Lutter contre le spoofing à l'aide des enregistrements SPF

Protégez-vous des e-mails falsifiés semblant provenir de votre domaine

Des spammeurs peuvent envoyer des e-mails qui semblent provenir de votre domaine. C'est ce que l'on appelle le spoofing. Vous pouvez ajouter un enregistrement SPF (Sender Policy Framework) sur le site de votre hébergeur de domaine afin que vos destinataires sachent d'où doivent provenir les e-mails envoyés depuis votre domaine et soient sûrs qu'il n'y a pas usurpation d'identité.

Si vous avez acheté votre domaine auprès d'un partenaire Google (GoDaddy.com, eNom.com et DomainDiscount24.com) lors de votre inscription à G Suite, vous n'avez peut-être pas besoin de suivre cette procédure. Pour en savoir plus, consultez l'article Paramètres gérés par l'hébergeur de votre domaine.

Ajouter un enregistrement TXT SPF à votre hébergeur de domaine

Votre hébergeur de domaine conserve des paramètres appelés "enregistrements DNS" qui dirigent le trafic Web vers votre domaine. Un enregistrement TXT SPF répertorie les serveurs de messagerie autorisés à envoyer des e-mails depuis votre domaine. Si un message est envoyé par un serveur qui ne figure pas dans l'enregistrement, le serveur du destinataire peut le considérer comme du spam.

Remarque : Un domaine ne peut contenir qu'un seul enregistrement SPF, mais votre enregistrement peut répertorier plusieurs serveurs. Pour plus d'informations, consultez la section Ajouter plusieurs serveurs à un enregistrement SPF.

  1. Connectez-vous au compte que vous possédez chez l'hébergeur de votre domaine, et non à la console d'administration Google.
  2. Accédez à la page permettant de modifier les enregistrements DNS de votre domaine.
    Le titre de cette page peut ressembler à "Gestion DNS", "Gestion du serveur de noms" ou "Paramètres avancés".
  3. Recherchez vos enregistrements TXT et vérifiez si votre domaine possède déjà un enregistrement SPF.
    Son nom doit commencer par "v=spf1".
  4. Si votre domaine possède déjà un enregistrement SPF, supprimez-le. Sinon, passez directement à l'étape 5.
  5. Créez un enregistrement TXT à l'aide des valeurs suivantes :
    • Nom/Hôte/Alias : saisissez @ ou laissez le champ vide.
      Les autres enregistrements DNS de votre domaine peuvent indiquer l'entrée adéquate.
    • Valeur TTL (Time To Live) : saisissez 3600 ou conservez la valeur par défaut.
    • Valeur/Réponse/Destination : saisissez v=spf1 include:_spf.google.com ~all.
  6. Sauvegardez l'enregistrement.

Un délai de 48 heures est nécessaire pour que le nouvel enregistrement SPF soit pris en compte.

Gérer votre enregistrement SPF

Tout ouvrir  |  Tout fermer

Valider votre enregistrement SPF
Validez votre enregistrement SPF à l'aide de l'application Vérification MX, qui fait partie de la boîte à outils G Suite, en procédant comme suit :
  1. Accédez à la Boîte à outils G Suite.
  2. Saisissez votre nom de domaine.
  3. Cliquez sur Lancer la vérification.
  4. Une fois le test terminé, cliquez sur Plages d'adresses SPF effectives.
  5. Vérifiez les plages obtenues.
    Elles doivent inclure les éléments suivants :
    • _spf.google.com
    • _netblocks.google.com suivi de plusieurs adresses IP
    • _netblocks2.google.com suivi de plusieurs adresses IP
    • _netblocks3.google.com suivi de plusieurs adresses IP
Ajouter plusieurs serveurs à un enregistrement SPF
Votre domaine ne peut contenir qu'un seul enregistrement SPF. Toutefois, vous pouvez modifier un même enregistrement SPF pour inclure tous vos serveurs de messagerie. Par exemple, si vous configurez une passerelle de messagerie sortante, votre enregistrement SPF inclura l'adresse du serveur Gmail et celle du serveur SMTP de la passerelle sortante.
Pour ajouter un serveur de messagerie à un enregistrement SPF existant, saisissez l'adresse IP du serveur avant l'argument ~all. Utilisez le format ip4:adresse ou ip6:adresse comme indiqué dans l'exemple suivant :
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
Pour ajouter un domaine de serveur de messagerie, utilisez une instruction "include" pour chaque domaine. Exemple :
v=spf1 include:domaineduserveur.com include:_spf.google.com ~all

