Assurer la distribution des e-mails et empêcher le spoofing (grâce au protocole SPF)

Protégez-vous des e-mails falsifiés et assurez-vous que les messages valides ne sont pas marqués comme spam.

Le protocole Sender Policy Framework (SPF) est un dispositif d'authentification des e-mails qui définit les serveurs de messagerie autorisés à envoyer des e-mails pour votre domaine. SPF protège votre domaine contre le spoofing et assure la bonne distribution de vos messages. Les serveurs de messagerie recevant les e-mails issus de votre domaine utilisent le protocole SPF pour vérifier que les messages qui semblent provenir de votre domaine proviennent bien de celui-ci.

  • SPF permet d'empêcher le spoofing : les spammeurs peuvent falsifier votre domaine ou le nom de votre organisation pour envoyer de faux messages. C'est ce que l'on appelle le spoofing. Les messages frauduleux peuvent être utilisés à des fins malveillantes, par exemple, pour communiquer des informations erronées, pour envoyer des logiciels malveillants ou pour inciter les utilisateurs à divulguer des informations sensibles. Le protocole SPF aide les serveurs de réception à vérifier que les e-mails envoyés depuis votre domaine proviennent bien de votre organisation, et qu'ils sont envoyés par un serveur de messagerie que vous avez approuvé.
  • Le protocole SPF permet de distribuer des messages dans les boîtes de réception des destinataires : il permet d'éviter que les messages provenant de votre domaine ne finissent dans le dossier "Spam". Si votre domaine n'utilise pas ce protocole, les serveurs de réception ne peuvent pas vérifier que les messages qui semblent provenir de votre domaine sont bien envoyés par vous. Les serveurs de réception peuvent envoyer des messages valides dans les dossiers "Spam", voire les rejeter.

Remarque  : Si vous avez acheté votre domaine auprès d'un partenaire Google lors de votre inscription à G Suite, vous n'aurez peut-être pas besoin de configurer d'enregistrements SPF. Vérifiez si ce protocole figure dans les Paramètres gérés par l'hébergeur de votre domaine.

Bonnes pratiques concernant l'authentification des e-mails

Nous vous recommandons de toujours configurer les méthodes d'authentification suivantes pour votre domaine :

  • SPF permet aux serveurs de vérifier que les messages semblant provenir d'un domaine particulier sont envoyés depuis des serveurs autorisés par le propriétaire du domaine.
  • DKIM ajoute une signature numérique à chaque message. Cela permet aux serveurs de réception de vérifier que les messages ne sont pas falsifiés et n'ont pas été modifiés pendant le transit.
  • DMARC authentifie les messages avec SPF et DKIM, et gère les messages entrants suspects.
Pour connaître la procédure détaillée, consultez Empêcher le spoofing, l'hameçonnage et le spam.

Avant de commencer

Lisez les informations de cette section avant d'activer le protocole SPF pour votre organisation.

Rechercher votre fournisseur de domaine
Activez le protocole SPF dans la console d'administration de votre fournisseur de domaine, et non dans celle de Google. Si vous ne savez pas qui est votre fournisseur de domaine, procédez comme suit :

Si vous ne retrouvez pas votre historique de facturation, vous pouvez rechercher votre hébergeur de domaine en ligne. La société ICANN (Internet Corporation for Assigned Names and Numbers) est une organisation à but non lucratif qui rassemble les informations concernant les domaines. Recherchez votre hébergeur de domaine à l'aide de l'outil de recherche ICANN.

  1. Accédez à lookup.icann.org.
  2. Dans le champ de recherche, saisissez votre nom de domaine, puis cliquez sur Lookup (Rechercher).
  3. Faites défiler la page de résultats jusqu'à Registrar Information (Informations sur le bureau d'enregistrement). Le bureau d'enregistrement correspond généralement à votre hébergeur de domaine.

Revendeurs de domaine

Certains domaines sont hébergés par des revendeurs via un bureau d'enregistrement distinct. Si vous n'arrivez pas à vous connecter au bureau d'enregistrement indiqué ou si le champ "Bureau d'enregistrement" est vide, il est possible que votre hébergeur de domaine soit un revendeur.

