Assurer la distribution des e-mails et empêcher le spoofing (grâce au protocole SPF)

Protégez-vous des e-mails falsifiés et assurez-vous que les messages valides ne sont pas marqués comme spam.

À l'aide du protocole SPF (Sender Policy Framework), vous pouvez protéger votre domaine contre le spoofing et assurer la bonne distribution de vos messages. Ce protocole vous permet d'authentifier les e-mails et de spécifier les serveurs de messagerie autorisés à envoyer des e-mails pour votre domaine. Les serveurs de messagerie utilisent le protocole SPF pour vérifier que les messages qui semblent provenir de votre domaine proviennent bien de celui-ci.

Tout ouvrir  |  Tout fermer

Pourquoi utiliser SPF ?

Remarque : Si vous avez acheté votre domaine auprès d'un partenaire Google lors de votre inscription à Google Workspace, vous n'aurez peut-être pas besoin de configurer d'enregistrements SPF. Vérifiez que SPF fait partie des paramètres gérés par l'hébergeur de votre domaine.

Empêcher le spoofing
Les spammeurs peuvent falsifier votre domaine ou le nom de votre organisation pour envoyer de faux messages. C'est ce que l'on appelle le spoofing. Les messages frauduleux peuvent être utilisés à des fins malveillantes, par exemple pour communiquer des informations erronées, envoyer des logiciels malveillants ou inciter les utilisateurs à divulguer des informations sensibles. Le protocole SPF aide les serveurs de réception à vérifier que les e-mails envoyés depuis votre domaine proviennent bien de votre organisation, et qu'ils sont envoyés par un serveur de messagerie que vous avez approuvé.
Garantir la distribution des messages dans la boîte de réception des destinataires
Le protocole SPF permet d'éviter que les messages provenant de votre domaine ne finissent pas dans un dossier "Spam" ou "Courrier indésirable". Si votre domaine n'utilise pas ce protocole, les serveurs de réception ne peuvent pas vérifier que les messages qui semblent provenir de votre domaine sont bien envoyés par vous. Les serveurs de réception peuvent envoyer des messages valides dans les dossiers "Spam" de vos destinataires, voire les rejeter.

Avant de commencer

Activez le protocole SPF dans la console d'administration de votre fournisseur de domaine, et non dans celle de Google. Si vous ne savez pas qui est votre fournisseur de domaine, procédez comme suit :

Étape 1 : Recherchez votre fournisseur de domaine

Si vous ne retrouvez pas votre historique de facturation, vous pouvez rechercher votre hébergeur de domaine en ligne. La société ICANN (Internet Corporation for Assigned Names and Numbers) est une organisation à but non lucratif qui rassemble les informations concernant les domaines. Recherchez votre hébergeur de domaine à l'aide de l'outil de recherche ICANN.

  1. Accédez à lookup.icann.org.
  2. Dans le champ de recherche, saisissez votre nom de domaine, puis cliquez sur Lookup (Rechercher).
  3. Faites défiler la page de résultats jusqu'à Registrar Information (Informations sur le bureau d'enregistrement). Le bureau d'enregistrement correspond généralement à votre hébergeur de domaine.

Revendeurs de domaine

Certains domaines sont hébergés par des revendeurs via un bureau d'enregistrement distinct. Si vous n'arrivez pas à vous connecter au bureau d'enregistrement indiqué ou si le champ "Bureau d'enregistrement" est vide, il est possible que votre hébergeur de domaine soit un revendeur.

  1. Faites défiler la page de résultats de recherche ICANN jusqu'à Raw Registry RDAP Response (Réponse RDAP contenant les données d'enregistrement brutes).
  2. Recherchez l'entrée Reseller (Revendeur).
  3. Accédez au site Web du revendeur.
  4. Connectez-vous avec les identifiants utilisés lors de l'achat (ou du transfert) de votre domaine.
    Si vous avez oublié votre mot de passe, contactez l'assistance du revendeur.

