Sécuriser l'envoi des e-mails et empêcher le spoofing grâce au protocole SPF

Protégez-vous des e-mails falsifiés et assurez-vous que les messages valides ne sont pas marqués comme spam.

Le protocole Sender Policy Framework (SPF) est un dispositif d'authentification des e-mails qui définit les serveurs de messagerie autorisés à envoyer des e-mails pour votre domaine. SPF protège votre domaine contre le spoofing et assure la bonne distribution de vos messages. Les serveurs de messagerie recevant les e-mails issus de votre domaine utilisent le protocole SPF pour vérifier que les messages qui semblent provenir de votre domaine proviennent bien de celui-ci.

  • SPF permet d'empêcher le spoofing : les spammeurs peuvent falsifier votre domaine ou le nom de votre organisation pour envoyer de faux messages. C'est ce que l'on appelle le spoofing. Les messages frauduleux peuvent être utilisés à des fins malveillantes, par exemple, pour communiquer par erreur des informations erronées, pour envoyer des logiciels malveillants ou pour inciter les utilisateurs à divulguer des informations sensibles. SPF aide les serveurs de réception à vérifier que les e-mails envoyés depuis votre domaine proviennent bien de votre organisation, et qu'ils sont envoyés par un serveur de messagerie que vous avez approuvé.
  • Le protocole SPF permet d'expédier des messages dans les boîtes de réception des destinataires : il permet d'éviter que les messages provenant de votre domaine ne finissent dans le dossier "Spam". Si votre domaine n'utilise pas le protocole SPF, les serveurs de réception ne peuvent vérifier que les messages qui semblent provenir de votre domaine soient bien envoyés par vous. Les serveurs de réception peuvent envoyer des messages valides dans les dossiers "Spam", voire les rejeter.

Remarque  : si vous avez acheté votre domaine auprès d'un partenaire Google lors de votre inscription à G Suite, vous n'aurez peut-être pas besoin de configurer des enregistrements SPF. Vérifiez que SPF fait partie des paramètres gérés par l'hébergeur de votre domaine.

Bonnes pratiques concernant l'authentification des e-mails

Nous vous recommandons de toujours configurer les méthodes d'authentification suivantes pour votre domaine :

  • SPF permet aux serveurs de vérifier que les messages semblant provenir d'un domaine particulier sont envoyés depuis des serveurs autorisés par le propriétaire du domaine.
  • DKIM ajoute une signature numérique à chaque message. Cela permet aux serveurs de réception de vérifier que les messages ne sont pas falsifiés et n'ont pas été modifiés pendant le transit.
  • DMARC authentifie les messages avec SPF et DKIM, et gère les messages entrants suspects.
Pour connaître la procédure détaillée, consultez Empêcher le spoofing, l'hameçonnage et le spam.

Avant de commencer

Lisez les informations de cette section avant d'activer SPF pour votre organisation.

Identifier votre hébergeur de domaine

Activez le protocole SPF dans la console d'administration de votre fournisseur de domaine, et non dans celle de Google. Si vous ne savez pas qui est votre fournisseur de domaine, procédez comme suit :

Si vous ne retrouvez pas votre historique de facturation, vous pouvez rechercher votre hébergeur de domaine en ligne. La société ICANN (Internet Corporation for Assigned Names and Numbers) est une organisation à but non lucratif qui rassemble les informations concernant les domaines. Recherchez votre hébergeur de domaine à l'aide de l'outil de recherche ICANN.

  1. Accédez à lookup.icann.org.
  2. Dans le champ de recherche, saisissez votre nom de domaine, puis cliquez sur Lookup (Rechercher).
  3. Faites défiler la page de résultats jusqu'à Registrar Information (Informations sur le bureau d'enregistrement). Le bureau d'enregistrement correspond généralement à votre hébergeur de domaine.

Revendeurs de domaine

Certains domaines sont hébergés par des revendeurs via un bureau d'enregistrement distinct. Si vous n'arrivez pas à vous connecter au bureau d'enregistrement indiqué ou si le champ "Bureau d'enregistrement" est vide, il est possible que votre hébergeur de domaine soit un revendeur.

