Pour rejeter les mails en fonction des erreurs SPF, tu peux te baser sur les mots-clés dans l'en-tête `Received-SPF`. Voici les **valeurs possibles** et **leurs significations**, ainsi que les **mots-clés à filtrer pour rejet** :

---

### SPF Return Codes dans `Received-SPF` :

| Code SPF    | Signification                                                                    | Rejet conseillé ? |
| ----------- | -------------------------------------------------------------------------------- | ----------------- |
| `Pass`      | Le domaine autorise cette IP à envoyer des mails                                 | ❌ Ne pas rejeter  |
| `Fail`      | L'IP n’est **pas autorisée** par le domaine                                      | ✅ Oui             |
| `Softfail`  | L'IP **n’est probablement pas autorisée**                                        | ⚠️ Optionnel      |
| `Neutral`   | Aucune politique définie                                                         | ❌ Non             |
| `None`      | Pas d’enregistrement SPF trouvé                                                  | ⚠️ Optionnel      |
| `Permerror` | Erreur **permanente** dans l'enregistrement SPF (ex. : boucle, mauvaise syntaxe) | ✅ Oui             |
| `Temperror` | Erreur **temporaire** (serveur DNS inaccessible, timeout)                        | ⚠️ Optionnel      |

---

### Mots-clés à filtrer pour **rejet automatique** :

```text
Received-SPF: Fail
Received-SPF: Permerror
```

Tu peux aussi inclure `Softfail` si tu veux durcir le filtrage, mais attention aux faux positifs.

---

### Exemple de règle dans Postfix (avec `header_checks`) :

```text
/^Received-SPF: Fail/      REJECT SPF Fail - IP non autorisée
/^Received-SPF: Permerror/ REJECT SPF Permerror - SPF malformé
```

Ou via **SpamAssassin** :

* Rejeter les mails avec score élevé si `SPF_FAIL` ou `SPF_PERMERROR` est détecté.