Comment configurer un SPF pour Gmail

Sans un SPF Google approprié, les agents de transfert de courrier de Gmail peuvent classer par erreur vos e-mails légitimes comme du phishing ou du spam. Cela peut poser problème si vous utilisez Google Workspace pour votre activité professionnelle.

SPF Sender Policy Framework) est un enregistrement DNS TXT qui spécifie quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine. Il agit comme un gardien, garantissant que seuls les serveurs désignés peuvent envoyer des e-mails en votre nom. Google exige désormais l'authentification des e-mails pour tous les expéditeurs, rendant SPF incontournable.

Ce guide explique précisément comment configurer SPF Gmail et Google Workspace, la syntaxe correcte SPF pour les e-mails Google, les étapes de vérification, les erreurs courantes à éviter et comment intégrer DKIM et DMARC pour une protection complète.

Que sont SPF Gmail ?

Un enregistrement SPF Sender Policy Framework) spécifie quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine. Lorsqu'un e-mail est reçu, le serveur destinataire vérifie SPF du domaine dans l'adresse « De » afin de vérifier si l'e-mail provient d'un serveur autorisé.

Il est publié dans le DNS de votre domaine sous forme d'enregistrement SPF . Il contient une liste d'adresses IP ou de noms d'hôtes des serveurs autorisés à envoyer des e-mails au nom de votre domaine. Cet enregistrement peut inclure plusieurs serveurs et services tiers.

Si un e-mail est envoyé depuis une source non autorisée, le serveur destinataire vérifie SPF du domaine à l'aide de l'enregistrement DNS TXT. enregistrement DNS TXT.

L'importance d'un enregistrement SPF Gmail

Google exige que tous les expéditeurs d'e-mails mettent en place une authentification, et les expéditeurs en masse (plus de 5 000 messages par jour) doivent configurer SPF, DKIM et DMARC. Le non-respect de ces exigences a des conséquences réelles. Sans SPF Google Workspace :

• Vos e-mails peuvent être signalés comme spam par les serveurs de réception qui ne peuvent pas vérifier la légitimité de votre domaine.
• Votre domaine ou votre adresse IP peut être bloqué, ce qui rend la récupération de la délivrabilité beaucoup plus difficile que la mise en place d'une authentification dès le départ.
• La réputation de votre domaine est affectée par les les plaintes pour spam augmentent, ce qui s'aggrave avec le temps et affecte tous les envois futurs.

SPF constituent une ligne de défense essentielle pour votre domaine contre les actions malveillantes telles que l'usurpation d'adresse e-mail et les attaques par hameçonnage.

Au-delà de la sécurité, la mise en place d'un SPF peut considérablement améliorer la crédibilité et la fiabilité d'un domaine auprès des principaux fournisseurs de messagerie électronique tels que Gmail, Outlook et Yahoo. Cela augmente directement les chances que vos e-mails arrivent dans la boîte de réception plutôt que dans le dossier spam.

Comment fonctionne un enregistrement SPF ?

Un SPF est publié dans le DNS de votre domaine sous forme d'enregistrement TXT. Il s'agit d'une seule ligne de texte brut composée de balises qui spécifient les adresses IP et les noms de domaine de vos sources d'envoi autorisées.

SPF peuvent comporter jusqu'à 255 caractères par chaîne DNS, et la taille totale du fichier d'enregistrements TXT ne doit pas dépasser 512 octets.

Lorsqu'un e-mail est envoyé, le serveur destinataire vérifie SPF du domaine dans l'adresse « De » afin de vérifier si l'e-mail provient d'un serveur autorisé. Pour ce faire, il compare l'adresse IP du serveur expéditeur à la liste des adresses IP autorisées publiée dans votre SPF . Gmail vérifie automatiquement les messages entrants par rapport à SPF du domaine expéditeur afin d'en vérifier la légitimité dans le cadre de ce processus.

