une erreur de configuration ; DKIM et DMARC couvrent ce cas.
Pour aller plus loin
- FAQ Strato : gérer les entrées DNS chez STRATO (en allemand ; consulté le 10 juillet 2026)
- FAQ Strato : les e-mails envoyés finissent dans le dossier spam (en allemand ; consulté le 10 juillet 2026)
- RFC 7208 — Sender Policy Framework (SPF)
