Configurer une passerelle de messagerie entrante

Si vous disposez de l'ancienne édition gratuite de G Suite, passez à G Suite Basic afin de bénéficier de cette fonctionnalité. 

En tant qu'administrateur G Suite, vous pouvez configurer les serveurs Gmail pour qu'ils traitent correctement les e-mails émis par une passerelle de messagerie entrante. Cette configuration aide Gmail à détecter l'adresse IP source appropriée pour effectuer un contrôle SPF (Sender Policy Framework), ce qui lui permet de ne pas considérer un message comme un spam. 

Fonctionnement d'une passerelle de messagerie entrante avec Gmail

Une passerelle de messagerie entrante est un serveur par lequel transitent tous vos e-mails entrants. Cette passerelle effectue généralement certaines opérations sur les e-mails (archivage, filtrage, etc.) avant de les transférer vers le serveur de messagerie, qui les distribue aux destinataires.

Pour utiliser une passerelle de messagerie entrante avec Gmail, configurez les enregistrements MX de votre domaine de manière à ce qu'ils pointent vers elle. Configurez ensuite la passerelle pour qu'elle transfère les e-mails entrants vers les serveurs Gmail.

Configurez le paramètre "Passerelle entrante" pour permettre l'identification de l'adresse IP ou de la plage d'adresses de la passerelle. Gmail ignore l'étape des contrôles SPF pour les adresses IP incluses dans la liste d'adresses IP de passerelle.

Vous pouvez également :

  • configurer la détection automatique de l'adresse IP externe ;
  • refuser les e-mails qui ne proviennent pas de la passerelle ;
  • exiger que les connexions depuis la passerelle utilisent TLS (Transport Layer Security) ;
  • configurer le traitement des spams en fonction des tags présents dans les messages de la passerelle.

Configurer une passerelle entrante

Configurer des enregistrements MX et une passerelle

Remarque : Il n'est pas nécessaire de configurer les enregistrements MX pour un pointage vers le serveur de messagerie que vous comptez utiliser. Vous pouvez utiliser la passerelle entrante pour autoriser le trafic en provenance d'hôtes spécifiques, quelle que soit la destination de routage du flux de messagerie.    

  1. Mettez à jour les enregistrements MX de votre domaine pour qu'ils pointent vers la passerelle de messagerie entrante. Pour savoir comment procéder, consultez la page Configurer des enregistrements MX.

  2. Configurez la passerelle de manière à permettre l'envoi de messages aux serveurs Gmail. Les étapes de configuration varient en fonction de votre passerelle.

Premières étapes

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Applications puis G Suite puis Gmail puis Paramètres avancés.

    Conseil : Pour voir l'option "Paramètres avancés", faites défiler la page des paramètres de Gmail vers le bas.

  3. Sur la gauche, sélectionnez l'organisation racine (généralement votre domaine principal).
  4. Faites défiler la page jusqu'au paramètre de Passerelle entrante dans la section "Spam". Passez la souris sur ce paramètre et cliquez sur Configurer pour créer un nouveau paramètre, ou cliquez sur Modifier pour en modifier un déjà créé.
  5. Saisissez une description.

Étape 1 : Saisissez les adresses IP de passerelle et configurez les options

  1. Dans la section Adresses IP de passerelle, cliquez sur Ajouter et saisissez l'adresse IP ou la plage d'adresses.
    Si vos messages transitent par plusieurs passerelles différentes avant de parvenir à Gmail, vous devez inclure toutes les adresses IP de passerelle dans la liste d'adresses IP de passerelle.
  2. Cliquez sur Enregistrer.
  3. Configurez les options suivantes de votre choix.
  4. (Facultatif) Pour aider Gmail à détecter l'adresse IP source à utiliser pour le contrôle SPF, sélectionnez Détecter automatiquement l'adresse IP externe.