Sur la base de cette vérification, le serveur de messagerie destinataire attribue l'un des résultats suivants :

• Pass signifie que l'adresse IP du serveur d'envoi figure dans SPF et est autorisée à envoyer des e-mails pour le domaine.
• Échec signifie que l'adresse IP n'est pas autorisée, ce qui indique une possible usurpation d'adresse e-mail, et le message peut être rejeté sans autre forme de procès.
• Softfail signifie que l'adresse IP n'est pas explicitement autorisée, mais que le propriétaire du domaine a utilisé l'option ~all pour indiquer que les serveurs doivent accepter, mais probablement signaler, les messages provenant d'adresses IP non répertoriées.
• Neutre signifie que le domaine ne se prononce pas sur l'autorisation ou non de l'adresse IP.
• Aucun signifie aucun SPF n'a été trouvé pour le domaine, donc aucune vérification d'authentification n'a pu être effectuée.

SPF prévenir l'usurpation d'adresse e-mail en fournissant un mécanisme d'authentification des e-mails qui vérifie si l'adresse IP du serveur de messagerie expéditeur correspond aux adresses IP autorisées pour le domaine.

Si l'adresse IP ne correspond pas et que l'enregistrement utilise un échec définitif (-all), le message est rejeté. Avec un échec soft (~all), le message est accepté mais marqué comme suspect.

Composants d'un SPF

Pour créer et interpréter correctement un SPF pour Gmail ou Google Workspace, vous devez comprendre les mécanismes clés et les qualificatifs qui composent l'enregistrement.

Mécanismes SPF

Chaque SPF est constitué de mécanismes qui définissent quels serveurs sont autorisés à envoyer des e-mails au nom de votre domaine.

Chaque mécanisme compte dans la limite de 10 recherches DNS, à l'exception de ip4 qui pointe directement vers une adresse IP et ne déclenche pas de recherche. Lorsque vous ajoutez un SPF , veillez à ne pas dépasser ce maximum afin d'éviter tout échec de validation.

Qualificatifs SPF

Chaque mécanisme peut être précédé d'un qualificatif qui indique au serveur destinataire comment traiter le résultat.

Pour la plupart des configurations Google Workspace, SPF recommandé est v=spf1 include:_spf.google.com ~all.

Le qualificatif soft fail ~all à la fin indique que les serveurs doivent accepter, mais probablement signaler, les messages provenant d'adresses IP non répertoriées. Cela vous permet de voir les expéditeurs non autorisés sans rejeter immédiatement les courriers légitimes qui pourraient être mal configurés.

Conditions préalables avant la configuration d'un SPF

Avant de configurer un SPF pour Gmail, assurez-vous que vous disposez des éléments suivants :

• Inventaire complet des expéditeurs d'e-mails : Répertoriez tous les services qui envoient des e-mails en votre nom (Google Workspace, plateformes marketing, systèmes CRM, etc.).
• Accès à la gestion DNS : Fournissez un accès administrateur aux paramètres DNS de votre domaine.
• Compréhension de la structure de votre domaine : Assurez-vous de bien connaître les sous-domaines qui envoient des e-mails.
• Vérification actuelle SPF : Vérifiez si un SPF existe déjà.
• Documentation relative aux services tiers : Incluez les déclarations de vos fournisseurs de services de messagerie électronique.

💡 Conseil de pro : Pour les organisations qui ont plusieurs expéditeurs tiers, créez un tableur pour suivre SPF de chaque service. Cela évite de dépasser la limite de 10 recherches DNS.

Comment créer et ajouter un SPF pour Gmail

La configuration d'un SPF pour Gmail est très simple. L'ensemble du processus se déroule en dehors de Google, dans les paramètres DNS de votre registraire de domaine. Voici comment configurer SPF Gmail étape par étape.

Étape 1 : Connectez-vous à votre registraire de domaine.

Pour créer un SPF pour Google Workspace, connectez-vous au compte du domaine où vous avez acheté et gérez votre domaine : GoDaddy, Namecheap, Cloudflare ou tout autre fournisseur de domaine que vous utilisez.

Si vous ne savez pas où votre domaine est enregistré, vérifiez auprès de votre équipe informatique ou consultez les informations WHOIS de votre domaine.

Étape 2 : Accédez à vos paramètres DNS.

Une fois connecté, localisez la zone de gestion DNS.

