Pourquoi SPF a-t-il une limite de 10 lookups ?

La résolution SPF se passe **à la réception du message**, à chaque fois. Pour prévenir l'abus (un SPF malveillant pourrait chaîner des centaines d'includes et DDoS le DNS), **le RFC 7208 plafonne le total à 10 lookups DNS par vérification**. Au-delà, les destinataires renvoient `PermError` et traitent votre mail comme si SPF n'existait pas. L'outil compte votre chaîne complète (niveau top + chaque include imbriqué) et flague rouge si vous dépassez 10. **Solution** : aplatir le SPF (remplacer `include:` par les plages `ip4:` résolues), ou utiliser un service qui le fait pour vous (EasyDMARC, dmarcian).

**DKIM (DomainKeys Identified Mail)** signe chaque message sortant avec une clé privée sur votre serveur d'envoi. La **clé publique correspondante est dans le DNS** à `selecteur._domainkey.votredomaine.fr`. Le destinataire récupère la clé publique, vérifie la signature, et confirme que le message n'a pas été modifié en transit. Sans DKIM, n'importe qui peut réécrire le corps ou les pièces jointes et la réputation de votre domaine en prend un coup. **Pour passer il faut** : clé présente, base64 valide, pas en mode test (flag `t=y`), idéalement **2048+ bits**.

C'est quoi un sélecteur DKIM et où je le trouve ?

Le **sélecteur** est une étiquette que votre prestataire assigne à une paire de clés spécifique. Il se place entre votre sous-domaine et `._domainkey.`. Défauts courants : Google = `google`, Microsoft 365 = `selector1` / `selector2`, Mailchimp = `k1`, SendGrid = `s1` / `s2`, Mandrill = `mandrill`. **Comment trouver le vôtre** : envoyez-vous un email de test, regardez la source, cherchez l'en-tête `DKIM-Signature` et le tag `s=` - c'est le sélecteur. Ou consultez la page "DKIM setup" de votre plateforme d'envoi.

Qu'est-ce que DMARC ?

**DMARC (Domain-based Message Authentication, Reporting & Conformance)** est la couche de politique au-dessus de SPF et DKIM. Il dit aux destinataires **quoi faire quand les deux échouent** : `p=none` (livrer mais reporter), `p=quarantine` (mettre en spam), `p=reject` (refuser le message). Sans DMARC, chaque destinataire choisit son propre comportement - votre délivrabilité devient une loterie. **Commencez par `p=none` + `rua=mailto:...`**, regardez les rapports pendant quelques semaines, puis passez à `quarantine` une fois que vous confirmez que le mail légitime s'aligne.

Que veut dire `-all` vs `~all` dans SPF ?

**Le dernier mécanisme dans votre enregistrement SPF règle la politique quand aucune autre règle ne match**. `-all` = **HardFail** (rejeter), `~all` = SoftFail (marquer comme spam mais livrer), `?all` = Neutre (pas d'opinion), `+all` = Passer tout (catastrophique, n'importe qui peut vous usurper). **Bonne pratique = `-all`**. `~all` c'est les petites roues - utilisez-le le premier mois pendant que vous regardez les rapports DMARC, puis passez à `-all`.

Ma carte DKIM est jaune à cause de "clé legacy" - qu'est-ce que ça veut dire ?

**Votre clé fait 1024 bits**. RSA 1024 bits était le standard il y a 15 ans, aujourd'hui c'est considéré comme faible. **2048 bits est le minimum moderne**, 4096 est excessif. Faites-la tourner : la plupart des prestataires (Google, Microsoft, AWS SES) ont un bouton "régénérer DKIM" dans le panel admin. Important : **la nouvelle clé obtient un nouveau sélecteur** (par exemple `selector2` à côté de `selector1`), gardez les deux enregistrements DNS en ligne pendant 48 à 72 h pour vider le mail en vol.

Mon DMARC dit `p=none` - c'est mauvais ?

**Pas forcément, mais c'est incomplet**. `p=none` signifie "si SPF et DKIM échouent, livrer quand même". Vous collectez des rapports (`rua=`) mais ne protégez pas les destinataires contre l'usurpation. **C'est le bon point de départ** pour un domaine qui envoie déjà du mail, mais vous devriez passer à `quarantine` ou `reject` en quelques semaines. **Un domaine qui n'envoie aucun mail doit publier `p=reject` immédiatement** - l'outil flague `p=none` en jaune parce que la plupart des setups y restent pour toujours.

