Dernière mise à jour : juillet 2026

En bref : après ce guide, ton domaine publie un enregistrement SPF correct. Les serveurs de messagerie destinataires peuvent alors reconnaître quels serveurs sont autorisés à envoyer en ton nom — et écarter les expéditeurs falsifiés.

Prérequis

  • Un domaine dans le portefeuille united-domains
  • Savoir clairement si ta messagerie passe par le système de messagerie united-domains ou par tes propres serveurs

Qu’est-ce que SPF ?

SPF (Sender Policy Framework) est un enregistrement TXT dans le DNS de ton domaine. Il liste les serveurs de messagerie autorisés à envoyer des e-mails avec ton domaine comme expéditeur. Les serveurs destinataires consultent l’enregistrement à chaque message entrant et vérifient si le serveur qui livre le message figure sur la liste. Sans SPF, n’importe quel serveur peut envoyer des e-mails en ton nom — et tes e-mails légitimes finissent plus vite dans les spams, car les grands destinataires comme Gmail attendent désormais tout simplement SPF.

Pour situer les choses : SPF seul n’est pas une protection complète. Ce n’est qu’associé à DKIM et DMARC qu’il devient une base solide. Mais SPF est le point d’entrée le plus simple.

Le point de départ chez united-domains

united-domains rend cela le plus pratique de tous : dans la gestion du domaine, sous Sécurité e-mail, il y a un vrai interrupteur SPF. Un clic, et l’entrée TXT est placée immédiatement dans le DNS united-domains. Pour les domaines nouvellement enregistrés, SPF est même actif automatiquement.

Le piège est dans les petits caractères : l’interrupteur ne convient que si ton trafic e-mail passe par le système de messagerie united-domains. Si tu utilises tes propres serveurs de messagerie ou ceux d’un tiers, united-domains met lui-même en garde contre des « effets indésirables » — il te faut alors le chemin manuel (étape 4).

Guide étape par étape

1. Vérifier si SPF est déjà actif

Chez united-domains en particulier, cela vaut la peine de vérifier au préalable — les nouveaux domaines ont déjà SPF activé :

dig TXT example.com +short | grep spf1

Si un enregistrement avec v=spf1 revient, ton domaine publie déjà SPF. Autre possibilité : entre ton domaine dans le scanner MXAudit gratuit — il vérifie en même temps la syntaxe de l’enregistrement et les limites de lookups.

2. Ouvrir Sécurité e-mail

Commence sur united-domains.de, clique en haut à droite sur l’icône utilisateur et connecte-toi. Clique sur le symbole e-mail à côté de ton domaine, puis sous E-mail clique sur Sécurité e-mail.

3. Activer SPF

Plus bas, tu trouves la section statut Sender Policy Framework (SPF). Clique sur Activer SPF — l’entrée TXT est placée immédiatement dans le DNS. C’est tout, si ta messagerie passe par united-domains.

4. Tes propres serveurs de messagerie ou externes ? Le chemin manuel

Si tu envoies via tes propres serveurs mais veux en plus autoriser l’envoi via les serveurs de messagerie united-domains, united-domains documente cette entrée :

v=spf1 include:_smtp.udag.de -all

L’include pointe vers un seul réseau IPv4 (62.146.106.0/24) et coûte exactement un lookup DNS. En pratique, tu le combines avec tes autres sources d’envoi — le tout dans un seul enregistrement, par exemple :

v=spf1 include:_smtp.udag.de include:spf.newsletter-dienst.de ~all

Il ne peut y avoir qu’un seul enregistrement SPF par domaine. Deux entrées TXT avec v=spf1 provoquent un permerror — c’est pire que pas de SPF du tout.

5. Attendre que la modification soit en ligne

L’entrée atterrit immédiatement dans le DNS united-domains ; à cause de la mise en cache, il peut quand même s’écouler quelques heures avant que chaque serveur dans le monde voie le nouvel enregistrement.

Les composants en détail

ComposantSignification
v=spf1identifiant de version, toujours au début
include:_smtp.udag.deautorise les serveurs de messagerie united-domains (un réseau IPv4 /24, 1 lookup)
-allhardfail : les serveurs non listés sont rejetés
~allsoftfail : la variante plus douce — utile tant que tu mets encore de l’ordre dans tes chemins d’envoi

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il montre immédiatement si ton enregistrement SPF est syntaxiquement correct et combien de lookups DNS il consomme (la limite est de 10).

Ou directement dans le terminal :

dig TXT example.com +short | grep spf1

La sortie doit contenir exactement un enregistrement avec v=spf1.

Erreurs fréquentes

Interrupteur SPF activé, mais la messagerie passe ailleurs. Le bouton autorise le système de messagerie united-domains. Si tu envoies via tes propres serveurs ou ceux d’un tiers, united-domains met lui-même en garde contre des effets indésirables — tes e-mails peuvent alors être rejetés. Dans ce cas : désactive-le, enregistrement manuel avec tes vraies sources.

Deux enregistrements SPF. Un interrupteur activé plus une entrée TXT créée manuellement avec v=spf1 donne deux enregistrements — permerror. Choisis un seul chemin.

Oublier que les nouveaux domaines ont déjà SPF. united-domains active SPF automatiquement à chaque nouvel enregistrement. Ajouter ton propre enregistrement sans le savoir produit l’erreur de double enregistrement ci-dessus. Vérifie d’abord (étape 1), puis modifie.

+all à la fin. Un +all autorise n’importe quel serveur à envoyer et rend tout l’enregistrement inutile — ne le copie pas.

Le transfert échoue. Si un destinataire fait suivre automatiquement ton e-mail, SPF échoue souvent chez le destinataire final — le serveur de transfert ne figure pas dans ton enregistrement. C’est une faiblesse de conception de SPF, pas une erreur de configuration ; DKIM et DMARC couvrent ce cas.

Pour aller plus loin