Dans les paramètres DNS, recherchez la section des enregistrements TXT. C'est là que vous ajouterez votre SPF . Un SPF est publié dans le DNS de votre domaine sous forme d'enregistrement TXT. Vous ne trouverez donc pas de type d'enregistrementSPFdistinct chez la plupart des registraires.

Étape 3 : Vérifiez SPF existants

Avant d'ajouter quoi que ce soit, vérifiez si votre domaine dispose déjà d'un SPF . Vous ne pouvez avoir qu'un seul SPF pour Gmail par domaine. La présence de plusieurs SPF pour un même domaine peut entraîner des échecs d'authentification des e-mails.

Si un fichier existe déjà, vous le modifierez à l'étape suivante plutôt que d'en créer un nouveau.

Étape 4 : Créez votre SPF Google Mail

Ajoutez un nouvel enregistrement TXT avec les valeurs suivantes :

• Hôte / Nom : @ (ou vide, selon votre fournisseur)
• Type d'enregistrement : TXT
• Valeur : v=spf1 include:_spf.google.com ~all
• TTL : Par défaut (généralement 3600)

SPF recommandé pour Google Workspace est v=spf1 include:_spf.google.com ~all.

Si vous utilisez d'autres services de messagerie pour envoyer des e-mails, vous devez les inclure dans votre SPF . Étant donné que vous ne pouvez avoir qu'un seul enregistrement par domaine, fusionnez tout en une seule ligne :

v=spf1 inclure :_spf.google.com inclure :servers.mcsv.net inclure :sendgrid.net ~all

Quelques points à surveiller : Ne dépassez pas le maximum de 10 requêtes DNS, chacune include : déclenche au moins une recherche, et les inclusions imbriquées comptent également. SPF peuvent comporter jusqu'à 255 caractères par chaîne DNS. Si le vôtre dépasse cette limite, la plupart des fournisseurs le diviseront automatiquement.

Étape 5 : Enregistrer et laisser le temps nécessaire à la propagation

Après avoir créé votre SPF , enregistrez les modifications et attendez jusqu'à 48 heures pour que l'enregistrement se propage.

La plupart des fournisseurs propagent les modifications en quelques heures, mais la fenêtre complète tient compte des réseaux DNS plus lents. Évitez d'apporter d'autres modifications pendant cette période, sauf si vous constatez une erreur manifeste.

Étape 6 : Vérifiez votre SPF

Une fois la propagation terminée, pour vérifier votre SPF , utilisez un outil SPF afin de vous assurer qu'il est valide et correctement configuré. Il existe deux façons de procéder :

• OutilSPF : MXToolbox, Dmarcian ou Kitterman vous permettent de saisir votre domaine et de vérifier instantanément que votre SPF Google Mail est publié, syntaxiquement valide et dans la limite des 10 recherches.
• E-mail test : Envoyez un message à une adresse Gmail, ouvrez-le, cliquez sur le menu à trois points, sélectionnez « Afficher l'original » et recherchez spf dans l'en-tête Authentication-Results.

Étape 7 : Configurer SPF les sous-domaines (le cas échéant)

Si vous utilisez des sous-domaines pour envoyer des e-mails (par exemple, marketing.votredomaine.com), vous devez configurer SPF pour chaque sous-domaine séparément si votre fournisseur le permet.

SPF n'est pas héritée du domaine racine. Chaque sous-domaine nécessite son propre enregistrement TXT. Le processus de configuration est identique ; il suffit de modifier le champ Hôte/Nom de @ au sous-domaine.

Erreurs courantes dans SPF et comment les éviter

Même une petite erreur de configuration peut compromettre complètement l'authentification des e-mails. Lors de la configuration SPF, évitez les erreurs courantes telles que la présence de plusieurs enregistrements ou une syntaxe incorrecte. Voici celles qui reviennent le plus souvent.

Plusieurs SPF sur un seul domaine

Vous ne pouvez avoir qu'un seul SPF par domaine.

Si un serveur récepteur en trouve deux ou plus, il renvoie une erreur permanente et échoue au contrôle. Si vous devez autoriser des services supplémentaires, fusionnez tous les include: en un seul enregistrement ; ne créez pas de deuxième entrée TXT.

