Autoriser les expéditeurs d'e-mail avec SPF

Prévenir le spoofing depuis votre domaine

Sender Policy Framework (SPF) permet d'empêcher les spammeurs d'envoyer des e-mails non autorisés depuis votre domaine. Ce type de spam est appelé spoofing. SPF est un dispositif de protection de messagerie qui permet d'empêcher le spoofing depuis votre domaine. Le spoofing est une utilisation non autorisée courante de la messagerie. Certains serveurs de messagerie requièrent donc un dispositif SPF. Si vous ne définissez pas de SPF pour votre domaine, des messages risquent d'être renvoyés ou marqués comme spam.

Utiliser SPF avec DKIM et DMARC

Parallèlement à SPF, nous vous recommandons de configurer DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting & Conformance).

  • SPF spécifie les domaines autorisés à envoyer des messages.
  • DKIM vérifie que le contenu du message est authentique et qu'il n'a pas été modifié.
  • DMARC spécifie la manière dont votre domaine traite les e-mails entrants suspects.

Activer SPF pour votre domaine

Afin d'activer SPF pour votre domaine, ajoutez un enregistrement TXT SPF à votre hébergeur de domaine. L'ajout de cet enregistrement n'a pas d'impact sur votre flux de messagerie.

À propos des enregistrements TXT

Votre hébergeur de domaine gère les paramètres appelés "enregistrements DNS" qui dirigent le trafic Web vers votre domaine. Pour en savoir plus sur l'utilisation de ces enregistrements, consultez l'article À propos des enregistrements TXT. Si vous avez encore besoin d'aide concernant les enregistrements TXT, contactez votre hébergeur de domaine.

Un enregistrement TXT SPF répertorie les serveurs de messagerie autorisés à envoyer des e-mails depuis votre domaine. Les messages envoyés par des serveurs qui ne correspondent pas à l'enregistrement peuvent être marqués comme spam. 

SPF et serveurs de messagerie multiples

Nous vous déconseillons d'utiliser plusieurs enregistrements SPF pour plusieurs serveurs de messagerie. L'utilisation de plusieurs enregistrements SPF peut entraîner des problèmes d'autorisation. Utilisez le même enregistrement SPF pour tous vos serveurs de messagerie. 

Découvrez comment mettre à jour un enregistrement SPF existant pour l'appliquer à plusieurs serveurs de messagerie.

Ajouter un enregistrement TXT SPF

Pour activer SPF, mettez à jour l'enregistrement TXT SPF de votre domaine. Voici comment procéder :

  1. Connectez-vous au compte que vous possédez chez l'hébergeur de votre domaine, et non à la console d'administration Google.

    Aidez-moi à identifier mon hébergeur.

  2. Localisez la page permettant de mettre à jour les enregistrements DNS de votre domaine. Le titre de cette page peut être du type Gestion DNS, Gestion du serveur de noms ou Paramètres avancés.
  3. Recherchez vos enregistrements TXT et vérifiez si votre domaine possède un enregistrement SPF existant. Son nom commence par v=spf1.
  4. Si votre domaine possède déjà un enregistrement SPF, supprimez-le. Sinon, passez directement à l'étape 5.
  5. Créez un enregistrement TXT à l'aide des valeurs suivantes :
    • Nom/Hôte/Alias : saisissez @ ou laissez le champ vide. Les autres enregistrements DNS de votre domaine peuvent indiquer l'entrée adéquate.
    • TTL (Time To Live) : saisissez 3600 ou conservez la valeur par défaut.
    • Valeur/Réponse/Destination : saisissez v=spf1 include:_spf.google.com ~all.

  6. Sauvegardez l'enregistrement.

Un délai de 48 heures peut être nécessaire pour que le nouvel enregistrement SPF soit pris en compte.

Valider votre enregistrement SPF

Validez votre enregistrement SPF à l'aide de l'application Check MX, qui fait partie de la Boîte à outils G Suite. Voici comment procéder :

  1. Accédez à l'adresse https://toolbox.googleapps.com/apps/checkmx/.
  2. Saisissez votre nom de domaine.
  3. Cliquez sur Lancer la vérification.
  4. Une fois le test terminé, cliquez sur Plages d'adresses SPF effectives.
  5. Vérifiez les plages obtenues, qui devraient inclure les éléments suivants :
    • _spf.google.com
    • _netblocks.google.com suivi de plusieurs adresses IP
    • _netblocks2.google.com suivi de plusieurs adresses IP
    • _netblocks3.google.com suivi de plusieurs adresses IP

Appliquer un enregistrement SPF à plusieurs serveurs

Un domaine ne peut contenir qu'un seul enregistrement SPF. Ne créez pas d'enregistrement SPF pour chaque serveur de messagerie. À la place, mettez à jour un seul enregistrement SPF pour inclure tous vos serveurs de messagerie.

Par exemple, si vous configurez une passerelle de messagerie sortante, votre enregistrement SPF inclura l'adresse du serveur Gmail et celle du serveur SMTP de la passerelle sortante.

Pour ajouter un serveur de messagerie à un enregistrement SPF existant, saisissez l'adresse IP du serveur juste avant l'argument ~all. Utilisez le format ip4:adresse ou ip6:adresse, comme dans l'exemple suivant :

v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all

Pour ajouter un domaine de serveur de messagerie, utilisez une instruction include pour chaque domaine. Exemple :

v=spf1 include:domaineduserveur.com include:_spf.google.com ~all

Nombre maximal de résolutions DNS et de contrôles SPF

SPF accepte jusqu'à 10 résolutions DNS. Les résolutions imbriquées sont prises en compte dans ce nombre maximal. Si votre enregistrement SPF comporte plus de 10 résolutions, les mécanismes qui viennent après le dixième sont considérés comme non valides, et le contrôle SPF échoue. 

En savoir plus sur les limites de résolutions DNS imposées par la norme RFC 7208

Les mécanismes et modificateurs d'enregistrement SPF suivants sont pris en compte dans le nombre maximal de résolutions :

  • a
  • exists
  • include
  • mx
  • ptr
  • require

Les mécanismes et modificateurs suivants ne sont pas pris en compte dans le nombre maximal de résolutions :

  • exp
  • ip4
  • ip6

Voici quelques exemples de réduction du nombre de résolutions dans votre enregistrement SPF :

  • Évitez les instructions include inutiles.
  • Dans la mesure du possible, utilisez le mécanisme ip4 ou ip6 à la place de include.
  • Évitez d'utiliser le mécanisme ptr, car il génère de nombreuses résolutions DNS.
  • Supprimez les mécanismes en double ou ceux qui se résolvent en un même domaine.
  • Référencez uniquement les domaines qui expédient des messages de manière active.
  • Supprimez toutes les instructions include dans les enregistrements SPF des partenaires qui n'envoient plus d'e-mails depuis votre domaine.

Vous pouvez vérifier le nombre de résolutions liées à votre enregistrement SPF à l'aide de l'application Check MX, qui fait partie de la Boîte à outils G Suite.

Articles associés

Pour en savoir plus sur les éléments à inclure dans les enregistrements SPF, consultez l'article Plages d'adresses IP utilisées par Google.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?