SPF

SPF (Sender Policy Framework) est un standard d'authentification d'email basé sur le DNS, défini par la RFC 7208. Le propriétaire du domaine expéditeur publie un unique enregistrement TXT listant les adresses IP ou les services tiers autorisés à envoyer de l'email « au nom » de ce domaine. Quand un serveur récepteur reçoit un message déclaré comme provenant de @votreentreprise.com, il interroge l'enregistrement SPF sur votreentreprise.com et vérifie si le message a effectivement quitté l'une des IP listées. Si oui, SPF passe ; sinon, SPF échoue.

L'enregistrement TXT commence par v=spf1 et se termine par un qualificateur « all » :

v=spf1 include:amazonses.com -all

Mécanismes courants :

• include:domain — inclut récursivement le SPF d'un autre domaine (utilisé pour les ESP).
• ip4:1.2.3.4 / ip6:::1 — autorisation explicite d'IP.
• a, mx — autorise les IP de l'enregistrement A ou MX du domaine.
• -all hard-fail (rejet), ~all soft-fail (marquer comme suspect), ?all neutre.

SPF plafonne le nombre total de lookups DNS récursifs à 10 par évaluation (RFC 7208 §4.6.4). Chaque include:, a, mx, exists: et redirect= consomme un lookup ; les includes imbriqués comptent de façon cumulative. Empiler trop de services tiers déclenche un permerror que la plupart des récepteurs interprètent comme un échec. Les mécanismes ip4: et ip6: coûtent zéro lookup ; condensez donc les includes obsolètes en plages d'IP explicites dès que le compteur dépasse 7-8.

AcelleMail ne génère ni ne signe SPF — c'est une responsabilité de la zone DNS, côté opérateur. Le pattern d'installation est le suivant : choisir son vendor d'envoi (Amazon SES est l'appairage recommandé sur la page /pricing), publier un enregistrement SPF qui inclut le domaine d'envoi du vendor (include:amazonses.com pour SES), pointer le sending server de AcelleMail vers les mêmes credentials vendor — la chaîne SPF est alors bouclée. Le walk-through complet avec troubleshooting est dans le guide pillar de délivrabilité.