Utilisation de +all au lieu de ~all

Le +all indique aux serveurs destinataires d'accepter les e-mails provenant de n'importe quelle adresse IP, ce qui va complètement à l'encontre de l'objectif du SPF. Utilisez toujours :

• ~tout (échec léger) : valeur par défaut recommandée par Google
• -tout (échec total) : plus strict, rejette purement et simplement les expéditeurs non autorisés

Dépassement de la limite de 10 recherches DNS

SPF sont limités à un maximum de 10 recherches DNS ; le dépassement de cette limite entraînera l'échec de l'authentification. Chaque include, a, mxet redirect compte comme une recherche, tout comme les inclusions imbriquées. Si vous approchez de la limite, utilisez des outils SPF pour convertir les inclusions en adresses IP directes.

Oubli d'inclure de nouvelles sources d'envoi

Vous avez ajouté un nouveau CRM, un nouvel outil marketing ou un nouveau service de messagerie transactionnelle ? Si vous ne mettez pas à jour votre SPF pour les inclure, les e-mails envoyés via ces services échoueront à l'authentification. Une surveillance régulière SPF votre SPF peut vous aider à identifier les problèmes potentiels avant qu'ils n'affectent la délivrabilité des e-mails.

Comment résoudre SPF dans Gmail

Vous avez configuré votre SPF , attendu la propagation, mais les e-mails continuent d'atterrir dans le dossier spam ou échouent à l'authentification ? Voici une liste de contrôle rapide pour diagnostiquer et résoudre SPF courants.

• Vérifiez les en-têtes des e-mails : Envoyez un e-mail test à une adresse Gmail, cliquez sur « Afficher l'original » et recherchez spf, spfou spf dans l'en-tête Authentication-Results.
• Effectuez une SPF : Utilisez MXToolbox ou Dmarcian pour vérifier que votre enregistrement est publié, syntaxiquement correct et dans la limite des 10 recherches.
• Vérifiez que tous les expéditeurs sont inclus : Assurez-vous que tous les services tiers (CRM, services d'assistance, plateformes marketing) figurent dans votre enregistrement. Si un e-mail est envoyé depuis une source non répertoriée, le serveur destinataire vérifie votre SPF et rejette le message.
• Vérifier les enregistrements en double : Vérifiez qu'il n'y a qu'un seul enregistrement TXT commençant par v=spf1 existe pour votre domaine ; la présence de plusieurs SPF pour un même domaine entraîne des échecs d'authentification.
• Surveillez régulièrement : Vérifiez votre SPF après avoir ajouté de nouveaux outils ou changé de fournisseur. Les problèmes ne se manifestent pas toujours immédiatement, et les détecter tôt permet d'éviter les problèmes de délivrabilité.

Validation et surveillance de votre SPF

La configuration de votre SPF n'est que la moitié du travail. Si l'enregistrement comporte une erreur de syntaxe, dépasse la limite de 10 recherches ou devient obsolète après l'ajout d'un nouveau service d'envoi, vos e-mails peuvent commencer à échouer à l'authentification sans que vous vous en rendiez compte. Une validation et une surveillance régulières garantissent que votre SPF pour Gmail reste fonctionnel et que votre délivrabilité reste intacte.

Étapes initiales de vérification

• Vous pouvez utiliser notre outilSPF pour vérifier instantanément la configuration de votre SPF Gmail.
• Vérifiez l'entrée TXT de votre SPF implémenté pour voir si le statut est valide.
• Vérifiez à nouveau si l'enregistrement contient toutes les adresses IP autorisées et tous les fournisseurs tiers que vous utilisez pour envoyer vos e-mails.
• Assurez-vous de ne pas avoir publié plusieurs SPF pour un seul domaine. Si vous utilisez d'autres fournisseurs tiers que Google Workspace pour le marketing par e-mail, vous pouvez utiliser le mécanisme « include » dans le même SPF .
• Veillez à conserver une mise en forme correcte.

Si vous constatez des anomalies dans votre SPF , mettez-le à jour afin de supprimer ces erreurs, puis vérifiez à nouveau votre configuration.

