Dernière mise à jour : juillet 2026

En bref : Les symboles (+, -, ~, ?) qui précèdent les mécanismes dans un enregistrement SPF s’appellent des qualificateurs. Placés devant le mécanisme all à la fin de ton enregistrement, ils dictent la façon dont les serveurs destinataires traitent les e-mails non authentifiés.

Un enregistrement SPF (Sender Policy Framework) évalue les mécanismes de gauche à droite. Si un e-mail entrant ne correspond à aucun terme spécifique comme ip4 ou include, l’évaluation atteint le mécanisme all tout à la fin de l’enregistrement, qui correspond à n’importe quelle adresse IP. Le qualificateur précédant ce all indique au serveur destinataire le résultat d’évaluation final (check_host()) à renvoyer.

Les quatre qualificateurs expliqués

Selon le RFC 7208, il existe quatre qualificateurs possibles et leurs résultats d’évaluation correspondants :

  • + pass
  • - fail
  • ~ softfail
  • ? neutral

Le qualificateur est optionnel et vaut par défaut + (ce qui signifie qu’un mécanisme écrit simplement a se comporte comme +a).

1. Hardfail (-all)

Un enregistrement se terminant par -all :

v=spf1 -all

renvoie un résultat fail. Selon le RFC 7208, un résultat fail est une déclaration explicite que le client n’est pas autorisé à utiliser le domaine sous l’identité fournie. Les serveurs de messagerie destinataires rejettent généralement les messages renvoyant fail directement lors de la transaction SMTP, avant même d’accepter le message.

2. Softfail (~all)

Un enregistrement se terminant par ~all :

v=spf1 ~all

renvoie un résultat softfail. Selon le RFC 7208, un résultat softfail est une déclaration faible par laquelle l’organisation émettrice indique que l’hôte n’est probablement pas autorisé, mais que le domaine n’a pas publié une politique plus forte et plus définitive (fail). Les serveurs de messagerie acceptent généralement les messages en softfail mais les signalent comme suspects ou les dirigent vers le dossier spam. C’est la politique recommandée lors de la phase de test et de déploiement.

3. Neutral (?all)

Un enregistrement se terminant par ?all :

v=spf1 ?all

renvoie un résultat neutral. Selon le RFC 7208, un résultat neutral signifie que le domaine déclare explicitement qu’il n’affirme pas si l’adresse IP est autorisée ou non. Les serveurs destinataires traitent le message exactement comme si aucun enregistrement SPF n’existait pour cette adresse IP.

4. Pass (+all)

Un enregistrement se terminant par +all :

v=spf1 +all

renvoie un résultat pass pour tous les serveurs qui se connectent dans le monde entier. Selon le RFC 7208, un résultat pass est une déclaration explicite que le client est autorisé à injecter du courrier. Ajouter +all à la fin de ton enregistrement permet à n’importe quel serveur sur Internet d’envoyer des e-mails en ton nom, anéantissant totalement la protection SPF de ton domaine.

Zéro requête DNS pour all

Détail architectural clé : le mécanisme all ne consomme aucune requête DNS. Selon le RFC 7208, les mécanismes all, ip4 et ip6, ainsi que le modificateur exp, ne provoquent pas de requêtes DNS lors de l’évaluation et ne sont pas soumis à la limite des 10 requêtes.

Cependant, garde à l’esprit qu’un domaine ne doit jamais publier plusieurs enregistrements SPF distincts. Publier plus d’un enregistrement pour un seul nom de domaine déclenche immédiatement un permerror lors de l’évaluation, quels que soient les qualificateurs utilisés.

Vérifier ta configuration

Pour vérifier quel qualificateur ton domaine applique et confirmer que ton enregistrement SPF ne contient aucune erreur de syntaxe, scanne ton domaine avec le scanner gratuit MXAudit.

Pour des guides techniques approfondis et des tutoriels par hébergeur, explore le hub SPF et nos guides pratiques comme la configuration SPF chez IONOS.

Pour aller plus loin