Si aucun revendeur n'est répertorié, contactez l'assistance du bureau d'enregistrement indiqué pour obtenir de l'aide.

Étape 2 : Assurez-vous que les messages des fournisseurs de messagerie tiers passent le contrôle SPF

Les messages valides envoyés par des fournisseurs de messagerie tiers pour votre domaine peuvent échouer aux contrôles SPF. Le serveur de réception est susceptible d'envoyer ces messages dans le dossier "Spam". Pour garantir que les messages passent le contrôle SPF :

  • Vérifiez les enregistrements SPF de votre fournisseur.
  • Routez les messages via votre domaine ou votre réseau en configurant un relais SMTP.
Étape 3 : (Facultatif) Vérifiez votre enregistrement TXT actuel pour SPF

Un enregistrement TXT est un type d'enregistrement DNS (Domain Name System) qui fournit des informations sous forme de texte pour les serveurs et d'autres sources externes à votre domaine. Il se peut que vous ayez déjà configuré un enregistrement TXT pour SPF avec votre fournisseur de domaine. Pour le vérifier, utilisez la fonctionnalité Vérification MX de Google Admin Toolbox :

  1. Accédez à Google Admin Toolbox.
  2. Saisissez votre nom de domaine.
  3. Cliquez sur Lancer la vérification.
  4. Une fois le test terminé, cliquez sur Plages d'adresses SPF effectives.
  5. Vérifiez les plages obtenues. Elles doivent inclure :
    [votre-nom-de-domaine-ici.com]
    _spf.google.com
    _netblocks.google.com suivi de plusieurs adresses IP
    _netblocks2.google.com suivi de plusieurs adresses IP
    _netblocks3.google.com suivi de plusieurs adresses IP

Étape 1 : Créez votre enregistrement TXT pour SPF

Un enregistrement TXT pour SPF définit les serveurs de messagerie autorisés à envoyer des e-mails pour votre domaine. Un seul domaine ne peut contenir qu'un seul enregistrement TXT pour SPF. Toutefois, l'enregistrement TXT d'un domaine peut spécifier plusieurs serveurs et domaines autorisés à envoyer des e-mails.

Ouvrez un fichier TXT et saisissez le contenu de l'enregistrement TXT, en respectant les recommandations suivantes.

Contenu de l'enregistrement TXT

Si tous les e-mails de votre organisation proviennent de Google Workspace, utilisez la ligne de texte suivante pour votre enregistrement TXT :

v=spf1 include:_spf.google.com ~all

Créez un enregistrement TXT pour SPF personnalisé si vous envoyez des messages de l'une ou plusieurs des manières suivantes, en plus de Google Workspace :

  • Vous envoyez des messages à partir d'autres serveurs.
  • Vous utilisez un fournisseur de messagerie tiers.
  • Votre site Web utilise un service qui génère des e-mails automatiques, par exemple un formulaire Contactez-nous.

Exemple :

v=spf1 ip4:192.168.0.1/16 include:_spf.google.com include:sparkpostmail.com ~all

Cet enregistrement TXT pour SPF autorise Google Workspace, les adresses IP spécifiées et le service tiers SparkPost à envoyer des e-mails pour votre domaine.
Créez votre enregistrement TXT à l'aide des informations contenues dans les sections Informations sur les serveurs requises pour votre enregistrement TXT et Format de l'enregistrement TXT (ci-dessous).
Informations sur les serveurs requises pour votre enregistrement TXT
Votre enregistrement TXT pour SPF doit inclure des informations sur vos serveurs de messagerie.