    Si vous sélectionnez cette option, Gmail recherche dans la ligne "Received: from", dans l'en-tête du message, la première adresse IP publique qui ne fait pas partie de la liste d'adresses IP de passerelle, et détecte qu'il s'agit de l'adresse IP "externe". La première adresse IP externe détectée est considérée par Gmail comme l'adresse IP d'envoi. Elle est utilisée pour réaliser les contrôles SPF et la détection du spam.

    Si vous ne sélectionnez pas cette option, Gmail ne peut effectuer qu'un seul saut en arrière pour récupérer l'adresse IP d'envoi. En savoir plus sur la façon dont Gmail détecte l'adresse IP source

  5. (Facultatif) Pour refuser tous les messages qui ne transitent pas par votre passerelle entrante, cochez la case Refuser tous les messages ne provenant pas d'adresses IP de passerelle.
  6. (Facultatif) Pour refuser les connexions en provenance d'adresses IP incluses dans la liste d'adresses IP de passerelle lorsqu'elles n'utilisent pas TLS, cochez l'option Exiger des connexions via TLS à partir des passerelles de messagerie répertoriées ci-dessus.


    Le protocole TLS est une norme du secteur basée sur la technologie SSL (Secure Sockets Layer), laquelle permet de chiffrer les e-mails pour une distribution sécurisée. En savoir plus sur la configuration de TLS

Étape 2 (facultative) : Configurez l'ajout de tags aux messages

Vous pouvez ajouter des tags aux messages pour indiquer au filtre antispam de Gmail si un message entrant doit être considéré comme spam. Si votre passerelle entrante ajoute une balise d'en-tête, vous pouvez utiliser une expression régulière correspondant à cette balise. Gmail vérifie ensuite les champs d'en-tête des messages entrants à la recherche de correspondances. L'expression régulière permet d'effectuer des tests pour trouver une correspondance simple d'en-tête, ou extraire une valeur numérique à tester.

De plus, si vous ajoutez des tags aux messages, vous pouvez désactiver la plupart des paramètres de détection du spam de Gmail, et utiliser principalement la valeur d'en-tête de la passerelle entrante pour classer ou non un message comme spam.

Pour configurer l'ajout de tags aux messages :

  1. Cochez la case Le message est considéré comme du spam si l'en-tête correspond à l'expression régulière suivante.
  2. Saisissez la balise d'en-tête de message de votre passerelle sous la forme d'une expression régulière.
  3. Cliquez sur Tester l'expression pour valider l'expression saisie.
  4. Sélectionnez une option :
    • Sélectionnez Le message est un spam si l'expression régulière correspond si vous souhaitez que l'évaluation d'un message comme spam dépende uniquement de la correspondance avec l'en-tête de ce dernier.

      Par exemple, si votre passerelle ajoute la balise d'en-tête X-spam-gw, et que vous souhaitez que l'évaluation du message comme spam dépende de la détection de cet en-tête, saisissez ^X-spam-gw:. Si vous souhaitez que l'évaluation du message comme spam dépende de la détection de l'en-tête exact et de rien d'autre, saisissez ^X-spam-gw: spam$.

    • Sélectionnez L'expression régulière extrait un score numérique si vous souhaitez que l'évaluation du message comme spam dépende d'un score présent dans l'en-tête. Sélectionnez ensuite un opérateur de comparaison "Supérieur à" ou "Inférieur à", puis saisissez le score numérique. L'expression régulière correspondant au score numérique doit comporter un groupe de capture.

      Si vous souhaitez que Gmail classe les messages comme spam lorsque la passerelle y ajoute l'en-tête X-spam: ou X-phishy: et un score numérique supérieur ou égal à .50, saisissez l'expression régulière ^X-(?:spam|phishy): (0\.\d*|1\.0*)$ en incluant un seul groupe de capture. Saisissez ensuite .50 pour le score numérique. 0\.\d*|1\.0* représente les valeurs décimales comprises entre 0 et 1, et les parenthèses indiquent le groupe numérique à extraire.

