Comment configurer un enregistrement SPF Google Workspace pour une deliverability d'email professionnelle

Bien que la configuration d'un enregistrement SPF Google Workspace puisse sembler aussi simple que la publication d'un seul enregistrement DNS TXT, il existe des considérations techniques essentielles à prendre en compte. De la compréhension du rôle de SPF dans l'authentification des e-mails à l'évitement des erreurs de configuration courantes telles que les enregistrements SPF multiples ou le dépassement des limites de recherche DNS, les détails comptent.

Dans ce guide, nous vous fournirons une approche claire, étape par étape, pour configurer SPF pour Google Workspace, en veillant à ce que vos e-mails passent l'authentification, en améliorant le placement dans la boîte de réception et en prenant en charge des protocoles supplémentaires tels que DKIM et DMARC.

Qu'est-ce qu'un enregistrement SPF Google Workspace ?

Un enregistrement SPF Google Workspace est une entrée DNS TXT qui indique aux serveurs de réception quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine Google Workspace. Sans enregistrement SPF, Gmail et Outlook ne peuvent pas vérifier l'authenticité de vos e-mails, ce qui augmente la probabilité que vos messages soient marqués comme spam ou utilisés dans des attaques d'usurpation d'identité. 

En termes simples, si vous possédez un domaine tel que votreentreprise.com et que vous envoyez des emails via Google Workspace, un enregistrement SPF prouve aux serveurs de réception que les serveurs de messagerie de Google sont autorisés à envoyer des messages au nom de votre domaine.

SPF est l'un des trois protocoles d'authentification d'email de base avec DKIM et DMARC qui, ensemble, améliorent l'authentification des messages et le placement dans la boîte de réception.

Comment fonctionne SPF

SPF fonctionne en comparant l'adresse IP du serveur qui a envoyé votre message à la liste des expéditeurs autorisés publiée dans les enregistrements DNS de votre domaine.

Voici un flux simplifié :

1. Un utilisateur envoie un email via Google Workspace.
2. Le serveur de messagerie du destinataire (par exemple, Gmail ou Outlook) interroge les enregistrements DNS de votre domaine pour une entrée SPF.
3. Si l'adresse IP d'envoi ou le service d'envoi est répertorié, le message passe le contrôle SPF et passe au processus de filtrage de la boîte de réception.
4. S'il n'est pas répertorié, le message échoue à la validation SPF et peut être marqué comme spam, mis en quarantaine ou rejeté par le serveur de messagerie du destinataire.
   
   

Exemple d'enregistrement SPF Google Workspace :

v=spf1 include:_spf.google.com ~all

Cet enregistrement indique :

• v=spf1 → version de SPF utilisée
• include:_spf.google.com → autorise les serveurs de messagerie de Google
• ~all → softfail pour tout ce qui n'est pas répertorié (signalé comme suspect mais pas bloqué complètement)

Composants courants d'un enregistrement SPF 

Lors de la configuration ou du dépannage des enregistrements SPF, vous verrez souvent ces mécanismes courants :

• include → référence un autre enregistrement SPF (par exemple, include:_spf.google.com)
• ip4 / ip6 → autorise une adresse IPv4 ou IPv6 spécifique à envoyer des emails
• a → autorise les serveurs de messagerie définis dans l'enregistrement A de votre domaine
• mx → autorise les serveurs d'échange de courrier de votre domaine
• all → correspond à tout (doit apparaître à la fin)
• ~all → « softfail », le courrier non autorisé est accepté mais signalé
• -all → « hardfail », le courrier non autorisé est rejeté 

Pourquoi Google Workspace exige une configuration SPF

Sans enregistrement SPF, votre domaine Google Workspace est exposé. Des acteurs malveillants peuvent usurper votre adresse email, lancer des attaques de phishing en votre nom ou se faire passer pour votre marque auprès de vos clients. Lorsque les fournisseurs de boîtes aux lettres tels que Gmail ou Outlook ne peuvent pas vérifier qu'un message provient de votre domaine, les messages légitimes peuvent être dirigés vers le dossier spam. C'est l'un des problèmes de délivrabilité des emails les plus courants que rencontrent les organisations lorsque l'authentification de base des emails est absente.