  1. Faites défiler la page de résultats de recherche ICANN jusqu'à Raw Registry RDAP Response (Réponse RDAP contenant les données d'enregistrement brutes).
  2. Recherchez l'entrée Reseller (Revendeur).
  3. Accédez au site Web du revendeur.
  4. Connectez-vous avec les identifiants utilisés lors de l'achat (ou du transfert) de votre domaine.
    Si vous avez oublié votre mot de passe, contactez l'assistance du revendeur.

Si aucun revendeur n'est répertorié, contactez l'assistance du bureau d'enregistrement indiqué pour obtenir de l'aide.

Fournisseurs de messagerie tiers

Les messages valides envoyés par des fournisseurs de messagerie tiers pour votre domaine peuvent échouer aux contrôles SPF. Dans ce cas, le serveur de réception peut expédier des messages provenant de fournisseurs tiers dans le dossier "Spam".

Pour vous assurer que les messages envoyés par des fournisseurs tiers sont approuvés lors des contrôles SPF, procédez comme suit :

  • Vérifiez les enregistrements SPF de votre fournisseur.
  • Routez les messages via votre domaine ou votre réseau en configurant un relais SMTP.
Enregistrement TXT pour SPF

Pour activer le protocole SPF pour votre domaine, mettez à jour l'enregistrement TXT pour SPF dans la console de gestion de votre fournisseur de domaine.

Les enregistrements TXT sont un type d'enregistrement DNS (Domain Name System) qui fournit des informations sous forme de texte pour les serveurs et d'autres sources externes à votre domaine. Pour en savoir plus, consultez À propos des enregistrements TXT.

Pour connaître la procédure détaillée, consultez Activez le protocole SPF pour votre domaine.

(Facultatif) Vérifier votre enregistrement TXT pour SPF actuel

Il se peut que vous ayez déjà configuré un enregistrement TXT pour SPF avec votre fournisseur de domaine. Pour le vérifier, utilisez la fonctionnalité Vérification MX de la boîte à outils G Suite :

  1. Accédez à la Boîte à outils G Suite.
  2. Saisissez votre nom de domaine.
  3. Cliquez sur Lancer la vérification.
  4. Une fois le test terminé, cliquez sur Plages d'adresses SPF effectives.
  5. Vérifiez les plages obtenues. Elles doivent inclure les éléments suivants :
    • _spf.google.com
    • _netblocks.google.com suivi de plusieurs adresses IP
    • _netblocks2.google.com suivi de plusieurs adresses IP
    • _netblocks3.google.com suivi de plusieurs adresses IP

Étape 1 : Créez votre enregistrement TXT pour SPF

Un enregistrement TXT pour SPF définit les serveurs de messagerie autorisés à envoyer des e-mails pour votre domaine.

Un seul domaine ne peut contenir qu'un seul enregistrement TXT pour SPF. Toutefois, l'enregistrement TXT d'un domaine peut spécifier plusieurs serveurs et domaines autorisés à envoyer des e-mails.

Contenu de l'enregistrement TXT

Si tous les e-mails de votre organisation proviennent de G Suite, utilisez la ligne de texte suivante pour votre enregistrement TXT :

v=spf1 include:_spf.google.com ~all

Si vous envoyez des e-mails de l'une des manières suivantes en plus de G Suite, vous devez créer un enregistrement TXT pour SPF personnalisé :

  • Vous envoyez des messages à partir d'autres serveurs.
  • Vous utilisez un fournisseur de messagerie tiers.
  • Votre site Web utilise un service qui génère des e-mails automatiques, par exemple un formulaire de contact.

Créez votre enregistrement TXT à l'aide des informations contenues dans les sections Informations sur les serveurs pour votre enregistrement TXT et Format des enregistrements TXT.

Informations sur les serveurs pour votre enregistrement TXT
Votre enregistrement TXT pour SPF doit inclure des informations sur vos serveurs de messagerie.

