Authentifier vos emails avec SPF

L’association de l’architecture sécurisée dès la conception de Google Workspace avec la protection intégrée contre le spam, le phishing et les logiciels malveillants de Gmail empêche 99,9 % des messages malveillants d’entrer dans les boîtes de réception de vos utilisateurs.

Vous vous demandez peut-être : « c’est très bien, mais comment puis-je empêcher nos e-mails sortants de devenir du spam ? »

C’est là qu’intervient le SPF.

Avez-vous un enregistrement SPF ? 🚨

SP-quoi ? 🤔 Sender / Protection / Framework

Sans enregistrement SPF, les serveurs de messagerie des destinataires ne peuvent pas authentifier si vos e-mails sortants sont envoyés depuis une source autorisée.

Les domaines qui envoient des e-mails risquent d’avoir une délivrabilité médiocre, ce qui augmente considérablement les chances que leurs e-mails sortants soient étiquetés comme spam, potentiellement malveillants ou carrément rejetés par les serveurs de messagerie des destinataires.

Pire encore, ils laissent la porte grande ouverte à des tiers pour usurper (ou usurper l’identité) de leur domaine pour :

  • Lancez des attaques de phishing 🎣
  • Distribuez du spam, des malwares ou des ransomwares ☣️
  • Lancez des escroqueries d’ingénierie sociale contre des clients ou des employés 💸

Un enregistrement SPF précis aide les administrateurs à garantir que les serveurs de messagerie des destinataires peuvent confirmer l’authenticité du courrier envoyé depuis votre domaine.

En d’autres termes : 👏🏼 100 % 👏🏼 des entreprises ont besoin d’un enregistrement SPF pour les aider à optimiser la délivrabilité des e-mails, à protéger la réputation de leur marque et de leur domaine. Chaque console Google Workspace d’un client de l’Atelier Informatique est configuré avec un SPF dès le premier jour ☝🏼

Comment SPF contribue-t-il à améliorer la délivrabilité et la sécurité des e-mails ?

SPF spécifie les serveurs (adresses IP) et les domaines (par exemple google.com) autorisés à envoyer des e-mails au nom de votre organisation.

Dès réception du courrier de votre domaine, les serveurs de messagerie destinataires compareront le serveur de messagerie sortant à la liste des serveurs et domaines autorisés répertoriés dans l’enregistrement SPF de votre domaine.

Les courriers qui passent le SPF sont plus susceptibles d’être envoyés dans les boîtes de réception.

Les courriers qui échouent au SPF sont plus susceptibles d’être envoyés comme spam, étiquetés comme malveillants, mis en quarantaine ou rejetés.

Comment activer le SPF ?

Il y a quatre étapes pour activer le SPF.

1. Identifiez les expéditeurs de courrier autorisés

Identifiez et créez une liste de tous les domaines et adresses IP qui envoient du courrier au nom de votre domaine, y compris tous les utilisateurs et services (tels que les applications, les plateformes de marketing par e-mail, les sites Web, les serveurs sur site et dans le cloud, etc.).

2. Définissez votre enregistrement SPF

Votre enregistrement SPF spécifie quels domaines et adresses IP sont autorisés à envoyer des e-mails au nom de votre domaine.

Une fois votre enregistrement SPF en place, les courriers envoyés par des domaines et des adresses IP non répertoriés dans votre enregistrement SPF seront marqués comme spam ou potentiellement malveillants, et pourraient même être mis en quarantaine ou rejetés.

Pour éviter toute interruption potentielle du flux de courrier, il est important de vous assurer que votre enregistrement SPF inclut tous les domaines et adresses IP autorisés.

Un enregistrement SPF de base ressemble à ceci :

v=spf1 include:_spf.google.com ~all

… où include:_spf.google.com autorise les serveurs Google Workspace à envoyer des e-mails au nom de votre domaine, et ~all autorise l’envoi d’e-mails envoyés par des serveurs non Google Workspace, mais marqués comme spam ou potentiellement malveillants.

Un enregistrement SPF plus avancé qui inclut des domaines et des adresses IP supplémentaires ressemble à ceci :

v=spf1 ip4:192.168.0.0/16 include:_spf.google.com include:autreserviceemail ~all

… où ip4:192.168.0.0/16 autorise les serveurs à utiliser une plage d’adresses IP et inclut : autreserviceemail.com permet à un service tiers autreserviceemail.com d’envoyer du courrier au nom de votre domaine.

Sender Protection Framework (SPF) inclut un certain nombre de mécanismes et de qualificatifs supplémentaires que vous pouvez utiliser pour affiner votre enregistrement SPF afin d’indiquer aux serveurs de messagerie de réception comment gérer les messages envoyés à l’aide de votre domaine.

3. Ajoutez votre enregistrement SPF à la console DNS de votre registraire de domaine

Pour implémenter votre enregistrement SPF initial :

  1. Connectez-vous à la console DNS de votre fournisseur de domaine
  2. Vérifiez qu’aucun enregistrement SPF existant n’existe (un seul enregistrement SPF est autorisé)
  3. Si un enregistrement SPF existant existe, modifiez-le. Sinon, créez un nouvel enregistrement TXT comme suit :

Nom : @ (ou vide)

Valeur : v=spf1 include:_spf.google.com ~all (ou tout autre enregistrement SPF que vous avez défini à l’étape 2 ci-dessus)

TTL : par défaut (ou 60 minutes ou 3 600 secondes)

4. Surveiller la délivrabilité du courrier

Une fois SPF implémenté, surveillez les messages sortants qui :

  • Échec de l’authentification SPF
  • Être rejeté par les serveurs de messagerie des destinataires
  • Sont livrés au spam

L’un des éléments ci-dessus indique soit une erreur dans votre enregistrement SPF, des enregistrements SPF en double ou l’absence d’un expéditeur autorisé (domaine ou adresse IP) dans votre enregistrement SPF.

Si cela se produit, corrigez l’erreur dans votre enregistrement SPF et continuez à surveiller le courrier sortant.

Vous pouvez également vérifier les en-têtes des messages envoyés depuis votre domaine pour savoir si les messages passent le SPF. Pour vérifier les en-têtes des messages dans Gmail , cliquez sur Afficher l’original d’un message, puis vérifiez l’état SPF dans le message d’origine. 

5. Mettez en œuvre DKIM et DMARC pour renforcer davantage la sécurité des e-mails

SPF fonctionne avec deux protocoles de sécurité de messagerie supplémentaires pour optimiser la délivrabilité du courrier tout en empêchant le spam, l’usurpation d’identité, le phishing et bien plus encore.

  • Domain Keys Identified Mail (DKIM) ajoute une signature numérique à chaque message sortant, ce qui permet aux serveurs de réception de vérifier que le message provient réellement de votre organisation et n’a pas été modifié pendant le transit.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) vous envoie des rapports contenant la source (serveurs et domaines) des messages envoyés à l’aide de votre domaine, le pourcentage de messages qui échouent avec SPF et DKIM, et indique aux serveurs de messagerie destinataires les mesures à prendre concernant les messages. envoyés par des expéditeurs non autorisés : livrer, envoyer dans le spam ou rejeter.

Il est essentiel que 100 % des entreprises mettent en œuvre SPF, DKIM et DMARC pour protéger leurs marques et la réputation de leurs domaines. Chaque client Rise Digital Google Workspace est configuré avec une politique SPF, DKIM et DMARC solide dès le premier jour ☝🏼

Toutes nos félicitations! 🥳

Avec la mise en œuvre de SPF, votre organisation bénéficiera d’une meilleure délivrabilité des e-mails et d’une plus grande sécurité des e-mails.