      Si l'expression que vous avez saisie comporte plusieurs parenthèses, insérez un point d'interrogation et un signe deux-points après la parenthèse ouvrante du groupe exclu de la capture, comme dans l'exemple précédent.

  5. (Facultatif) Pour désactiver la plupart des paramètres de détection du spam de Gmail, et utiliser principalement la valeur d'en-tête pour classer ou non un message comme spam, cochez la case Désactiver la détection du spam Gmail pour les messages reçus depuis cette passerelle et n'utiliser que la valeur d'en-tête.

Terminer la configuration

  1. Cliquez sur Ajouter un paramètre ou sur Enregistrer.
  2. Au bas de la page, cliquez sur Enregistrer.
  3. Vérifiez que les messages entrants sont bien distribués :
    1. Une fois que la Valeur TTL (time to live) a expiré pour les enregistrements MX que vous avez modifiés à l'étape 1, envoyez un e-mail à un utilisateur appartenant à votre domaine. Pour plus d'informations, consultez l'article Éviter le rejet des messages après la modification de vos enregistrements MX.
    2. Assurez-vous que la passerelle entrante traite le message et que l'utilisateur le reçoit bien dans sa boîte de réception.

Un délai d'une heure peut être nécessaire pour que vos modifications soient appliquées. Vous pouvez consulter les modifications dans le journal d'audit de la console d'administration.

Fonctionnement du paramètre de passerelle entrante

Méthode employée par Gmail pour détecter l'adresse IP source

Il est important de connaître la façon dont Gmail détecte l'adresse IP source d'un message, car celle-ci est utilisée pour réaliser des contrôles SPF et la classification du spam. La méthode employée pour déterminer l'adresse IP source est différente selon que vous avez configuré ou non le paramètre de passerelle entrante. Elle dépend également des adresses IP que vous ajoutez à la liste d'adresses IP de passerelle, ainsi que de l'activation ou non de l'option "Détecter automatiquement l'adresse IP externe".

Pour chaque message reçu, Gmail recherche l'adresse IP source dans les lignes "Received: from" de l'en-tête du message.

Si vous n'avez pas configuré le paramètre de passerelle entrante, Gmail recherche la ligne "Received: from" de l'en-tête qui contient l'enregistrement MX, pour déterminer que l'adresse IP source est bien celle qui se connecte au serveur Gmail.

Si vous avez configuré ce paramètre de manière à inclure l'adresse IP de connexion dans la liste d'adresses IP de passerelle, et que vous avez activé l'option "Détecter automatiquement l'adresse IP externe" :

  • Gmail recherche dans les lignes "Received: from" de l'en-tête du message la première occurrence d'une adresse IP publique externe qui n'est pas incluse dans la liste.
  • Si Gmail trouve une adresse IP publique, celle-ci est utilisée comme IP source lors du contrôle SPF.
  • Si Gmail ne trouve aucune adresse IP publique, le message est considéré comme un message interne ne nécessitant pas de contrôle SPF.
  • L'adresse IP source figurant dans l'en-tête du message et étant retenue pour le contrôle SPF est toujours l'adresse IP de connexion, et non l'adresse IP source réelle du message.

Remarque : Si le format d'une ligne "Received: from" de l'en-tête d'un message n'est pas standard ou reconnu, Gmail ne peut pas extraire l'adresse IP de ce saut. Il se peut que Gmail analyse toutes les lignes "Received : from" sans parvenir à extraire une adresse IP externe. Dans ce cas, l'adresse IP de connexion est utilisée par défaut, même si elle est incluse dans la liste d'adresses IP de passerelle.

Si vous avez configuré ce paramètre de manière à inclure l'adresse IP de connexion dans la liste d'adresses IP de passerelle, mais sans activer l'option "Détecter automatiquement l'adresse IP externe" :

  • Gmail ignore l'adresse IP de connexion et utilise l'adresse IP du saut précédent comme adresse IP source, même si celle-ci est également incluse dans la liste d'adresses IP de passerelle.