Adresses IP de tous vos serveurs de messagerie

Identifiez les adresses IP de tous les serveurs qui envoient des e-mails pour votre organisation. Ces serveurs peuvent inclure les éléments suivants :

  • Serveurs Web
  • Serveurs de messagerie sur site, par exemple Microsoft Exchange
  • Serveurs de messagerie utilisés par votre fournisseur de services
  • Tout fournisseur ou service tiers qui envoie des e-mails pour votre domaine

Tous les domaines contrôlés par votre organisation

Identifiez tous les domaines contrôlés par votre organisation, y compris ceux qui n'envoient pas d'e-mails. Les spammeurs peuvent tenter d'usurper l'identité des domaines qui n'envoient pas de messages, en particulier une fois que vous avez protégé les domaines d'envoi à l'aide du protocole SPF.

Format de l'enregistrement TXT

Un enregistrement TXT se présente sous la forme d'une ligne de texte brut qui correspond à une liste de tags et de valeurs. Ces tags sont appelés mécanismes. D'autres tags facultatifs appelés qualificatifs définissent l'action à effectuer en cas de correspondance avec un mécanisme.

Voici quelques exemples d'enregistrements TXT pour SPF. Remplacez les exemples d'adresses IP et de domaines par vos propres adresses et noms de domaine.

v=spf1 ip4:192.168.0.1/16 -all

Cet enregistrement TXT autorise toutes les adresses IP entre 192.168.0.1 et 192.168.255.255 à envoyer des e-mails pour votre domaine.

v=spf1 -all

Cet enregistrement TXT empêche le spoofing de vos domaines qui n'envoient pas d'e-mails.

Mécanismes d'enregistrement TXT pour SPF

Les tags à l'aide desquels un enregistrement TXT pour SPF a été créé s'appellent des mécanismes.

Important : Un enregistrement TXT pour SPF peut comporter jusqu'à 10 résolutions. Dans un enregistrement TXT, les mécanismes suivants permettent une résolution : a, mx et include. Si votre enregistrement TXT comporte plus de 10 résolutions, les messages de votre domaine ne seront pas approuvés lors du contrôle d'authentification SPF effectué par le serveur de réception. Ces messages peuvent être expédiés dans le dossier "Spam". Pour en savoir plus, consultez les détails de la section Vérifier les résolutions DNS pour votre enregistrement SPF.

Voici une liste des mécanismes à utiliser dans votre enregistrement TXT. Les mécanismes sont vérifiés dans l'ordre dans lequel ils figurent dans l'enregistrement TXT. S'il existe une correspondance avec un mécanisme et qu'aucun qualificatif n'est utilisé, l'action par défaut consiste à approuver les messages lors du contrôle SPF.

Remarque : Les adresses et domaines indiqués dans ce tableau sont des exemples. Remplacez ces exemples de valeurs par des adresses IP et des domaines correspondant à vos propres serveurs de messagerie et organisations.

Mécanisme Description et valeurs autorisées
v Version SPF, qui doit être équivalente à spf1. Ce tag est requis, et doit être le premier de l'enregistrement.
ip4 Spécifie un ou plusieurs serveurs de messagerie comme adresse ou plage d'adresses IPv4. La valeur doit correspondre à une adresse IPv4 au format standard, par exemple comme suit :
ip4:192.168.0.1
ip6 Spécifie un ou plusieurs serveurs de messagerie comme adresse ou plage d'adresses IPv6. La valeur doit correspondre à une adresse IPv6 au format standard, par exemple comme suit :
ip6:3FFE:000:000:0001:0200:F8FF:FE75:50DF
a Spécifie un serveur de messagerie par nom de domaine, par exemple comme suit :
a:solarmora.com
mx

Spécifie un ou plusieurs serveurs de messagerie en faisant référence à un enregistrement MX de domaine, par exemple comme suit :
mx:mail.solarmora.com

La spécification d'un domaine à l'aide de ce mécanisme est facultative. Si vous ne spécifiez pas de domaine, la valeur par défaut correspond aux enregistrements MX du domaine sur lesquels l'enregistrement SPF est utilisé.

