Nous vous expliquons ici ce qu’est un enregistrement SPF de manière simple. Et nous vous apprenons à comprendre sa syntaxe à travers un exemple clair.

Un enregistrement SPF (Sender Policy Framework) permet de définir la liste des serveurs autorisés à envoyer des e-mails. Plus précisément, c’est un enregistrement (DNS domaine) qui fournit une liste d’adresses IP autorisées à envoyer des e-mails de la part d’un nom de domaine.

Pourquoi faire un enregistrement SPF peut-il être utile ?

Voici deux très bonnes raisons de faire un enregistrement Sender Policy Framework

La délivrabilité de vos e-mails peut être meilleure si le message parti d’un des serveurs listés dans l’enregistrement du destinataire est reconnu comme autorisé. Votre mail semblera plus fiable et aura ainsi plus de chance de passer les filtres anti-spam.

L’autre raison est donc de lutter contre le spam. Si vous pensez qu’un spammeur envoie des mails en usurpant votre nom de domaine, nous vous conseillons de faire un enregistrement spf “stricte”.

Qu’est ce qu’un enregistrement SPF “stricte” ?

Il permet de ne lister que les enregistrements d’adresses IP autorisées et d’interdire les autres. Cela bloque l’envoi de la majorité des mails non autorisés.

Comprendre un enregistrement SPF en pratique avec cPanel

Voici un exemple d’enregistrement Sender Policy Framework sur l’interface cPanel.

enregistrement Sender Policy Framework ou SPF

Pour vous aider à comprendre, nous pouvons décomposer ces données en 3 parties :

La première partie indique qu’il s’agit d’un enregistrement de type Sender Policy Framework (SPF)

“v=spf1 “

La seconde partie représente la liste d’adresses IP autorisées à envoyer des e-mails.
Nous appelons la partie comprise entre v=spf1 et ~all la liste d’adresses IP. Cette liste est composée d’éléments séparés par des espaces.

+ip4:188.165.234.135 +a +mx +include:_spf.monarobase.net

Voici la signification des différents éléments de notre exemple :

+a : L’adresse IP du nom de domaine.
+mx : L’adresse IP des serveurs de messagerie
+ip4 : Une adresse IPv4
+ipv6 : Une adresse IPv6
+include : Ajoute les adresses IP d’un autre enregistrement SPF.

La troisième partie précise s’il faut ou non refuser des e-mails non autorisés. C’est une partie qui peut prendre 3 valeurs différentes :
{~all }ou {?all }ou {-all}

  • -all : le tiret indique qu’il s’agit d’un enregistrement SPF en mode strict. Il bloque toute adresse IP qui n’apparaît pas dans cette liste. Avant de choisir cette option, nous vous invitons à vous assurer que toutes les adresses IP soient bien listées.
  • ~all ou ?all : vous pouvez utiliser l’une ou l’autre de ces valeurs si vous ne souhaitez pas bloquer les e-mails envoyés depuis d’autres adresses IP que celles de la liste.
    Quelle est la différence entre ~all ou ?all ? Les deux valeurs sont équivalentes mais l’interface cPanel utilise “~all” (avec le tilde) par défaut et nous recommandons cet usage.

Vous êtes maintenant capable de comprendre un enregistrement SPF complet.
Reprenons notre exemple et décryptons ensemble cet enregistrement :

v=spf1 ip4:188.165.14.151 +a +mx +include:_spf.monarobase.net ~all

v=spf1 : Il s’agit d’un enregistrement SPF.
+ip4:188.165.234.135 : l’adresse IPv4 188.165.234.135
+a : C’est l’adresse IP de notre nom de domaine monarobase.net dans notre cas 51.91.21.240
+mx : Correspond aux adresses IP de nos serveurs MX qui sont mx1.monarobase.net et mx2.monarobase.net c’est à dire les adresses IP :37.187.24.25 (mx1.monarobase.net) et 37.187.24.102 (mx2.monarobase.net)
+include:_spf.monarobase.net : ajoute les adresses IP de l’enregistrement SPF de _spf.monarobase.net
~all : autorise l’envoi d’e-mails depuis des adresses IP qui ne sont pas listées.

Comment vérifier la validation SPF (Sender Policy Framework) d’un nom de domaine est valide ?

Voici 2 outils pour vérifier votre enregistrement SPF :

Vous pouvez utiliser un outil en ligne comme par exemple :
https://mxtoolbox.com/spf.aspx

Si vous êtes sous Linux, MacOS ou si vous avez installé les outils WSL sous Windows (https://docs.microsoft.com/fr-fr/windows/wsl/install) :
vous pouvez entrer : dig arobase.xyz +short TXT

Et voici ce qui s’affiche :

"v=spf1 ip4:188.165.14.151 +a +mx +include:_spf.monarobase.net ~all"

Vous pouvez ainsi vérifier si l’enregistrement SPF est correct.

Retrouvez nos conseils pour la gestion de vos hébergements surBase de connaissance