  1. Faites défiler la page de résultats de recherche ICANN jusqu'à Raw Registry RDAP Response (Réponse RDAP contenant les données d'enregistrement brutes).
  2. Recherchez l'entrée Reseller (Revendeur).
  3. Accédez au site Web du revendeur.
  4. Connectez-vous avec les identifiants utilisés lors de l'achat (ou du transfert) de votre domaine.
    Si vous avez oublié votre mot de passe, contactez l'assistance du revendeur.

Si aucun revendeur n'est répertorié, contactez l'assistance du bureau d'enregistrement indiqué pour obtenir de l'aide.

Fournisseurs de messagerie tiers et SPF

Les messages valides envoyés par des fournisseurs de messagerie tiers pour votre domaine peuvent échouer aux contrôles SPF. Dans ce cas, le serveur de réception peut expédier des messages provenant de fournisseurs tiers dans le dossier "Spam".

Pour vous assurer que les messages envoyés par des fournisseurs tiers sont approuvés par le protocole SPF :

  • Vérifiez les enregistrements SPF de votre fournisseur.
  • Demandez au fournisseur d'acheminer les messages via votre domaine ou votre réseau.

Enregistrements TXT DNS

Afin d'activer SPF pour votre domaine, mettez à jour les enregistrements TXT DNS associés. Effectuez cette opération dans la console de gestion de votre fournisseur de domaine, et non dans la console d'administration de Google. 

Pour mettre à jour un enregistrement TXT DNS, saisissez le texte qui représente votre enregistrement SPF dans la console de gestion de votre fournisseur de domaine. Pour connaître la procédure détaillée, consultez l'article Activer SPF pour votre domaine.

Étape 1 : Créez votre enregistrement SPF

Un enregistrement SPF définit les serveurs de messagerie autorisés à envoyer des e-mails pour votre domaine. Un domaine ne peut contenir qu'un seul enregistrement SPF. Toutefois, un enregistrement SPF peut définir plusieurs serveurs et domaines autorisés à envoyer des messages pour le domaine.

Si tous les e-mails de votre organisation sont envoyés depuis G Suite, utilisez l'enregistrement SPF suivant :

v=spf1 include:_spf.google.com ~all

Si vous envoyez des messages à partir de serveurs en plus de G Suite ou si vous utilisez un fournisseur de messagerie tiers, créez un enregistrement SPF personnalisé. Utilisez les informations figurant dans les informations du serveur associées à votre enregistrement SPF et le format de l'enregistrement SPF pour créer l'enregistrement.

Informations sur le serveur associées à votre enregistrement SPF
Afin de définir un enregistrement SPF pour votre domaine, vous avez besoin d'informations sur vos serveurs de messagerie.

Adresses IP de tous vos serveurs de messagerie

Rassemblez les adresses IP de tous les serveurs qui envoient des messages pour votre organisation. Ces serveurs peuvent inclure :

  • Des serveurs Web
  • Des serveurs de messagerie sur site (par exemple, Microsoft Exchange)
  • Des serveurs de messagerie utilisés par votre fournisseur de services
  • Des fournisseurs ou services tiers qui envoient des e-mails pour votre domaine

Des domaines qui envoient des e-mails pour votre organisation

Identifiez tous les domaines contrôlés par votre organisation, même ceux que vous n'utilisez pas pour envoyer des e-mails. Les spammeurs peuvent tenter de falsifier les domaines que vous n'utilisez pas pour envoyer des messages, en particulier après avoir protégé vos domaines d'envoi grâce au protocole SPF.

Format d'enregistrement SPF

Un enregistrement SPF se présente sous la forme d'une ligne de texte brut qui est une liste de tags et de valeurs. Les tags sont appelés mécanismes. Un autre ensemble de tags facultatifs appelés qualificatifs définit l'action à effectuer lorsqu'il existe une correspondance de mécanisme.

Voici quelques exemples d'enregistrements SPF pour les configurations courantes. Remplacez ces exemples d'adresses IP et de domaines par vos propres adresses et noms de domaine.

Autorisez toute adresse IP comprise entre 192.168.0.1 et 192.168.255.255:

v=spf1 ip4:192.168.0.1/16 -all

Si vous disposez d'un domaine qui n'envoie pas de messages, utilisez cet enregistrement SPF pour empêcher le spoofing du domaine :

v=spf1 -all

Mécanismes d'enregistrement SPF

Les tags utilisés pour créer un enregistrement SPF sont appelés mécanismes.