Identifier les adresses IP de tous vos serveurs de messagerie

Ces serveurs peuvent inclure les éléments suivants :

  • Serveurs Web
  • Serveurs de messagerie sur site, par exemple Microsoft Exchange
  • Serveurs de messagerie utilisés par votre fournisseur de services
  • Tout fournisseur ou service tiers qui envoie des e-mails pour votre domaine

Identifier tous les domaines contrôlés par votre organisation

Incluez les domaines depuis lesquels aucun e-mail n'est envoyé. Les spammeurs peuvent tenter d'usurper l'identité des domaines qui n'envoient pas de messages, en particulier une fois que vous avez protégé les domaines d'envoi à l'aide du protocole SPF.

Format de l'enregistrement TXT

Un enregistrement TXT est une ligne de texte brut comprenant une liste de tags et de valeurs. Ces tags sont appelés mécanismes. D'autres tags facultatifs appelés qualificatifs définissent l'action à effectuer en cas de correspondance avec un mécanisme.

Exemples d'enregistrements TXT pour SPF

Voici quelques exemples d'enregistrements TXT pour SPF. Remplacez les exemples d'adresses IP et de domaines par vos propres adresses et noms de domaine.

v=spf1 ip4:192.168.0.1/16 -all

Cet enregistrement TXT autorise toutes les adresses IP entre 192.168.0.1 et 192.168.255.255 à envoyer des e-mails pour votre domaine.

v=spf1 ~all

Cet enregistrement TXT empêche le spoofing de vos domaines qui n'envoient pas d'e-mails.

Mécanismes d'enregistrement TXT pour SPF

Important : Un enregistrement TXT pour SPF peut comporter jusqu'à 10 résolutions. Dans un enregistrement TXT, les mécanismes suivants permettent une résolution : a, mx et include. Si votre enregistrement TXT comporte plus de 10 résolutions, les messages de votre domaine ne seront pas approuvés lors du contrôle d'authentification SPF effectué par le serveur de réception. Ces messages peuvent être envoyés dans le dossier "Spam". Pour en savoir plus, consultez l'étape Vérifiez les résolutions DNS pour votre enregistrement TXT (ci-dessous).

Voici une liste des mécanismes à utiliser dans votre enregistrement TXT. Les mécanismes sont vérifiés dans l'ordre dans lequel ils apparaissent dans l'enregistrement TXT. S'il existe une correspondance de mécanisme et qu'aucun qualificatif n'est utilisé, l'action par défaut est Validée.

Remarque : Les adresses et domaines indiqués dans ce tableau sont des exemples. Remplacez ces exemples de valeurs par des adresses IP et des domaines correspondant à vos propres serveurs de messagerie et organisations.

Mécanisme Description et valeurs autorisées
v Version SPF, qui doit être équivalente à spf1. Ce tag est requis, et doit être le premier de l'enregistrement.
ip4 Définit un ou plusieurs serveurs de messagerie par une adresse ou une plage d'adresses IPv4. La valeur doit être une adresse IPv4 au format standard, par exemple :
ip4:192.168.0.1
ip6 Définit un ou plusieurs serveurs de messagerie par une adresse ou une plage d'adresses IPv6. La valeur doit être une adresse IPv6 au format standard, par exemple :
ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
a Définit un serveur de messagerie par nom de domaine, par exemple :
a:solarmora.com
mx

Spécifie un ou plusieurs serveurs de messagerie en faisant référence à un enregistrement MX de domaine, par exemple :
mx:mail.solarmora.com

La spécification d'un domaine à l'aide de ce mécanisme est facultative. Si vous ne spécifiez pas de domaine, la valeur par défaut correspond aux enregistrements MX du domaine sur lesquels l'enregistrement SPF est utilisé.

include

Spécifie les serveurs de messagerie d'un domaine autre que le vôtre, par exemple :
include:sparkpostmail.com

Ce mécanisme vous permet d'autoriser les expéditeurs de messages tiers.

all Si vous utilisez all, il doit s'agir du dernier tag de l'enregistrement. Les vérifications SPF ignorent tout mécanisme compris après all. Nous vous recommandons d'utiliser ce mécanisme avec un qualificatif "softfail" (échec partiel) : ~all

Qualificatifs d'enregistrement TXT pour SPF

Les tags facultatifs appelés qualificatifs définissent l'action à effectuer lorsqu'il existe une correspondance avec un mécanisme de l'enregistrement TXT pour SPF.