C'est pourquoi le SPF est plus qu'un simple paramètre technique. Le configurer indique aux fournisseurs : « Oui, ce sont les serveurs autorisés à envoyer des emails pour mon domaine. » Il en résulte une meilleure réputation d'expéditeur, de meilleurs taux de placement dans la boîte de réception et un alignement sur les normes d'authentification attendues par les fournisseurs de boîtes aux lettres.

Étape par étape : Comment configurer le SPF pour Google Workspace

Avant de modifier vos paramètres DNS, vérifiez d'abord ces prérequis. De nombreux problèmes de délivrabilité proviennent d'expéditeurs omis dans les enregistrements SPF ou de la publication de plusieurs enregistrements SPF pour le même domaine. Google Workspace simplifie le processus, mais vous devez répondre à ces exigences de configuration avant de modifier le DNS.

Ce qu'il faut savoir d'emblée :

• Certains domaines ont déjà le SPF préconfiguré, surtout si vous avez acheté via un partenaire Google. Vérifiez les enregistrements existants à l'aide d'un outil de recherche/validation SPF (par exemple, un SPF checker ou Google Admin Toolbox) avant d'effectuer des modifications.
• Les enregistrements SPF sont configurés chez votre fournisseur DNS (registraire de domaine ou hébergeur DNS), et non dans la console d'administration Google. Ajoutez ou mettez à jour l'enregistrement TXT SPF via le panneau de contrôle de votre fournisseur DNS (par exemple, GoDaddy, Cloudflare, Namecheap).
• Un seul enregistrement TXT SPF est autorisé par domaine ; la publication de plusieurs enregistrements SPF entraîne l'échec de l'évaluation SPF.

Étape 1 : Identifiez tous les expéditeurs d'emails

Votre enregistrement SPF doit inclure chaque serveur ou service qui envoie des emails au nom de votre domaine. Pour les domaines qui utilisent uniquement Google Workspace, il peut s'agir du seul expéditeur. Dans la plupart des organisations, cependant, il doit également tenir compte des expéditeurs supplémentaires, tels que :

• Serveurs web
• Serveurs de messagerie sur site (par exemple, Microsoft Exchange)
• Serveurs de messagerie utilisés par votre hébergeur
• Passerelles sortantes
• Plateformes CRM et d'outreach (Salesforce, HubSpot, MailReach, Apollo, etc.)
• Plateformes marketing (par exemple, Mailchimp, SendGrid)
• Outils transactionnels (Shopify, Stripe, Zendesk)
• Formulaires de site web qui envoient des emails automatisés

Étape 2: Déterminez Votre Enregistrement SPF

Une fois que vous avez votre liste complète d'expéditeurs, créez votre enregistrement SPF. Un enregistrement SPF est une courte chaîne de texte publiée dans les paramètres DNS de votre domaine. Il indique aux fournisseurs de boîtes aux lettres quels serveurs sont autorisés à envoyer des emails au nom de votre domaine.

Votre travail consiste à combiner tous les domaines et adresses IP de votre inventaire d'expéditeurs en un seul enregistrement SPF, en vous assurant qu'aucun expéditeur légitime n'est omis. Un seul enregistrement TXT SPF est autorisé par domaine ; la publication de plusieurs enregistrements SPF entraîne l'échec de l'évaluation SPF.

Si vous utilisez également d'autres plateformes telles que Mailchimp, Salesforce ou Microsoft 365, vous devez les fusionner en une seule chaîne afin que tous vos services soient couverts.

Par exemple :

À retenir: Il ne doit y avoir qu'un seul enregistrement SPF.

Étape 3 : Ajoutez votre enregistrement SPF chez l'hébergeur de votre domaine

• Connectez-vous à votre fournisseur DNS ou registraire de domaine (par exemple, Cloudflare, GoDaddy, Namecheap). Accédez à la page de gestion DNS pour les enregistrements TXT. Créez ou mettez à jour l'enregistrement SPF avec :
  • Type : TXT
  • Hôte/Nom : @ (ou votre domaine, par exemple, example.com)
  • Valeur : votre chaîne SPF (par exemple, v=spf1 include:_spf.google.com ~all)
• Enregistrez l'enregistrement et attendez la propagation DNS. Les modifications apparaissent généralement en quelques minutes à quelques heures ; prévoyez jusqu'à 48 heures. Répétez le processus pour tous les domaines ou sous-domaines supplémentaires que vous utilisez pour envoyer des e-mails. (Assurez-vous de ne pas publier plusieurs enregistrements SPF pour le même domaine. Fusionnez les expéditeurs en un seul enregistrement.)