Articles associés

Gérer les mécanismes et les qualifieurs
Les mécanismes d'un enregistrement SPF identifient les serveurs autorisés à envoyer des messages pour le compte du domaine. Chaque mécanisme est évalué de gauche à droite dans l'enregistrement SPF.
Voici un exemple d'enregistrement SPF :
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
Ces mécanismes identifient les adresses IP pouvant envoyer des e-mails à partir d'un domaine :
  • a
  • mx
  • ip4
  • ip6
  • include
  • all

Si un serveur ne correspond pas à l'un des mécanismes de l'enregistrement SPF, le mécanisme all décide si l'e-mail est validé par le contrôle SPF. 

Pour influencer la validation des e-mails par le contrôle SPF, vous pouvez ajouter des qualifieurs aux mécanismes dans votre enregistrement SPF.
Qualifieur Description
Validation (+) Si l'e-mail provient d'un serveur qui correspond à un mécanisme doté du qualifieur "+" (ou sans qualifieur), il est validé par le contrôle SPF. Le destinataire doit accepter l'e-mail.
Échec (-) Si l'e-mail provient d'un serveur qui correspond à un mécanisme doté du qualifieur "-", il est mis en échec par le contrôle SPF. Le destinataire doit rejeter l'e-mail.
Échec partiel (~) Si l'e-mail provient d'un serveur qui correspond à un mécanisme doté du qualifieur "~", il est validé par le contrôle SPF, mais est considéré comme suspect.
Neutre (?) Les mécanismes dotés du qualifieur "?" n'ont pas d'incidence sur la validation de l'e-mail par le contrôle SPF.
Limites des résolutions DNS et contrôles SPF
SPF accepte jusqu'à 10 résolutions DNS. Les résolutions imbriquées sont prises en compte dans ce nombre maximal. Une fois que votre enregistrement SPF comporte plus de 10 résolutions, les mécanismes suivants sont considérés comme non valides, et le contrôle SPF échoue.
Vous pouvez vérifier le nombre de résolutions liées à votre enregistrement SPF à l'aide de l'application Vérification MX.

Mécanismes d'enregistrement SPF et modifieurs

Les mécanismes et les modifieurs que vous utilisez dans votre enregistrement SPF peuvent empêcher celui-ci d'atteindre le maximum de 10 résolutions DNS.
Sont comptabilisés dans le total de résolutions Ne sont pas comptabilisés dans le total de résolutions
  • a
  • exists
  • include
  • mx
  • ptr
  • require
  • all
  • exp
  • ip4
  • ip6

 

Pour réduire le nombre de résolutions dans votre enregistrement SPF, suivez les conseils ci-dessous :

  • Évitez les instructions include inutiles.
  • Dans la mesure du possible, utilisez le mécanisme ip4 ou ip6 à la place de "include".
  • Évitez d'utiliser le mécanisme ptr. Il génère de nombreuses résolutions DNS.
  • Supprimez les mécanismes en double ou ceux qui se résolvent en un même domaine.
  • Référencez uniquement les domaines qui expédient des messages de manière active.
  • Supprimez toutes les instructions include dans les enregistrements SPF des partenaires qui n'envoient plus d'e-mails depuis votre domaine.

Articles associés

Utiliser SPF avec DKIM et DMARC
Parallèlement à SPF, nous vous recommandons de configurer DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting & Conformance) :
  • SPF spécifie les serveurs autorisés à envoyer des e-mails pour un domaine.
  • DKIM vérifie que le contenu du message est authentique et qu'il n'a pas été modifié.
  • DMARC spécifie la manière dont votre domaine traite les e-mails entrants suspects.

Articles associés

 Articles associés

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?