Les mécanismes sont vérifiés dans l'ordre dans lequel ils apparaissent dans l'enregistrement TXT. Si vous n'utilisez pas de qualificatifs, l'action par défaut est Validée. L'action est définie par défaut comme étant Neutre en l'absence de correspondance avec un mécanisme.

Voici une liste de qualificatifs pouvant être utilisés dans un enregistrement TXT. Un qualificatif est un préfixe facultatif que vous pouvez ajouter à n'importe quel mécanisme de l'enregistrement. Les qualificatifs indiquent l'action à effectuer en cas de correspondance avec la valeur d'un mécanisme.

Nous vous recommandons d'utiliser le qualificatif ~all dans votre enregistrement TXT pour SPF.

Qualificatif Description
+ Validation. Le serveur associé à l'adresse IP ou au domaine correspondant est autorisé à envoyer des messages pour le domaine. Cette valeur est utilisée par défaut si aucun qualificatif n'est utilisé.
- Échec. Le serveur associé à l'adresse IP ou au domaine correspondant n'est pas autorisé à envoyer des messages pour le domaine. L'enregistrement SPF n'inclut pas le domaine ni l'adresse IP du serveur d'envoi.
~ Échec partiel. Le serveur associé à l'adresse IP ou l'adresse de domaine correspondante peut être autorisé à envoyer des messages pour le domaine. Le serveur de réception accepte généralement les messages, mais les marque comme suspects.
? Neutre. L'enregistrement SPF n'indique pas explicitement que l'adresse IP ou le domaine est autorisé à envoyer des messages pour le domaine. Les enregistrements SPF dont les résultats sont neutres incluent souvent ?all.

Pour plus d'informations sur la création d'enregistrements TXT, consultez Valeurs des enregistrements TXT.

Étape 2 : Activez le protocole SPF pour votre domaine

Important : Si vous ne mettez pas à jour votre enregistrement TXT avec les nouvelles informations de serveur ou d'expéditeur, les messages envoyés depuis les nouveaux serveurs ou expéditeurs peuvent être expédiés dans le dossier "Spam". Pour en savoir plus, consultez À propos des enregistrements TXT.

Activez le protocole SPF auprès de votre fournisseur de domaine en ajoutant un enregistrement TXT DNS pour SPF.

  • Les noms des champs de l'étape 3 ci-dessous peuvent être différents pour votre fournisseur. Le nom des champs des enregistrements TXT DNS peut varier légèrement d'un fournisseur à un autre.
  • Si votre organisation ou votre domaine envoie tous les e-mails depuis Google Workspace, utilisez la valeur de l'enregistrement TXT indiquée à l'étape 3 ci-dessous. Si vous avez créé un autre enregistrement TXT, saisissez plutôt cette valeur.

Pour activer SPF :

  1. Connectez-vous à la console de gestion de votre hébergeur de domaine.
  2. Accédez à la page sur laquelle vous modifiez les enregistrements TXT de votre domaine.
  3. À l'aide du fichier texte ou de la ligne de texte qui définit votre enregistrement TXT, créez un enregistrement DNS pour vos serveurs de messagerie Google Workspace avec les valeurs suivantes :

    Type : TXT
    Host (Hôte) : @
    Value (Valeur) : v=spf1 include:_spf.google.com ~all
    TTL (Valeur TTL) : 1 hour (or 3600 seconds)

Ajouter un nouveau serveur de messagerie ou domaine à vos enregistrements SPF

Pour activer le protocole SPF pour votre domaine, mettez à jour l'enregistrement TXT pour SPF dans la console de gestion de votre fournisseur de domaine à chaque fois que vous :

  • ajoutez des serveurs de messagerie à votre organisation ;
  • commencez à utiliser de nouveaux serveurs d'envoi tiers.