Étape 4 : Choisissez entre softfail (~all) et hardfail (-all)

À la fin de chaque enregistrement SPF, vous verrez soit ~all, soit -all. Cela contrôle la façon dont les fournisseurs de boîtes aux lettres gèrent le courrier provenant de serveurs non autorisés.

Les défis SPF de Google Workspace et comment les résoudre

Même avec SPF configuré, les messages peuvent toujours échouer l'authentification, être rejetés ou atterrir dans le spam. Utilisez les guides ci-dessous pour diagnostiquer et résoudre les problèmes de configuration sans répéter la règle de l'“un seul enregistrement SPF” abordée précédemment. Les problèmes SPF non résolus peuvent également entraîner des taux de rebond d'emails plus élevés et augmenter le risque de hard bounces et soft bounces, qui nuisent tous deux à votre réputation d'expéditeur.

Propagation DNS et mise en cache DNS

Après avoir ajouté ou mis à jour SPF, les résultats ne sont pas instantanés. Les modifications DNS peuvent prendre jusqu'à 48 heures pour se propager. Les serveurs de messagerie et les outils peuvent également mettre en cache les recherches.

Votre nouvel enregistrement TXT ne s'est pas encore propagé, ou un serveur de réception utilise un résultat DNS mis en cache.

Comment résoudre ce problème :

• Attendez la propagation DNS. La plupart des changements se stabilisent en quelques heures, mais prévoyez jusqu'à 48 heures.
• Réduisez le TTL DNS avant les changements majeurs afin que les mises à jour se propagent plus rapidement.
• Testez à nouveau en utilisant plusieurs outils de vérification DNS pour éviter de vous fier à une seule vue mise en cache 

Limite de recherche DNS dépassée

SPF autorise un maximum de 10 recherches DNS. Chaque include:, mx, a, exists, ptr ou redirect peut s'ajouter à ce nombre, y compris les recherches imbriquées dans le propre SPF d'un fournisseur.

L'accumulation de CRM, de plateformes de marketing et de passerelles vous pousse au-delà de 10 recherches.

Comment résoudre ce problème :

• Comptez les recherches avec Google Admin Toolbox ou un outil similaire.
• Supprimez les fournisseurs inutilisés et les mécanismes en double.
• Surveillez les chaînes include: imbriquées.
• Envisagez d'aplatir votre enregistrement SPF en remplaçant les directives include: imbriquées par les adresses IP publiées du fournisseur, le cas échéant, mais notez que cela augmente la maintenance (les fournisseurs peuvent modifier les IP)

Erreurs de syntaxe et d'ordre

SPF est strict en matière de formatage.

Pourquoi cela arrive : Espaces ou guillemets manquants, mécanismes mal placés, omission de la balise de version v=spf1 ou placement incorrect du mécanisme all 

Comment résoudre ce problème :

Suivez le modèle :

v=spf1 [mécanismes] [modificateurs] [politique]

Exemple valide :

v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

• Validez avant de publier avec Google Admin Toolbox.
• Gardez chaque chaîne TXT sous 255 caractères. Si votre fournisseur DNS applique cette limite, divisez la valeur SPF en plusieurs chaînes entre guillemets conformément aux exigences du fournisseur.
  
  

Transfert et listes de diffusion

SPF vérifie l'IP du serveur qui transmet le message. Les serveurs de redirection et de listes de diffusion ne sont généralement pas autorisés dans votre enregistrement SPF, donc un email transféré peut échouer au test SPF même si votre SPF est correct par ailleurs.

L'IP du serveur de redirection n'est pas autorisée dans votre SPF.

Comment résoudre ce problème :

• Activez DKIM pour que la signature cryptographique survive au transfert et permette aux messages de passer l'authentification même si SPF échoue.
• Appliquez DMARC afin qu'un DKIM aligné puisse passer même lorsque SPF échoue après le transfert.
• Utilisez la recherche de logs d'emails pour confirmer si un message a été transféré et pour voir le chemin parcouru.

