SPF : le réglage DNS qui décide si vos emails arrivent ou se font rejeter
Publié le
Vous envoyez un email depuis votre adresse professionnelle, tout semble normal… puis quelques secondes plus tard, vous recevez un message automatique :
Undelivered Mail Returned to Sender
Invalid Sender. SPF check failedVotre email n'est pas arrivé. Pas dans les spams. Pas dans la boîte de réception. Rejeté avant même d'entrer. Autrement dit : votre email s'est fait refouler à l'entrée, comme un invité sans nom sur la liste ou comme si votre tête ne revenait pas trop au videur de la boîte. (Même si vous avez mis votre plus belle tenue)
Dans beaucoup de cas, la cause tient en trois lettres : SPF : Ce réglage DNS discret joue un rôle énorme dans la confiance accordée à vos emails. Mal configuré, il peut bloquer l'intégralité de vos envois, y compris des messages parfaitement légitimes.
SPF : une liste d'autorisation pour vos emails
SPF signifie Sender Policy Framework.
Son objectif est simple : déclarer publiquement quels serveurs ont le droit d'envoyer des emails au nom de votre domaine. On peut voir SPF comme une liste VIP publique : votre domaine dit aux autres serveurs "ces machines peuvent parler en mon nom, les autres non".
Sans SPF, n'importe qui pourrait essayer d'envoyer des emails en se faisant passer pour votre domaine.
v=spf1 include:_spf.google.com ~allCette ligne indique par exemple que Google est autorisé à envoyer des emails pour votre domaine.
Pourquoi mes emails sont rejetés ?
Lorsqu'un serveur reçoit votre email, il vérifie :
- le domaine utilisé comme expéditeur
- l'adresse IP qui envoie réellement le mail
- la correspondance avec votre SPF.
Si l'IP ne figure pas dans la liste autorisée, le serveur peut rejeter immédiatement votre message. Le serveur destinataire ne lit même pas le contenu du message à ce stade : il regarde d'abord qui frappe à la porte. Mention spéciale à Orange, qui est souvent le videur le plus pointilleux du quartier.
C'est exactement ce qui provoque les erreurs comme :
501 5.1.0 Invalid Sender. SPF check failedLe piège classique : accumuler les services email
Beaucoup de domaines utilisent plusieurs outils :
- Hébergeur
- SMTP
- Newsletter
- Constructeur de site
- Google Workspace ou Microsoft 365.
À chaque nouvel outil, on ajoute un include… puis un autre… puis encore un autre 🙃.
v=spf1 include:_spf.mail.hostinger.com include:_spf.builder-mail.hostinger.com ~allCet exemple n'est qu'illustratif, mais montre un problème fréquent : empiler des includes sans comprendre ce qu'ils contiennent réellement. C'est d'ailleurs exactement le problème que j'ai eu entre Hostinger et Orange et qui m'a inspiré cet article.
On finit parfois avec des doublons, des redirections inutiles ou trop de requêtes DNS.
La règle des 10 lookups
SPF impose une limite : maximum 10 recherches DNS.
Au-delà, votre SPF devient invalide.
Et un SPF invalide revient souvent à n'avoir aucun SPF du tout.
Autre erreur fréquente : plusieurs SPF
TXT: v=spf1 include:service1.com ~all
TXT: v=spf1 include:service2.com ~allUn domaine ne doit posséder qu'un seul SPF.
Il faut fusionner :
TXT: v=spf1 include:service1.com include:service2.com ~allComment corriger votre configuration
Avant de modifier votre DNS un peu au hasard, vérifiez d'abord ces points
- Listez tous vos services d'envoi d'emails
- Gardez un seul enregistrement SPF
- Supprimez les includes inutiles
- Et surtout, testez après chaque changement. (un seul changement à la fois)
Conclusion
SPF n'est clairement pas le sujet qui fait vibrer les foules.
Mais quand il casse, on découvre très vite à quel point trois lettres dans un DNS peuvent ruiner une journée.
En matière de SPF, le meilleur réflexe reste souvent le plus simple : moins de copier-coller aveugle, plus de compréhension de ce qu'on autorise réellement.