Important : un enregistrement SPF peut comporter jusqu'à 10 résolutions. En règle générale, chaque mécanisme d'un enregistrement SPF génère une résolution. Si votre enregistrement SPF comporte plus de 10 résolutions, les messages de votre domaine ne passeront pas le contrôle d'authentification SPF effectué par le serveur de réception. Ces messages peuvent être expédiés dans le dossier "Spam". Pour en savoir plus, consultez la section Vérifier les résolutions DNS de votre enregistrement SPF.

Voici une liste des mécanismes à utiliser pour votre enregistrement SPF. Les mécanismes sont vérifiés dans l'ordre dans lequel ils figurent dans l'enregistrement SPF. S'il existe une correspondance de mécanisme et qu'aucun tag qualificatif n'est utilisé, l'action par défaut est "Validé".

Remarque : les valeurs de ce tableau sont des exemples. Vous devez remplacer les exemples de valeurs par les adresses IP et les domaines de vos propres serveurs de messageries et organisations.

Mécanisme Description et valeurs autorisées
v Version SPF. Doit être spf1. Ce tag est obligatoire et doit être le premier de l'enregistrement.
ip4 Définit un ou plusieurs serveurs de messagerie par une adresse ou une plage d'adresses IPv4. La valeur doit être une adresse IPv4 au format standard, par exemple :
ip4:192.168.0.1
ip6 Définit un ou plusieurs serveurs de messagerie par une adresse ou une plage d'adresses IPv6. La valeur doit être une adresse IPv6 au format standard, par exemple :
ip6:3FFE:000:000:0001:0200:F8FF:FE75:50DF
a Définit un serveur de messagerie par nom de domaine, par exemple :
a:solarmora.com
mx Définit un serveur de messagerie par enregistrement MX, par exemple :
mx:ASPMX.L.GOOGLE.COM
include Définit un serveur de messagerie tiers par domaine. Il s'agit d'un domaine autre que le vôtre, par exemple :
include:sparkpostmail.com
all S'il est utilisé, il s'agit généralement du dernier tag de l'enregistrement. Nous vous recommandons d'utiliser ce mécanisme avec un qualificatif "softfail" (échec partiel) : ~all

Qualificatifs d'enregistrement SPF

Les tags facultatifs appelés qualificatifs définissent l'action à effectuer lorsqu'il existe une correspondance avec un mécanisme dans l'enregistrement SPF.

Les mécanismes sont vérifiés dans l'ordre dans lequel ils figurent dans l'enregistrement SPF. Si vous n'utilisez pas de qualificatifs, l'action est définie par défaut sur "Validé". L'action est définie par défaut sur "Neutre" en l'absence de correspondance de mécanisme.

Voici la liste des qualificatifs pouvant être utilisés dans un enregistrement SPF. Un qualificatif est un préfixe facultatif que vous pouvez ajouter à n'importe quel mécanisme de l'enregistrement. Les qualificatifs définissent l'action à effectuer en cas de correspondance avec une valeur de mécanisme.

Nous vous recommandons d'utiliser ~all dans votre enregistrement SPF.

Qualificatif Description
+ Validé. Le serveur correspondant à l'adresse IP ou au domaine correspondant est autorisé à envoyer des messages pour le domaine. La valeur "Validé" est utilisée par défaut si aucun qualificatif n'est utilisé.
- Échec. Le serveur correspondant à l'adresse IP ou au domaine correspondant n'est pas autorisé à envoyer des messages pour le domaine. L'enregistrement SPF n'inclut pas le domaine ni l'adresse IP du serveur d'envoi.
~ Échec partiel. Le serveur avec l'adresse IP ou l'adresse de domaine correspondante peut être autorisé à envoyer des messages pour le domaine. Le serveur de réception accepte généralement les messages, tout en les marquant comme suspects.
? Neutre. L'enregistrement SPF n'indique pas explicitement que l'adresse IP ou le domaine est autorisé à envoyer des messages pour le domaine Les enregistrements SPF avec des résultats neutres incluent souvent ?all.

