Vérificateur de SPF record
Vérifie le SPF TXT record d'un domaine, décortique chaque mécanisme, include et plage IP, et lis le token de policy -all, ~all, ?all ou +all.
Ce vérificateur de SPF record récupère le SPF TXT record de n'importe quel domaine et te montre exactement quels serveurs il autorise à envoyer du mail. Tape un domaine et il découpe le record en mécanismes, liste les includes des services externes comme Google ou ta plateforme de newsletter, fixe les plages ip4 et ip6 auxquelles tu fais confiance, et lit le token à la fin qui tranche vraiment : -all est strict, ~all fait un soft fail, ?all est neutre et faible, et +all tu n'en veux quasiment jamais. Il score le résultat, signale un record manquant, des records en double et le dangereux +all, et avertit quand trop d'includes approchent la limite de dix lookups DNS de la RFC 7208 qui renvoie permerror en silence.
Les requêtes passent par le service de lookup PeopleAreGeek. Nous ne journalisons rien.
Vérificateur de SPF record : analyser les SPF TXT records, includes et policy
Tape un domaine. Tu vois son SPF record et quels serveurs il autorise à envoyer du mail. L'outil décortique les mécanismes, les includes, les plages d'IP, et le petit bout à la fin qui tranche vraiment (le -all, ~all, ?all ou +all). Franchement, ce dernier token compte plus que les gens ne le pensent.
C'est quoi un SPF record ?
C'est un TXT record. Dedans, tu listes les serveurs de mail autorisés à envoyer des emails pour ton domaine, et c'est en gros toute l'idée. Quand un message arrive, le serveur destinataire compare l'expéditeur à ta liste. Ça ne colle pas ? C'est un signal que quelque chose cloche, peut-être du spoofing, peut-être juste une erreur de config. SPF ne va pas bloquer tous les messages falsifiés à lui seul, mais il élimine les plus faciles.
Comment lire les résultats SPF
- include apparaît quand un service externe (genre ta plateforme de newsletter, ou Google) envoie du mail à ta place.
- ip4 et ip6 fixent précisément les plages d'adresses auxquelles tu fais confiance.
- -all, c'est le strict. ~all est plus souple, il signale sans rejeter franchement. +all, tu n'en veux quasiment jamais, ça dit en gros au monde entier que n'importe qui peut envoyer en se faisant passer pour toi.
Questions fréquentes
Un domaine peut-il avoir plusieurs SPF records ?
Un seul. Tu en veux un seul. La spec est plutôt ferme là-dessus, et si un domaine se retrouve avec deux SPF records, beaucoup de récepteurs baissent les bras et traitent le résultat comme cassé. Donc fusionne-les en une seule ligne.
Est-ce que SPF protège l'adresse From visible ?
Pas vraiment, et ça piège les gens en permanence. SPF ne regarde que l'envelope sender, l'adresse utilisée pendant la livraison, qui n'est pas la ligne From que tes destinataires lisent réellement. Pour relier la vérif à ce From visible, il te faut DMARC par-dessus. Je dirais que c'est la chose la plus mal comprise au sujet de SPF.
Que signifie le token de policy à la fin ?
C'est la partie qui tranche vraiment. -all est le strict, un hard fail pour tout serveur absent de ta liste. ~all est plus souple, il signale sans rejeter franchement, et il est courant pendant une migration. ?all est neutre et faible, et +all tu n'en veux quasiment jamais car il dit au monde entier que n'importe qui peut envoyer en se faisant passer pour toi.
Pourquoi trop d'includes cassent SPF ?
Chaque include et quelques autres mécanismes coûtent un lookup DNS, et la RFC 7208 plafonne le total à dix. Dépasse et les récepteurs renvoient permerror, ce qui peut faire échouer ton mail en silence. Le checker compte les includes pour que tu puisses aplatir ou élaguer avant d'approcher ce mur.