Pour ce faire, répétez les étapes 1 et 2 ci-dessus (Créez votre enregistrement TXT pour SPF et Activez le protocole SPF pour votre domaine).

Suivre d'autres bonnes pratiques pour l'authentification des e-mails

Vous pouvez aussi envisager de configurer les méthodes d'authentification des e-mails ci-dessous pour votre domaine. Pour connaître la procédure détaillée, consultez Empêcher le spoofing, l'hameçonnage et le spam.

DKIM
La norme DKIM (DomainKeys Identified Mail) permet de lutter contre le spoofing lors de l'envoi de messages depuis votre domaine. Elle ajoute une signature numérique à chaque message pour permettre aux serveurs de réception de vérifier que les messages ne sont pas falsifiés et n'ont pas été modifiés pendant le transit.
DMARC
L'authentification DMARC (Domain-based Message Authentication, Reporting, and Conformance) applique l'authentification SPF et DKIM, et vous donne accès à des rapports sur l'authentification et la distribution des messages.

Dépanner les enregistrements SPF

Si les messages envoyés depuis votre domaine sont encore expédiés dans le dossier "Spam" même après avoir activé le protocole SPF, suivez les conseils de dépannage suivants.

Étape 1 : Vérifiez que les messages passent le contrôle SPF
Pour vérifier que votre enregistrement SPF fonctionne comme prévu et que les messages de votre domaine sont approuvés lors des contrôles SPF, vérifiez l'un des messages envoyés à partir de votre domaine.
  1. Demandez à une personne ayant reçu un message de votre domaine de l'ouvrir, puis d'afficher les en-têtes complets de l'e-mail.
  2. Si l'en-tête indique que le contrôle SPF a échoué, recherchez les erreurs dans votre enregistrement SPF.
  3. Assurez-vous que l'enregistrement inclut des références à tous les serveurs et domaines qui envoient des messages au nom de votre organisation.
    1. Consultez l'Étape 1. Créez votre enregistrement TXT pour SPF ci-dessus.
    2. Apportez les changements requis à votre enregistrement TXT.
    3. Mettez à jour l'enregistrement auprès de votre hébergeur de domaine en suivant la procédure décrite à l'Étape 2. Activez le protocole SPF pour votre domaine ci-dessus.
Étape 2 : Vérifiez les résolutions DNS pour votre enregistrement TXT

Les enregistrements TXT pour SPF sont limités à 10 résolutions. Ainsi, votre enregistrement TXT pour SPF ne peut pas inclure plus de 10 résolutions à d'autres domaines.

  • Si votre enregistrement TXT comporte plus de 10 résolutions, les messages de votre domaine échoueront au contrôle SPF du serveur de réception.
  • Les messages peuvent être envoyés dans le dossier "Spam".
  • Chaque instance de ces tags dans l'enregistrement TXT génère l'une des résolutions suivantes : a, mx, include, ptr.
  • Les résolutions imbriquées sont comptabilisées dans la limite de 10. Ainsi, si un domaine référencé dans un tag include comporte des références de domaine dans son enregistrement TXT pour SPF, ces domaines sont comptabilisés dans cette limite.

Conseil : Si les messages sont toujours envoyés dans le dossier "Spam", vérifiez le nombre de résolutions liées à votre enregistrement TXT à l'aide de la fonctionnalité Vérification MX de Google Admin Toolbox.

Pour réduire le nombre de résolutions dans votre enregistrement TXT :

  • N'utilisez pas de tags include, sauf en cas de nécessité.
  • Dans la mesure du possible, utilisez le tag ip4 ou ip6 au lieu de include.
  • Supprimez les tags en double ou ceux faisant référence au même domaine.
  • Référencez uniquement les domaines qui expédient des e-mails de manière active. Supprimez toutes les instructions include pour les partenaires qui n'envoient plus d'e-mails pour votre domaine.


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.