Exemple : Méthode employée par Gmail pour détecter l'adresse IP source

Pour illustrer l'influence des différents contrôles sur la méthode de détection de l'adresse IP source, prenons comme exemple l'en-tête de message suivant.

Delivered-To: M.Paul@exemple.com

Received: by 10.36.81.3 with SMTP id e3cs239nzb; Tue, 29 Mar 2005 15:11:47 -0800 (PST)

Return-Path: M.Jean@autredomaine.com

Received: from mail.fournisseur.com (mail.fournisseur.com [1.1.1.1]) by mx.gmail.com with SMTP id h19si826631rnb.2005.03.29.15.11.46; Tue, 29 Mar 2005 15:11:47 -0800 (PST)

Message-ID: <20050329231145.62086.mail@mail.fournisseur.com>

Received: from [3.3.3.3] by mail.fournisseur.com via HTTP; Tue, 29 Mar 2005 15:11:45 PST

Received: from [4.4.4.4] by mail.fournisseur.com via HTTP; Tue, 29 Mar 2005 15:11:44 PST

Received: from [5.5.5.5] by mail.fournisseur.com via HTTP; Tue, 29 Mar 2005 15:11:44 PST

Received: from [7.7.7.7] by mail.fournisseur.com via HTTP; Tue, 29 Mar 2005 15:11:44 PST

Date: Tue, 29 Mar 2005 15:11:45 -0800 (PST)

From: M. Jean

Subject: Bonjour

To: M. Paul

Si vous ne configurez pas la passerelle entrante

Gmail détecte que l'adresse IP source est 1.1.1.1, car il s'agit de l'adresse IP qui permet de se connecter au serveur Gmail dans la ligne d'en-tête "Received: from", et qui contient l'enregistrement MX. 

Received: from mail.fournisseur.com (mail.fournisseur.com [1.1.1.1]) by mx.gmail.com 

Si vous sélectionnez "Détecter automatiquement l'adresse IP externe"

Admettons que vous avez ajouté 1.1.1.1 et 3.3.3.3 aux adresses IP de passerelle : si vous sélectionnez "Détecter automatiquement l'adresse IP externe", l'adresse IP source est 4.4.4.4.

  • Gmail détecte que l'adresse IP de connexion est 1.1.1.1 et que l'adresse IP du saut précédent est 3.3.3.3.

  • Gmail ignore ces deux adresses IP, puisqu'elles sont incluses dans la liste d'adresses IP de passerelle.
  • Gmail détecte que l'adresse IP externe est 4.4.4.4, car il s'agit de la première adresse IP qui n'est pas incluse dans la liste.

Si vous ne sélectionnez pas "Détecter automatiquement l'adresse IP externe"

Admettons que vous avez ajouté 1.1.1.1 et 3.3.3.3 à la liste d'adresses IP de passerelle : si vous ne sélectionnez pas "Détecter automatiquement l'adresse IP externe", l'adresse IP source est 3.3.3.3.

Gmail ignore l'adresse IP de connexion, 1.1.1.1 et utilise l'adresse IP du saut précédent, 3.3.3.3, même si elle est incluse dans la liste d'adresses IP de passerelle.

Effets de ce paramètre sur une liste blanche de messagerie

Si vous ajoutez la même adresse IP à la liste d'adresses IP de passerelle et à une liste blanche de messagerie, elle ne sera pas prise en compte par la liste blanche. Si une adresse IP concerne une passerelle entrante, Gmail détecte que cette adresse n'est pas l'expéditeur initial du message. L'application recherche alors parmi les lignes Received: from de l'en-tête du message la première adresse IP publique qui n'est pas incluse dans la liste d'adresses IP de passerelle. Utilisez cette adresse IP pour ajouter des e-mails à la liste blanche.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?