Générateur d'enregistrement SPF

Créez des enregistrements SPF (Sender Policy Framework) conformes RFC 7208 pour sécuriser vos envois d'e-mails.

Nom de domaine (optionnel, pour contexte)

Mécanismes standards

Inclure a (autorise les IPs du record A du domaine) Inclure mx (autorise les IPs des serveurs MX du domaine)

Domaines à inclure (include:)

Ajoutez les domaines tiers autorisés à envoyer pour vous (ex: _spf.google.com)

Adresses IPv4 (ip4:)

Ajoutez des IPs ou plages CIDR (ex: 203.0.113.5 ou 198.51.100.0/24)

Adresses IPv6 (ip6:)

Ajoutez des IPs ou plages CIDR IPv6 (ex: 2001:db8::1 ou 2001:db8::/32)

Politique finale (all)

Enregistrement TXT DNS généré

Comprendre le principe

SPF (Sender Policy Framework) est un mécanisme d'authentification d'e-mails défini par la RFC 7208. Il permet de publier dans le DNS (enregistrement TXT) la liste des serveurs autorisés à envoyer des e-mails pour un domaine. Lorsqu'un serveur reçoit un message, il interroge le SPF du domaine expéditeur pour vérifier la légitimité de l'envoi. Les mécanismes a, mx, include: nécessitent des requêtes DNS (limitées à 10 par RFC), tandis que ip4: et ip6: définissent directement les IPs autorisées. La politique finale (-all, ~all, ?all) détermine le traitement des e-mails provenant de sources non listées. Un SPF correctement configuré améliore la délivrabilité et protège contre l'usurpation de domaine (spoofing).

Pour une analyse détaillée des mécanismes SPF, des stratégies de déploiement et des cas d'usage avancés, consultez notre guide complet. Lire le guide complet SPF

Bonnes pratiques

Toujours utiliser -all en production pour rejeter explicitement les sources non autorisées
Limiter les lookups DNS à moins de 10 (RFC 7208) : privilégier ip4: et ip6: quand possible
Consolider les entries include: pour réduire le nombre de lookups (fusionner plusieurs domaines d'un même fournisseur)
Tester l'enregistrement après déploiement avec dig TXT exemple.com et des outils de validation SPF
Monitorer les taux de SPF pass via les rapports DMARC pour détecter les problèmes de configuration
Documenter les expéditeurs autorisés : maintenir un registre interne des services tiers (newsletters, CRM, etc.)
Éviter le mécanisme ptr (déprécié, lent, fragile)
Vérifier la taille du record : rester sous 255 caractères par chaîne et 512 bytes UDP pour éviter les erreurs de résolution

Utilisé dans : configuration DNS (BIND, Cloudflare, Route53), serveurs e-mail (Postfix, Exchange, Zimbra), VPS, cloud, anti-spam, conformité DMARC, sécurité des domaines