Ai-je besoin de `rua=` et `ruf=` ?

**`rua=` oui, `ruf=` rarement**. `rua=mailto:dmarc@votredomaine.fr` active les **rapports agrégés** - résumés XML quotidiens de Gmail, Outlook, Yahoo etc. avec compteurs de pass/fail/source-IP. Sans `rua=` vous volez à l'aveugle. `ruf=` active les **rapports forensiques** (en-tête complet du message à chaque échec) - Gmail et Outlook **ne supportent plus `ruf=`** à cause du RGPD, ça ne marche donc presque jamais. Mettez `rua=` dès le premier jour.

Ces vérifications sont-elles vraiment privées ?

Le domaine que vous tapez va sur notre serveur et on interroge le DNS public Cloudflare (1.1.1.1). **Rien n'est loggué, rien n'est stocké**. Les enregistrements que vous voyez sont des données TXT publiques - n'importe qui dans le monde peut les récupérer avec `dig` depuis la ligne de commande. **Ce n'est pas une consultation sensible à la vie privée** comme une vérification de mot de passe, c'est les mêmes données que les serveurs mail de vos clients récupèrent à chaque message que vous envoyez.

Vérificateur DNS email - gratuit

Pourquoi mes mails atterrissent en spam ? Vérifiez SPF, DKIM, DMARC.

Tapez le domaine depuis lequel vous envoyez (la partie après @ dans l'adresse From) et l'outil lit les trois enregistrements DNS que chaque boîte mail moderne vérifie : SPF (quels serveurs peuvent envoyer pour vous), DKIM (la signature cryptographique sur chaque message) et DMARC (que faire quand SPF et DKIM ne sont pas d'accord).

Vous obtenez trois cartes "feu tricolore" : vert ça passe, jaune ça marche mais c'est fragile, rouge les destinataires envoient très probablement votre mail en spam - ou le rejettent. Chaque carte s'ouvre pour montrer l'enregistrement brut, les valeurs parsées et une liste d'avertissements en clair.

On interroge les enregistrements depuis notre serveur via le DNS public Cloudflare (1.1.1.1). Rien n'est écrit nulle part, la consultation est finie en moins de deux secondes.

Mode d'emploi

Tapez le domaine d'envoi. Le domaine de l'adresse From, pas l'email complet. Pour "marketing@boutique.fr" le domaine est boutique.fr. On retire la partie utilisateur si vous collez l'adresse entière.
Cliquez sur "Vérifier". L'outil récupère SPF, DKIM (pour les 8 sélecteurs les plus courants) et DMARC en parallèle.
Si une carte est verte, ce morceau est sain. Jaune = ça marche mais a un point faible à corriger (clé en mode test, `~all` au lieu de `-all`, pas de rapports DMARC). Rouge = les destinataires peuvent jeter votre mail.
Vous ne voyez pas votre clé DKIM ? Activez "Sélecteurs DKIM personnalisés" et tapez le sélecteur qu'utilise votre fournisseur email (par exemple `dkim`, `mxvault`, `mandrill`). Le sélecteur est le préfixe avant `._domainkey.` dans l'enregistrement DNS.
Lisez les avertissements dans chaque carte. Ils sont ordonnés par impact - corrigez l'avertissement du haut d'abord, puis revérifiez.

Quand cet outil est utile

Cinq moments réels où vérifier SPF/DKIM/DMARC vous sauve :

Newsletter qui part en spam. Vous avez configuré Mailchimp / Brevo / Klaviyo, envoyé la première campagne, la moitié des destinataires ne l'a pas eue. Premier diagnostic = vérifier SPF + DKIM, la plateforme d'envoi demande généralement que les deux soient alignés.
Migration vers un nouveau prestataire email. Passage de Google Workspace à Microsoft 365, ou ajout d'un expéditeur transactionnel (Postmark, SendGrid). Les anciens SPF/DKIM restent à côté du nouveau jusqu'à la fin de la propagation - facile à louper.
Plainte "mes mails sont rejetés" d'un client. Le client dit "votre mail n'arrive jamais". Ça peut être : SPF au-dessus de la limite des 10 lookups, clé DKIM révoquée, DMARC `p=reject` sans `rua` pour déboguer.
Audit de protection anti-phishing. Votre entreprise envoie des factures aux clients. Sans DMARC `p=reject`, n'importe qui peut usurper votre domaine. L'outil vous dit exactement quel morceau manque.
Pré-lancement sur un nouveau domaine. Avant d'envoyer le premier email transactionnel depuis un domaine frais, vérifiez que les trois pièces sont en place. La réputation se construit lentement, se détruit en une campagne.

