Blog
>
Sendmarc
>
SPF Google Workspace : sécurisez l’envoi d’emails de vos clients

SPF Google Workspace : sécurisez l’envoi d’emails de vos clients

Date
|
Sendmarc
,
Technique
,
Webinar Offert
[Replay] Exploitez cette faille méconnue de cybersécurité pour prospecter et signer des nouveaux contrats
Je m’inscris

Vous recevez un ticket : « Nos emails se retrouvent en spam ou, pire, bloqués ! » Pour un MSP, c’est un classique. En général, la cause est technique, mais évitable - un SPF mal configuré pour Google Workspace.

Le Sender Policy Framework (SPF) est la base de la sécurité email : il permet aux serveurs récepteurs de vérifier que l’email provient de serveurs autorisés. Pour les domaines utilisant Google Workspace, il faut inclure spf.google.com dans l’enregistrement SPF. Sans cela, vos clients deviennent vulnérables aux phishing attacks, aux échecs de délivrabilité et à une réputation ternie.

Nous allons voir comment créer et tester un SPF record for Google Workspace, pourquoi patienter jusqu’à 48 heures est parfois nécessaire, comment anticiper les requêtes DNS, et comment automatiser cette protection via Sendmarc et renforcer la sécurité post-entrée de boîte via Ironscales.

Fini les tickets SMTP à rallonge : en équipe MSP, passons à la prévention organisée.

À retenir

  • L’enregistrement essential est :
    • v=spf1 include:_spf.google.com ~all
    • Inclut tous les serveurs Google Workspace.
  • Un seul SPF par domaine suffit - évitez d’en créer plusieurs.
  • L’ajout peut prendre jusqu’à 48 heures pour se propager pleinement.
  • Même avec un SPF bien configuré, combinez avec Sendmarc pour une surveillance centralisée et Ironscales pour une protection contre le social engineering.

Qu’est-ce que le SPF pour Google Workspace ?

Le SPF est un enregistrement DNS TXT qui définit quels serveurs sont autorisés à envoyer des emails pour un domaine. Pour un domaine Google Workspace, cela revient à inclure :

v=spf1 include:_spf.google.com ~all

Ce mécanisme informe les serveurs récepteurs que Gmail, les interfaces Workspace ou les serveurs Google associés sont autorisés. Inutile de le publier dans le panneau admin Google - c’est à faire via les DNS settings du registrar. En validant cette règle, vous réduisez drastiquement le risque que des emails légitimes soient filtrés ou bloqués.

Pourquoi Google requiert-il un SPF ?

Google a fait du renforcement de la sécurité email une priorité. Depuis 2024, tout domaine envoyant à Gmail doit avoir un SPF ou DKIM actif. 

Pour les envois massifs, il faut également configurer DKIM et DMARC.

Un bon SPF améliore la réputation IP, booste la délivrabilité et réduit les risques d’usurpation.

Comment créer et configurer votre SPF pour Google Workspace ? 

Beaucoup confondent les deux notions : créer un SPF et configurer un SPF.

  • Créer, c’est poser la première brique : ajouter un enregistrement TXT dans les DNS de votre domaine.
  • Configurer, c’est l’optimiser : adapter l’enregistrement aux usages réels de vos clients (Google Workspace, mais aussi envois via des services tiers comme SendGrid, Mailchimp, ou une solution interne).

1. Créer un SPF “de base” pour Google Workspace

Connectez-vous au panneau DNS de votre registrar (GoDaddy, Cloudflare, OVH, etc.).

Créez un enregistrement TXT :

  • Nom d’hôte : @ (ou votre domaine racine).
  • Valeur :
  • v=spf1 include:_spf.google.com ~all
  • TTL : gardez la valeur par défaut (souvent 3600 secondes).
  • Sauvegardez.

La propagation DNS peut prendre jusqu’à 48 heures.

