Dernière mise à jour : juillet 2026
En bref : Le mécanisme
includedans un enregistrement SPF importe la politique d’autorisation d’un autre domaine. Il est conçu pour permettre à des services tiers d’envoyer des e-mails en ton nom, mais chaque vérification consomme des requêtes DNS.
Lorsque tes e-mails ne proviennent pas uniquement de ton serveur de messagerie principal ou de ton hébergeur, mais aussi d’outils de newsletter, de plateformes CRM ou de systèmes de facturation cloud, tu dois autoriser ces flux d’envoi dans ton enregistrement SPF (Sender Policy Framework). Le mécanisme include est conçu exactement pour cet usage.
Comment fonctionne le mécanisme include
Selon le RFC 7208, un include déclenche une évaluation récursive : le serveur de messagerie destinataire suspend l’évaluation de l’enregistrement de ton domaine et lance une évaluation check_host() complète sur l’enregistrement SPF du domaine cible.
Un enregistrement SPF typique avec un include ressemble à ceci :
v=spf1 include:_spf.example.com ~all
Ou, lorsque tu autorises plusieurs services d’envoi externes :
v=spf1 include:_spf.example.com include:spf.example.net ~all
Si l’évaluation du domaine inclus renvoie pass (parce que l’adresse IP du serveur de connexion correspond à la politique de la cible), ce résultat pass s’applique immédiatement à ton enregistrement. Si l’enregistrement inclus ne renvoie pas pass, le serveur destinataire continue simplement de vérifier les mécanismes restants dans ton enregistrement jusqu’à atteindre ton qualificateur ~all ou -all.
Quand utiliser include (et quand l’éviter)
D’après le standard, le mécanisme include est destiné à franchir des frontières administratives. Lorsqu’un prestataire de services externe (comme un service d’e-mail marketing ou une suite cloud comme Microsoft 365) exploite des serveurs sur des adresses IP qui changent fréquemment, ce prestataire maintient son propre enregistrement SPF centralisé. Utiliser include permet de pointer directement vers sa politique dynamique sans exiger de mises à jour manuelles dans ta zone DNS chaque fois que son infrastructure évolue.
Lorsque l’on reste sous une seule et même autorité administrative (par exemple pour structurer tes propres serveurs internes), include n’est généralement pas le meilleur choix. Pour autoriser des adresses IP sous ton contrôle administratif direct, les mécanismes directs comme ip4 ou ip6 sont plus efficaces et plus fiables.
La limite des 10 requêtes DNS et l’erreur permerror
Une contrainte critique lors de l’utilisation de include est la limite de requêtes DNS. Le RFC 7208 spécifie que certains mécanismes et modificateurs (appelés collectivement “termes”) provoquent des requêtes DNS lors de l’évaluation : en particulier include, a, mx, ptr et exists, ainsi que le modificateur redirect.
Les implémentations SPF doivent limiter le nombre total de ces termes à 10 requêtes au cours de l’évaluation afin d’éviter une surcharge excessive sur le système de noms de domaine (DNS). Si cette limite est dépassée, le serveur destinataire interrompt immédiatement l’évaluation et renvoie un permerror (erreur permanente). Par conséquent, ton e-mail est souvent considéré comme non authentifié et se trouve rejeté ou dirigé vers les spams.
Étant donné que chaque include coûte au moins une requête DNS — et que le domaine inclus peut lui-même contenir d’autres mécanismes include imbriqués — le budget des 10 requêtes s’épuise très vite. En revanche, les termes comme ip4, ip6 et all ne provoquent aucune requête DNS lors de l’évaluation et ne sont pas soumis à cette limite.
Vérifier ta configuration
Parce qu’un domaine ne doit jamais publier plusieurs enregistrements SPF distincts (ce qui provoquerait également un permerror immédiat), tu dois regrouper tous tes include nécessaires au sein d’un seul enregistrement TXT unifié.
Vérifie ta configuration avec le scanner gratuit MXAudit. Il valide la syntaxe SPF, contrôle toutes les cibles importées et compte le nombre exact de requêtes DNS consommées par tes déclarations include imbriquées.
Pour des conseils complets sur la construction de ton enregistrement ou l’intégration de fournisseurs spécifiques, consulte le hub SPF et suis nos guides pratiques comme la configuration SPF chez IONOS.
Pour aller plus loin
- RFC 7208 — Sender Policy Framework (SPF) (consulté le 17 juillet 2026)