include

Spécifie les serveurs de messagerie d'un domaine autre que le vôtre, par exemple comme suit :
include:sparkpostmail.com

Ce mécanisme vous permet d'autoriser les expéditeurs de messages tiers.

all S'il est utilisé, il doit s'agir du dernier tag de l'enregistrement. Les vérifications SPF ignorent tout mécanisme compris après all. Nous vous recommandons d'utiliser ce mécanisme avec un qualificatif d'échec partiel : ~all

Qualificatifs d'enregistrement TXT pour SPF

Les tags facultatifs appelés qualificatifs définissent l'action à effectuer lorsqu'il existe une correspondance avec un mécanisme de l'enregistrement TXT pour SPF.

Les mécanismes sont vérifiés dans l'ordre dans lequel ils apparaissent dans l'enregistrement TXT. Si vous n'utilisez pas de qualificatifs, l'action par défaut consiste à approuver les messages lors du contrôle SPF. L'action est définie par défaut sur "Neutre" en l'absence de correspondance de mécanisme.

Voici une liste de qualificatifs pouvant être utilisés dans un enregistrement TXT. Un qualificatif est un préfixe facultatif que vous pouvez ajouter à n'importe quel mécanisme de l'enregistrement. Les qualificatifs indiquent l'action à effectuer en cas de correspondance avec la valeur d'un mécanisme.

Nous vous recommandons d'utiliser le qualificatif ~all dans votre enregistrement TXT pour SPF.

Qualificatif Description
+ Validation. Le serveur associé à l'adresse IP ou au domaine correspondant est autorisé à envoyer des messages pour le domaine. Cette valeur est utilisée par défaut si aucun qualificatif n'est utilisé.
- Échec. Le serveur associé à l'adresse IP ou au domaine correspondant n'est pas autorisé à envoyer des messages pour le domaine. L'enregistrement SPF n'inclut pas le domaine ni l'adresse IP du serveur d'envoi.
~ Échec partiel. Le serveur associé à l'adresse IP ou l'adresse de domaine correspondante peut être autorisé à envoyer des messages pour le domaine. Le serveur de réception accepte généralement les messages, mais les marque comme suspects.
? Neutre. L'enregistrement SPF n'indique pas explicitement que l'adresse IP ou le domaine est autorisé à envoyer des messages pour le domaine. Les enregistrements SPF dont les résultats sont neutres incluent souvent ?all.

Étape 2 : Activez le protocole SPF pour votre domaine

Activez le protocole SPF auprès de votre fournisseur de domaine en ajoutant un enregistrement TXT DNS pour SPF.

  • Les noms des champs de l'étape 4 ci-dessous peuvent être différents pour votre fournisseur. Le nom des champs des enregistrements TXT DNS peut varier légèrement d'un fournisseur à un autre.
  • Si votre organisation ou votre domaine envoie tous les e-mails depuis G Suite, utilisez la valeur de l'enregistrement TXT indiquée à l'étape 4 ci-dessous. Si vous avez créé un autre enregistrement TXT, saisissez plutôt cette valeur.

Pour activer le protocole SPF, mettez à jour l'enregistrement TXT DNS pour SPF de votre fournisseur de domaine.

  1. Récupérez le fichier texte ou la ligne de texte qui définit votre enregistrement TXT.
  2. Connectez-vous à la console de gestion de votre hébergeur de domaine. Si vous ne savez pas qui est votre hébergeur, suivez la procédure de la section Rechercher votre fournisseur de domaine.
  3. Accédez à la page sur laquelle vous modifiez les enregistrements TXT de votre domaine.
  4. Ajoutez un enregistrement TXT à vos serveurs de messagerie G Suite :
    Nom/hébergeur/alias Valeur TTL (Time to Live) Enregistrement TXT DNS à mettre à jour Priorité Valeur/réponse/destination
    @
    (ou laisser vide)
    3600 SPF 1 v=spf1 include:_spf.google.com ~all
  5. Enregistrez les modifications. Il peut s'écouler jusqu'à 48 heures avant que le protocole SPF ne commence à protéger votre domaine contre le spoofing et à assurer la distribution des e-mails.
  6. (Facultatif) Répétez cette procédure pour chaque domaine que vous gérez pour votre organisation.