2. Configurer pour un usage multi-services

Un SPF “propre” ne suffit pas toujours. Beaucoup de clients MSP utilisent, en plus de Google Workspace :

Dans ce cas, il ne faut pas créer plusieurs SPF — un seul enregistrement par domaine est autorisé. Il faut enrichir l’existant avec des include: supplémentaires, par exemple :

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Point de vigilance : trop d’“include” successifs peut provoquer une limite de requêtes DNS (10 maximum). Et là, c’est l’échec assuré.

3. Tester et valider

Après modification, testez votre SPF avec :

  • nslookup -type=TXT votredomaine.com
  • ou des outils spécialisés (MXToolbox, Google Admin Toolbox).

Si vous obtenez des erreurs ou que Gmail continue à signaler un SPF failure, cela peut être dû :

  • à une propagation incomplète,
  • à un SPF dupliqué,
  • à un dépassement de requêtes DNS.

4. Automatiser et surveiller côté MSP

Un SPF bien configuré aujourd’hui peut être cassé demain si un client ajoute un outil tiers sans vous prévenir. C’est là qu’entre en jeu la gouvernance :

  • Sendmarc : centralise les enregistrements DNS (SPF, DKIM, DMARC), détecte les incohérences, vous envoie des alertes proactives et vous aide à rester en dessous de la limite des 10 requêtes. Idéal en environnement multi-client MSP.
  • Ironscales : même avec un SPF parfait, le phishing peut passer via de faux emails internes (fraude au président, spear phishing). Ironscales ajoute une analyse comportementale et collaborative pour stopper ce qui échappe aux contrôles DNS.

En résumé : créer le SPF, c’est ajouter la règle de base pour Google Workspace. Configurer, c’est l’adapter et le maintenir dans le temps, en tenant compte des besoins réels des clients et des évolutions de leurs outils.

Conclusion

Configurer le SPF Google Workspace avec include:_spf.google.com n’est que le début. Pour un MSP, la vraie valeur réside dans la gouvernance : supervision, audit et protection active. C’est ce qui fait la différence entre une configuration “qui marche aujourd’hui” et une sécurité email durable, prête à encaisser l’évolution des usages de vos clients.

Pour maîtriser l’authentification email de vos clients, sécuriser la réputation de leur domaine, et automatiser la conformité SPF, misez sur Sendmarc. 

Et pour protéger réellement leurs boîtes, ajoutez Ironscales, votre rempart anti-phishing. Réservez votre démo avec les équipes de BeMSP pour voir ça en action !

FAQ 

Quel est le SPF pour Google Workspace ?

v=spf1 include:_spf.google.com ~all indique que seuls les serveurs Google Workspace sont autorisés à envoyer pour ce domaine.

Google exige-t-il un SPF ?

Oui, depuis 2024 tout domaine envoie à Gmail doit avoir SPF ou DKIM 

Google Workspace a-t-il une protection antivirus ?

Oui, mais le SPF assure une protection supplémentaire en validant les serveurs d’envoi.

Comment corriger un échec SPF dans Gmail ?

Vérifiez votre enregistrement SPF, corrigez-le via DNS, attendez la propagation, puis testez à nouveau.

Qu’est-ce qu’un SPF ?

Le Sender Policy Framework est un protocole DNS qui liste les serveurs légitimes autorisés à envoyer des emails pour un domaine, en combatant le phishing et le spoofing.

Comment protéger Google Workspace ?

Via SPF, DKIM, DMARC, surveillance centralisée (Sendmarc) et protection anti-phishing (Ironscales).

Dans cet article
This is some text inside of a div block.
Partagez autour de vous !
Découvrez nos rubriques
Domotz
Ironscales
CyberQP
Microsoft
Sécurité
Qontrol
Technique
Vonahi
Splashtop
Tout voir

Dans la catégorie

Sendmarc
Faux support technique : comment protéger vos clients contre cette arnaque redoutable
Lire l'article
Conseil en cybersécurité : un levier stratégique pour maîtriser les risques numériques de vos clients
Lire l'article
Parc informatique : définition, méthode et outils pour une gestion optimale
Lire l'article