La gestion des emails professionnels repose aujourd’hui sur des mécanismes d’authentification robustes et reconnus, afin de limiter l’usurpation et la fraude. La combinaison de SPF, DKIM et DMARC s’impose comme évidence pour toute organisation utilisant Google Workspace.
Ce guide pédagogique propose des instructions concrètes pour la configuration DNS, les tests et la validation email, adaptées aux administrateurs. Les éléments essentiels suivent dans la rubrique suivante.
A retenir :
- Enregistrement SPF standard pour Google Workspace : v=spf1 include:_spf.google.com ~all
- Publication DKIM via clé générée dans Google Admin puis DNS
- Déployer DMARC progressivement avec p et pct pour couverture contrôlée
- Vérifier via headers et outils en ligne pour validation effective
SPF pour Google Workspace : création et bonnes pratiques
Après avoir identifié les enjeux, il est essentiel de commencer par le SPF pour clarifier quels serveurs peuvent envoyer des messages. Le SPF réduit les risques de phishing et améliore la délivrabilité auprès des boîtes Gmail et autres fournisseurs.
La création s’effectue dans la console DNS de votre registrar, et la propagation peut nécessiter jusqu’à quarante-huit heures. Ce point conditionne la suite et prépare l’activation de DKIM pour une signature plus robuste.
En pratique, un MSP rencontrant un ticket classique corrige d’abord l’enregistrement SPF avant d’auditer les envois tiers. Selon MXToolbox, la vérification post-publication est une étape incontournable pour les diagnostics.
Le tableau suivant compare des exemples d’enregistrements SPF adaptés à différents scénarios d’envoi. Cette vue aide à choisir la formulation correcte pour un domaine Google Workspace.
Cas d’usage
Enregistrement SPF recommandé
Remarque
Simple Google Workspace
v=spf1 include:_spf.google.com ~all
Couverture des serveurs Google
Workspace + SendGrid
v=spf1 include:_spf.google.com include:sendgrid.net ~all
Ajouter include pour services tiers
Workspace + marketing
v=spf1 include:_spf.google.com include:mailchimp.com ~all
Limiter les includes pour rester sous seuil
Multiples fournisseurs
v=spf1 include:_spf.google.com include:sendgrid.net include:mailgun.org ~all
Surveiller la limite de requêtes DNS
À retenir pour les MSP : n’ajoutez jamais plusieurs enregistrements SPF distincts sur le même domaine. La norme impose un seul enregistrement TXT listant les includes autorisés.
Pour automatiser la surveillance et rester en dessous des limites DNS, il est pertinent d’exploiter des outils de gouvernance. Selon Sendmarc, la centralisation évite les erreurs lors d’ajouts tiers.
Si un client ajoute une plateforme sans coordination, la délivrabilité peut chuter immédiatement et provoquer des tickets. La gouvernance reste la clé pour la stabilité de la messagerie.
« J’ai réglé un incident de blocage en vingt minutes en corrigeant un SPF dupliqué pour un client »
Paul N.
Intégrité des enregistrements :
- Clause include pour Google Workspace
- Éviter les enregistrements TXT multiples
- Surveillance des droits d’accès DNS
- Tests post-publication obligatoires
Tester et valider un SPF publié
Ce point se rattache à la création et permet de confirmer la propagation effective du SPF. Utilisez nslookup ou des outils en ligne comme MXToolbox pour lire l’enregistrement TXT.
Après analyse, interprétez les erreurs indiquées et corrigez les include ou la syntaxe. Selon MXToolbox, la lecture des en-têtes reste la méthode la plus directe pour valider la réception.
Limites techniques et meilleures options
La limite de dix lookups DNS peut casser un SPF trop chargé et provoquer des échecs. Il est conseillé de réorganiser ou d’utiliser la consolidation via services spécialisés.
Des services comme Sendmarc permettent de réduire la complexité et d’alerter en cas de dépassement de requêtes DNS. Cette approche facilite la maintenance sur des domaines multi-clients.
« Les alertes automatisées m’ont évité plusieurs incidents après le déploiement de nouvelles plateformes marketing »
Anne N.
