SPF (Sender Policy Framework)

Le SPF (Sender Policy Framework) est un protocole d'authentification d'e-mail qui permet aux propriétaires de domaine de déclarer quels serveurs de messagerie sont autorisés à envoyer des messages au nom de leur domaine. Il fonctionne en publiant un enregistrement DNS TXT contenant une liste d'adresses IP approuvées, de noms d'hôtes de serveurs et de directives include. Lorsqu'un serveur de messagerie destinataire reçoit un message entrant, il effectue une requête SPF sur le domaine de l'expéditeur, compare l'adresse IP du serveur d'envoi à l'enregistrement SPF et décide d'accepter, de signaler ou de rejeter le message selon le résultat. Le SPF est l'un des trois standards fondamentaux d'authentification d'e-mail, aux côtés de DKIM (signature cryptographique des messages) et de DMARC (application de la politique).

Sans enregistrement SPF, n'importe quel serveur sur Internet peut prétendre envoyer des e-mails depuis ton domaine. Les attaquants exploitent cela par l'usurpation de domaine, une technique centrale aux campagnes d'hameçonnage, à la compromission d'e-mails professionnels et à la distribution de spam. Un enregistrement SPF manquant ou mal configuré nuit aussi à la délivrabilité des e-mails légitimes : les grands fournisseurs comme Gmail, Outlook et Yahoo rejettent ou mettent en quarantaine de plus en plus les messages provenant de domaines sans authentification appropriée. Pour les éditeurs qui distribuent du contenu par e-mail — partage de liens de flipbook, envoi de notifications de capture de prospects ou livraison de codes OTP — le SPF affecte directement le fait que ces messages atteignent la boîte de réception ou disparaissent dans les dossiers de spam.

FlipLink envoie plusieurs types d'e-mails au nom des éditeurs : alertes de notification de capture de prospects, liens de partage de publication, codes de vérification OTP et demandes d'approbation de documents. Ces e-mails sont envoyés via l'infrastructure vérifiée de FlipLink, qui maintient ses propres enregistrements SPF pour garantir la délivrabilité. Si tu utilises un [domaine personnalisé](/features/custom-domains) pour tes publications FlipLink et que tu souhaites que les communications par e-mail proviennent de ce domaine ou y fassent référence, tu dois ajouter les serveurs d'envoi de FlipLink à l'enregistrement SPF de ton domaine. Cela indique aux serveurs de messagerie destinataires que FlipLink est autorisé à envoyer en ton nom, empêchant ces messages d'être signalés comme suspects. La configuration prend quelques minutes dans ton panneau de gestion DNS et s'applique globalement à toutes les publications sous ce domaine.

Un enregistrement SPF est un unique enregistrement DNS TXT rattaché à ton domaine. Il utilise une syntaxe spécifique pour définir les règles d'autorisation : - **`v=spf1`** — déclare la version SPF (toujours la version 1) - **`ip4:` / `ip6:`** — autorise des adresses IP ou des plages CIDR spécifiques - **`include:`** — fait référence à l'enregistrement SPF d'un autre domaine (couramment utilisé pour les expéditeurs tiers) - **`a` / `mx`** — autorise les IP associées aux enregistrements A ou MX de ton domaine - **`~all`** (softfail) — marque les expéditeurs non autorisés comme suspects mais les délivre quand même - **`-all`** (hardfail) — rejette purement et simplement les e-mails des expéditeurs non autorisés Le SPF a une limite de 10 requêtes pour les requêtes DNS au sein d'un même enregistrement. Dépasser cette limite fait échouer toute la vérification SPF, un problème courant pour les domaines qui utilisent de nombreux services d'e-mail tiers. Chaque directive `include:` compte pour une requête, et les includes imbriqués comptent dans le total.

Suis ces étapes pour configurer le SPF de ton domaine lorsque tu utilises FlipLink : 1. **Identifie ton enregistrement SPF actuel** — Utilise un outil de requête DNS ou le panneau DNS de ton registraire pour vérifier si un enregistrement TXT commençant par `v=spf1` existe déjà pour ton domaine 2. **Liste tous les expéditeurs autorisés** — Rassemble les valeurs d'include SPF de chaque service qui envoie des e-mails depuis ton domaine (ton fournisseur d'e-mail, tes outils marketing et FlipLink) 3. **Ajoute les serveurs de FlipLink** — Ajoute la directive de serveur d'envoi autorisé de FlipLink à ton enregistrement SPF existant 4. **Définis ton niveau d'application** — Utilise `~all` (softfail) au début pour surveiller sans bloquer, puis passe à `-all` (hardfail) une fois que tu as confirmé que tous les expéditeurs légitimes sont inclus 5. **Vérifie le nombre de requêtes** — Confirme que ton enregistrement reste dans la limite de 10 requêtes en utilisant un outil de validation SPF 6. **Teste la délivrance** — Envoie un e-mail de test via FlipLink (déclenche une capture de prospects ou partage une publication) et vérifie les en-têtes de l'e-mail pour `spf=pass` 7. **Surveille régulièrement** — Revois ton enregistrement SPF chaque fois que tu ajoutes ou supprimes un service d'envoi d'e-mail de ton domaine

**« Le SPF seul suffit à protéger mon domaine. »** Le SPF ne vérifie que l'adresse IP du serveur d'envoi — il ne vérifie pas l'adresse « De » visible que voient les destinataires. Une protection complète nécessite le SPF combiné à DKIM (qui signe le contenu du message) et à DMARC (qui relie les résultats SPF et DKIM à l'adresse d'expéditeur visible et définit une politique en cas d'échec). **« Le SPF s'applique à l'adresse affichée dans la boîte de réception. »** Le SPF vérifie en réalité l'adresse « envelope from » (aussi appelée return-path), qui est masquée au destinataire. L'en-tête « De » que les utilisateurs voient dans leur client de messagerie est régi par l'alignement DMARC, pas par le SPF seul. **« Plus de directives include rend mon enregistrement SPF plus solide. »** Chaque `include:` s'ajoute à la limite de 10 requêtes. Un excès d'includes peut en fait casser entièrement ton enregistrement SPF, faisant retourner une erreur permanente à toutes les vérifications. N'inclus que les services qui envoient activement des e-mails depuis ton domaine. **« Je configure le SPF une fois et je n'ai plus jamais à y toucher. »** Les enregistrements SPF nécessitent de l'entretien. Ajouter un nouvel outil de marketing par e-mail, changer de fournisseur CRM ou intégrer un service comme FlipLink exige tous de mettre à jour l'enregistrement. Les entrées obsolètes pour des services désaffectés gaspillent des emplacements de requête et peuvent créer des failles de sécurité.