Ajouter un nouveau serveur de messagerie ou domaine à vos enregistrements SPF

Mettez à jour votre enregistrement TXT auprès de votre fournisseur de domaine chaque fois que vous :

  • ajoutez des serveurs de messagerie à votre organisation ;
  • commencez à utiliser de nouveaux serveurs d'envoi tiers.

Si vous ne mettez pas à jour votre enregistrement TXT avec les nouvelles informations de serveur ou d'expéditeur, les messages envoyés depuis les nouveaux serveurs ou expéditeurs peuvent être expédiés dans le dossier "Spam".

Commencez par ajouter à votre enregistrement TXT les informations concernant les nouveaux serveurs ou domaines en suivant les instructions de l'Étape 1 : Créez votre enregistrement TXT pour SPF. Ensuite, mettez à jour votre enregistrement SPF auprès de votre fournisseur de domaine en suivant les instructions de l'Étape 2 : Activez le protocole SPF pour votre domaine.

Dépannage des enregistrements SPF

Si les messages envoyés depuis votre domaine sont encore expédiés dans le dossier "Spam" même après avoir activé le protocole SPF, suivez les conseils de dépannage suivants.

Vérifier que les messages sont approuvés lors des contrôles SPF

Pour vérifier que votre enregistrement SPF fonctionne comme prévu et que les messages de votre domaine sont approuvés lors des contrôles SPF, vérifiez l'un des messages envoyés à partir de votre domaine.
Demandez à une personne ayant reçu un message de votre domaine de l'ouvrir, puis d'afficher les en-têtes complets de l'e-mail. Consultez ensuite l'en-tête du message pour en vérifier les résultats du contrôle SPF. Si l'en-tête indique que le contrôle SPF a échoué, recherchez les erreurs dans votre enregistrement SPF. Assurez-vous que l'enregistrement inclut des références à tous les serveurs et domaines qui envoient des messages au nom de votre organisation.
Commencez par examiner l'Étape 1 : Créez votre enregistrement TXT pour SPF, puis apportez les modifications nécessaires à votre enregistrement TXT. Modifiez ensuite l'enregistrement sur le site de votre hébergeur de domaine en suivant la procédure décrite à l'Étape 2 : Activez le protocole SPF pour votre domaine.
Vérifier les résolutions DNS pour votre enregistrement TXT

Les enregistrements TXT de SPF sont limités à 10 résolutions. Ainsi, votre enregistrement TXT pour SPF ne peut pas inclure plus de 10 résolutions à d'autres domaines. Si votre enregistrement TXT comporte plus de 10 résolutions, les messages de votre domaine échoueront au contrôle SPF du serveur de réception. Les messages peuvent être envoyés dans le dossier "Spam".

Chaque instance de ces tags dans l'enregistrement TXT génère l'une des résolutions suivantes : a, mx, include, ptr.

Les résolutions imbriquées sont comptabilisées dans la limite de 10. Ainsi, si un domaine référencé dans un tag include comporte des références de domaine dans son enregistrement TXT pour SPF, ces domaines sont comptabilisés dans cette limite.

Si les messages sont toujours envoyés dans le dossier "Spam", vérifiez le nombre de résolutions liées à votre enregistrement TXT à l'aide de la fonctionnalité Vérification MX de la boîte à outils G Suite.

Pour réduire le nombre de résolutions dans votre enregistrement TXT, suivez les conseils ci-dessous :

  • N'utilisez pas de tags include, sauf en cas de nécessité.
  • Dans la mesure du possible, utilisez le tag ip4 ou ip6 au lieu de include.
  • Supprimez les tags en double ou ceux faisant référence au même domaine.

Référencez uniquement les domaines qui envoient activement des messages au nom de votre organisation. Supprimez toutes les instructions include pour les partenaires qui n'envoient plus d'e-mails pour votre domaine.

Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.