Meilleures pratiques en matière de surveillance continue

• SPF périodiques SPF : Vérifiez chaque mois que votre SPF est exact et complet.
• Analyse des en-têtes d'e-mails : Examinez régulièrement les en-têtes des e-mails pour vérifier les résultats SPF .
• Surveillance des rapports DMARC : Utilisez les rapports DMARC pour identifier SPF et les expéditeurs non autorisés.
• Gestion des changements : Mettez à jour SPF lorsque vous ajoutez de nouveaux services de messagerie électronique ou changez de fournisseur.
• Surveillance automatisée : Configurez des alertes pour les échecs SPF .

Lecture recommandée : Comment configurer DMARC : guide de configuration étape par étape

Mettre en œuvre DMARC et SPF PowerDMARC

La mise en œuvre SPF au DKIM et au DMARC offre une couche de protection complète, garantissant que chaque message envoyé depuis votre domaine est à la fois vérifié et fiable. Ensemble, ces protocoles protègent votre domaine contre les cyberattaques par e-mail telles que l'usurpation d'identité, le phishing et le BEC.

PowerDMARC vous aide à atteindre cet objectif plus rapidement grâce à :

• Détection automatique des erreurs : Détectez SPF , les problèmes de syntaxe et les violations des limites de recherche avant qu'ils n'affectent la livraison des e-mails.
• Surveillance en temps réel : Recevez des alertes instantanées lorsque l'authentification SPF, DKIM ou DMARC échoue afin de pouvoir agir avant que la délivrabilité ne diminue.
• Rapports de conformité : Générez des rapports prêts pour l'audit qui répondent aux exigences de conformité du secteur et vous offrent une visibilité totale sur les personnes qui envoient des e-mails en votre nom.
• Assistance experte 24 h/24, 7 j/7 : Accédez à des spécialistes certifiés en sécurité des e-mails dès que vous avez besoin d'aide pour la configuration, le dépannage ou la mise en œuvre.

Un client partage son expérience : « Grâce à PowerDMARC, nous avons détecté SPF avant qu'elles ne causent des problèmes de délivrabilité. Leur assistance est excellente ! » – Responsable informatique, entreprise SaaS

La configuration d'un SPF Google Workspace n'est que la première étape vers la protection de votre domaine. Commencez dès aujourd'hui un essai gratuit de 15 jours avec PowerDMARC dès aujourd'hui !

Foire aux questions (FAQ)

1. Qu'est-ce qu'un SPF pour les e-mails ?

Un enregistrement SPF Sender Policy Framework) est un enregistrement DNS TXT qui spécifie quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine. Il empêche l'usurpation d'adresse e-mail et améliore la délivrabilité en permettant aux serveurs destinataires de vérifier que les e-mails proviennent de sources légitimes.

2. Comment corriger SPF dans Gmail ?

Pour corriger SPF dans Gmail :

• Vérifiez si votre SPF comprend « include:_spf.google.com»
• Assurez-vous de n'avoir qu'un seul SPF par domaine.
• Vérifiez que SPF est correcte.
• Assurez-vous de ne pas avoir dépassé la limite de 10 requêtes DNS.
• Attendez la propagation DNS après avoir effectué des modifications.

3. SPF est-il SPF pertinent pour la sécurité des e-mails ?

Oui, SPF très pertinent pour la sécurité des e-mails. Google exige que tous les expéditeurs d'e-mails mettent en œuvre soit SPF le DKIM, et SPF un élément fondamental de l'authentification des e-mails lorsqu'il est combiné avec le DKIM et le DMARC.

4. Puis-je avoir plusieurs SPF pour différents sous-domaines ?

Oui. Bien que vous ne puissiez avoir qu'un seul SPF par domaine, chaque sous-domaine peut avoir son propre SPF distinct. Si vous utilisez des sous-domaines pour envoyer des e-mails, vous devez configurer SPF pour chaque sous-domaine séparément si votre fournisseur le permet, car SPF n'est pas héritée du domaine racine.

5. Quelle est la différence entre ~all et -all dans SPF ?

~all (softfail) signifie que les e-mails provenant de sources non autorisées doivent être acceptés mais marqués comme suspects, tandis que -all (hardfail) signifie que les e-mails provenant de sources non autorisées doivent être rejetés. Commencez par ~all pour surveiller les résultats, puis passez à -all pour une application plus stricte une fois que vous êtes sûr que votre SPF est complet.