Plages d'IP larges ou partagées dans SPF

Les grandes plages cloud peuvent introduire des risques et des recherches inutiles.

L'utilisation de larges plages ip4: ou ip6: provenant de clouds partagés autorise plus d'infrastructure que vous n'en contrôlez, et peut toujours ne pas correspondre aux IPs d'envoi réelles.

Comment résoudre ce problème :

• Remplacez les plages larges par des IPs fixes et attribuées pour vos instances réelles.
• Privilégiez les directives include: du fournisseur lorsqu'il gère des pools stables.
• Supprimez les plages d'espace réservé ou héritées que vous n'utilisez plus.

Lire les résultats SPF dans les en-têtes de message

Les en-têtes vous indiquent exactement comment un destinataire a évalué SPF.

Dans les en-têtes complets, recherchez Authentication-Results: et le résultat spf=. Agissez ensuite en conséquence.

• Pas d'entrée spf: SPF non vérifié. Revérifiez que votre enregistrement TXT SPF est correctement publié.
• spf= best-guess: SPF manquant ou mal configuré, ou problèmes DNS chez le fournisseur. Corrigez l'enregistrement et vérifiez l'état du DNS.
• spf= neutral, softfail, or fail: L'IP d'envoi ne figure pas dans votre enregistrement, ou l'expéditeur n'est pas autorisé. Mettez à jour votre enregistrement pour inclure les expéditeurs légitimes.
• spf= temperror or permerror: Erreurs DNS/SPF temporaires ou permanentes. Validez la syntaxe et vérifiez l'état du DNS du fournisseur.
• Forwarded mail failing SPF: Confirmez le chemin avec la recherche de logs d'emails, puis fiez-vous à DKIM et DMARC pour l'alignement.

Comment vérifier si votre enregistrement SPF est correctement configuré

Même si votre enregistrement SPF semble correct dans le DNS, de petites erreurs de syntaxe ou des problèmes de recherche peuvent le faire échouer silencieusement et nuire au placement de vos emails dans la boîte de réception.

Pour être sûr à 100%, utilisez le SPF Checker de MailReach. Il valide instantanément votre configuration SPF et met en évidence tout problème de configuration ou de DNS.

Contrairement à la plupart des tests SPF gratuits, MailReach effectue une vérification de bout en bout, en vérifiant comment votre enregistrement se comporte réellement dans des conditions d'envoi réelles, et pas seulement comment il apparaît dans le DNS.

Pour une vérification complète de la deliverability, vous pouvez également effectuer un Test de Placement en Boîte de Réception MailReach. Il vérifie l'authentification SPF, DKIM et DMARC sur Gmail, Outlook et d'autres principaux fournisseurs de boîtes aux lettres.

Ces deux outils vous aident à identifier rapidement les problèmes d'authentification afin de protéger votre réputation d'expéditeur et de maintenir un bon placement dans la boîte de réception.

Quelle est la bonne approche ?  

SPF confirme que votre domaine est autorisé à envoyer des emails, mais cela ne garantit pas le placement en boîte de réception. Les fournisseurs de boîtes aux lettres évaluent également la manière dont les destinataires interagissent avec vos messages. C'est pourquoi l'email warmup est essentiel ; il aide à construire les signaux de réputation positifs que SPF seul ne peut pas fournir.

L'email warmup est particulièrement important lorsque :

• Vous envoyez des emails depuis un nouveau domaine sans réputation.
• La réputation de votre domaine a été endommagée par des bounces ou des plaintes pour spam.
• Vous ajoutez de nouvelles boîtes de réception à grande échelle et vous avez besoin qu'elles soient considérées comme fiables avant de commencer votre outreach.
• Vous souhaitez maintenir un placement stable dans la boîte de réception tout en utilisant plusieurs outils ou fournisseurs.

L'Email Warmup et l'AI Warmup de MailReach simulent de véritables interactions à travers des boîtes de réception de confiance, construisant progressivement l'historique d'engagement que les fournisseurs de boîtes aux lettres apprécient. Avec l'Inbox Placement Test, vous pouvez vérifier que les modifications SPF n'ont pas introduit de nouveaux risques de délivrabilité.