Pour un audit DNS profond au-delà de l'email, utilisez la consultation DNS. Pour valider que le mot de passe de votre compte SMTP n'a pas fuité, voir le vérificateur de mot de passe compromis.

Questions fréquentes

SPF (Sender Policy Framework) est une liste de serveurs autorisés à envoyer du mail "From: votredomaine.fr". Quand Gmail reçoit un message, il vérifie l'IP de l'expéditeur contre votre liste SPF. Pas de match = le message est traité comme suspect (dossier spam ou rejet). Vous publiez SPF en enregistrement TXT sur votre domaine - un enregistrement, commence par `v=spf1`. Le plus dur n'est pas de l'écrire, c'est la limite des 10 lookups - chaque `include:` compte, et les includes chaînés dépassent vite 10.

Pourquoi mes mails atterrissent en spam ? Vérifiez SPF, DKIM, DMARC.

On interroge les enregistrements depuis notre serveur via le DNS public Cloudflare (1.1.1.1). Rien n'est écrit nulle part, la consultation est finie en moins de deux secondes.

Mode d'emploi

Tapez le domaine d'envoi. Le domaine de l'adresse From, pas l'email complet. Pour "marketing@boutique.fr" le domaine est boutique.fr. On retire la partie utilisateur si vous collez l'adresse entière.

Cliquez sur "Vérifier". L'outil récupère SPF, DKIM (pour les 8 sélecteurs les plus courants) et DMARC en parallèle.

Si une carte est verte, ce morceau est sain. Jaune = ça marche mais a un point faible à corriger (clé en mode test, `~all` au lieu de `-all`, pas de rapports DMARC). Rouge = les destinataires peuvent jeter votre mail.

Vous ne voyez pas votre clé DKIM ? Activez "Sélecteurs DKIM personnalisés" et tapez le sélecteur qu'utilise votre fournisseur email (par exemple `dkim`, `mxvault`, `mandrill`). Le sélecteur est le préfixe avant `._domainkey.` dans l'enregistrement DNS.

Lisez les avertissements dans chaque carte. Ils sont ordonnés par impact - corrigez l'avertissement du haut d'abord, puis revérifiez.

Quand cet outil est utile

Cinq moments réels où vérifier SPF/DKIM/DMARC vous sauve :

Newsletter qui part en spam. Vous avez configuré Mailchimp / Brevo / Klaviyo, envoyé la première campagne, la moitié des destinataires ne l'a pas eue. Premier diagnostic = vérifier SPF + DKIM, la plateforme d'envoi demande généralement que les deux soient alignés.
Migration vers un nouveau prestataire email. Passage de Google Workspace à Microsoft 365, ou ajout d'un expéditeur transactionnel (Postmark, SendGrid). Les anciens SPF/DKIM restent à côté du nouveau jusqu'à la fin de la propagation - facile à louper.
Plainte "mes mails sont rejetés" d'un client. Le client dit "votre mail n'arrive jamais". Ça peut être : SPF au-dessus de la limite des 10 lookups, clé DKIM révoquée, DMARC `p=reject` sans `rua` pour déboguer.
Audit de protection anti-phishing. Votre entreprise envoie des factures aux clients. Sans DMARC `p=reject`, n'importe qui peut usurper votre domaine. L'outil vous dit exactement quel morceau manque.
Pré-lancement sur un nouveau domaine. Avant d'envoyer le premier email transactionnel depuis un domaine frais, vérifiez que les trois pièces sont en place. La réputation se construit lentement, se détruit en une campagne.

Pour un audit DNS profond au-delà de l'email, utilisez la consultation DNS. Pour valider que le mot de passe de votre compte SMTP n'a pas fuité, voir le vérificateur de mot de passe compromis.

Questions fréquentes

Vérificateur DNS email

Pourquoi mes mails atterrissent en spam ? Vérifiez SPF, DKIM, DMARC.

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Vérification mot de passe compromis

Décodeur JWT

Vérificateur DNS email

Pourquoi mes mails atterrissent en spam ? Vérifiez SPF, DKIM, DMARC.

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Vérification mot de passe compromis

Décodeur JWT