Étape 2. Activez le protocole SPF pour votre domaine

Activez le protocole SPF sur votre fournisseur de domaine.

  • Les noms de champs de l'étape 4 peuvent varier selon votre fournisseur. Le nom des champs d'enregistrement TXT DNS peut varier d'un fournisseur à l'autre.
  • Si votre organisation ou votre domaine envoie tous les e-mails depuis G Suite, utilisez la valeur de l'enregistrement SPF indiquée à l'étape 4. Si vous avez créé un enregistrement SPF personnalisé, saisissez plutôt cette valeur.

Pour mettre à jour l'enregistrement TXT SPF auprès de votre fournisseur de domaine, procédez comme suit :

  1. Préparez le fichier texte ou la ligne représentant votre enregistrement SPF.
  2. Connectez-vous à la console de gestion de votre hébergeur de domaine. Si vous ne savez pas qui est votre hébergeur de domaine, suivez les étapes décrites dans la section Rechercher l'hébergeur de votre domaine.
  3.  Accédez à la page permettant de mettre à jour les enregistrements DNS.
  4. Ajoutez un enregistrement DNS à vos serveurs de messagerie G Suite :
    Nom/Hébergeur/Alias Valeur TTL (Time to Live) Type d'enregistrement Priorité Valeur/Réponse/Destination
    @
    (ou laisser vide)
    3600 SPF 1 v=spf1 include:_spf.google.com ~all
  5. Enregistrez les modifications. Il peut s'écouler jusqu'à 48 heures avant que SPF ne commence à protéger votre domaine contre le spoofing et à assurer l'expédition des e-mails.
  6. (Facultatif) Répétez cette procédure pour chaque domaine que vous gérez pour votre organisation. 

Ajoutez un nouveau serveur de messagerie ou un nouveau domaine à vos enregistrements SPF

Mettez à jour votre enregistrement SPF auprès de votre fournisseur de domaine chaque fois que vous :

  • ajoutez des serveurs de messagerie à votre organisation ;
  • commencez à utiliser de nouveaux serveurs d'envoi tiers.

Si vous ne mettez pas à jour votre enregistrement SPF avec les nouvelles informations de serveur ou d'expéditeur, les messages envoyés depuis les nouveaux serveurs ou expéditeurs peuvent être expédiés dans le dossier "Spam".

Tout d'abord, mettez à jour votre enregistrement SPF avec de nouveaux serveurs ou domaines en suivant les instructions de l'étape 1 : Créez votre enregistrement SPF. Ensuite, mettez à jour votre enregistrement SPF auprès de votre fournisseur de domaine en suivant les instructions de l'étape 2. Activez le protocole SPF pour votre domaine.

Dépannage des enregistrements SPF

Vérifier les résolutions DNS pour votre enregistrement SPF

Un enregistrement SPF étant limité à 10 résolutions, il ne peut pas inclure plus de 10 références à d'autres domaines. Si votre enregistrement SPF comporte plus de 10 résolutions, les messages de votre domaine échoueront au contrôle SPF du serveur de réception. Les messages peuvent être envoyés dans le dossier "Spam".

Chaque instance de ces tags dans l'enregistrement SPF génère une résolution : a, mx, include, ptr. Les résolutions imbriquées sont comptabilisées dans la limite de 10. Ainsi, si un domaine référencé dans un tag include comporte des références de domaine dans son enregistrement SPF, ces domaines sont comptabilisés dans votre limite.

Si les messages sont toujours envoyés comme spam, vérifiez le nombre de recherches pour votre enregistrement SPF à l'aide de la fonctionnalité Vérification MX de la Boîte à outils G Suite.

Pour réduire le nombre de résolutions dans votre enregistrement SPF, suivez les conseils ci-dessous :

  • N'utilisez pas de tags include, sauf en cas de nécessité.
  • Dans la mesure du possible, utilisez le tag ip4 ou ip6 au lieu de include.
  • Supprimez les tags en double ou ceux faisant référence au même domaine.

Référencez uniquement les domaines qui envoient activement des messages pour votre organisation. Supprimez toutes les instructions include pour les partenaires qui n'envoient plus d'e-mails pour votre domaine.

Google, G Suite et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?