DKIM pour Google Workspace : génération de clés et publication
Pour assurer une signature cryptographique des messages, il faut générer la clé DKIM dans Google Admin et la publier via DNS chez le registrar. Ce processus renforce la sécurisation email et la confiance des destinataires.
Avant de créer la clé, ajoutez un enregistrement CNAME si Google le demande, puis générez la paire de clés dans l’espace Gmail de Google Admin. Selon Google Workspace Help, l’activation peut prendre jusqu’à quarante-huit heures.
Le flux est lié au SPF : sans SPF stable, DKIM perd une partie de son efficacité sur la délivrabilité. Après DKIM, le passage suivant aborde la politique DMARC à adopter progressivement.
Paramétrage pratique :
- Créer enregistrement CNAME si requis par Google
- Générer clé DKIM dans Google Admin
- Copier le nom d’hôte DNS et la valeur TXT
- Publier la clé dans la zone DNS du registrar
« J’ai noté que l’authentification DKIM était effective seulement après vingt-quatre heures chez le registrar »
Marc N.
Créer la clé DKIM dans Google Admin
Ce paragraphe explique le lien opérationnel avec la génération de la clé et la copie des valeurs DNS. Il faut aller dans Gmail > Authentifier email, puis générer un nouvel enregistrement pour le domaine concerné.
Conservez soigneusement le nom d’hôte et la valeur TXT fournis par Google, ils seront collés dans la zone DNS du registrar. La documentation Google fournit des pas détaillés pour chaque étape.
Publication DNS et vérification
Après publication chez l’hébergeur, la vérification peut mettre jusqu’à quarante-huit heures, selon la TTL et la réplication DNS. Surveillez l’onglet Authentifier email dans Google Admin pour confirmation.
Ensuite, vérifiez les signatures DKIM dans les headers des messages et utilisez des outils en ligne pour analyser la validité de la clé. Selon MXToolbox, cette lecture confirme la mise en place correcte.
DMARC et gouvernance : politiques, monitoring et évolutions
Après l’implémentation de SPF et DKIM, DMARC permet d’indiquer la façon de traiter les messages non conformes et d’obtenir des rapports. La norme DMARC offre des variables utiles, comme p et pct, pour un déploiement progressif.
Pour un MSP, la démarche recommandée consiste à débuter avec p=none, analyser les rapports, puis durcir la politique vers quarantine puis reject. Selon IT-Connect, cette montée en puissance protège la réputation sans perturber les envois légitimes.
Le monitoring doit inclure l’analyse régulière des rapports aggregate et forensic pour détecter toute source non autorisée. La phase suivante concerne la vérification des headers et la remédiation rapide des problèmes détectés.
Contrôles recommandés :
- Déployer DMARC en mode rapport avant d’appliquer des rejets
- Analyser régulièrement les rapports agrégés
- Corriger les sources non alignées ou non authentifiées
- Documenter les règles pour la gouvernance MSP
Étape
Paramètre DMARC
Objectif
Analyse initiale
p=none, pct=100
Collecter rapports sans impact sur livraison
Correction des sources
pct variable
Résorber les envois non conformes
Durcissement progressif
p=quarantine
Réduire les messages suspects
Politique stricte
p=reject
Bloquer les usurpations actives
Pour confirmer l’efficacité des trois protections, il reste essentiel de contrôler les headers des messages entrants et sortants. Ouvrez l’option Afficher l’original et copiez l’entête pour analyse détaillée.
Vous pouvez ensuite coller cet en-tête dans un outil d’analyse comme MXToolbox pour vérifier SPF, DKIM et DMARC. Selon MXToolbox, cette méthode aide à diagnostiquer précisément l’échec et à prioriser les corrections.
« Notre service a réduit les faux positifs après l’activation conjointe de SPF, DKIM et DMARC »
Sophie N.
Outils complémentaires :
- MXToolbox pour analyse d’en-tête et diagnostics
- Sendmarc pour centralisation et alertes
- Ironscales pour protection anti-phishing avancée
- Google Workspace Help pour procédures officielles
Source : Google, « Configurer DKIM | Security & data protection | Google Workspace Help », 2024 ; MXToolbox, « Email Header Analyzer », MXToolbox, 2023 ; IT-Connect, « Messagerie : SPF, DKIM et DMARC pour les débutants », IT-Connect, 2024.