Defaults.Exposed › Configuration › SPF

Comment configurer le SPF sur Cloudflare

Ajoutez un enregistrement SPF dans le DNS Cloudflare pour que les fournisseurs de messagerie distinguent vos vrais e-mails des contrefaçons.

Pourquoi cela compte pour votre activité

Le SPF (Sender Policy Framework, « cadre de politique de l’expéditeur ») est une courte note dans le DNS de votre domaine qui répertorie les serveurs de messagerie autorisés à envoyer des e-mails en votre nom. Lorsqu’une personne reçoit un message prétendant venir de vous, son fournisseur de messagerie vérifie cette liste. Si le serveur expéditeur n’y figure pas, le message paraît suspect — et il atterrit dans les spams ou se trouve bloqué.

En clair : le SPF rend plus difficile l’usurpation de votre entreprise par e-mail, et il aide vos messages légitimes à atteindre la boîte de réception plutôt que le dossier indésirable. C’est un seul enregistrement, c’est gratuit, et cela prend quelques minutes.

Avant de commencer : est-ce bien Cloudflare qui gère votre DNS ?

C’est l’étape que la plupart des gens ratent. Un enregistrement DNS ne fonctionne que si Cloudflare est bien le service qui répond aux requêtes DNS de votre domaine.

Cloudflare est un hébergeur DNS, pas un fournisseur de boîtes aux lettres — il répond aux requêtes DNS mais ne gère pas vos boîtes de réception. Pour que le DNS de Cloudflare soit actif, les serveurs de noms (nameservers) de votre domaine (définis là où vous avez enregistré le domaine) doivent pointer vers les deux serveurs de noms Cloudflare affichés dans votre tableau de bord Cloudflare. Dans Cloudflare, ouvrez votre domaine et consultez la page Overview (Aperçu) : elle indiquera si Cloudflare est actif pour ce domaine. Si vos serveurs de noms pointent encore vers votre bureau d’enregistrement ou un autre hébergeur, tout ce que vous ajoutez dans Cloudflare ne fait rien — ajoutez plutôt l’enregistrement SPF là où réside réellement votre DNS.

Trouvez d’abord un fait : qui envoie vos e-mails ?

Le SPF doit nommer chaque service qui envoie du courrier pour votre domaine. Les cas courants sont Google Workspace, Microsoft 365 ou le prestataire qui héberge vos boîtes aux lettres. Chacun publie une valeur à insérer dans votre enregistrement SPF (souvent quelque chose comme include:_spf.google.com pour Google ou include:spf.protection.outlook.com pour Microsoft 365). Consultez les pages d’aide de votre fournisseur de messagerie pour la valeur exacte — c’est la partie qu’il faut absolument réussir.

Si vous utilisez Cloudflare Email Routing pour faire suivre votre courrier, sachez que ce service ajoute ses propres enregistrements DNS de redirection mais qu’il n’envoie pas de courrier sortant en votre nom — votre SPF doit toujours répertorier le service depuis lequel vous envoyez réellement.

Pas à pas sur Cloudflare

1. Connectez-vous à Cloudflare et sélectionnez votre domaine dans le tableau de bord.
2. Dans le menu de gauche, accédez à vos paramètres DNS (cherchez DNS / Records).
3. Cliquez sur Add record.
4. Définissez Type sur TXT.
5. Dans le champ Name, saisissez @ — le @ signifie « le domaine lui-même ». Ne saisissez pas ici votre nom de domaine complet.
6. Dans le champ Content, saisissez votre texte SPF. Un enregistrement typique ressemble à ceci : v=spf1 include:_spf.google.com ~all Remplacez la partie include: par la ou les valeurs que votre véritable fournisseur de messagerie vous indique.
7. Laissez le TTL sur Auto.
8. Cliquez sur Save.

Pièges fréquents propres à Cloudflare

• Un seul enregistrement SPF par domaine. Vous ne pouvez pas avoir deux enregistrements TXT v=spf1 — les fournisseurs de messagerie considéreront cela comme défectueux. Si vous en avez déjà un, modifiez-le pour ajouter le nouveau service plutôt que d’en créer un second.
• Ne l’entourez pas de guillemets. Cloudflare gère lui-même les guillemets. Collez simplement le texte brut commençant par v=spf1. Si vous ajoutez vos propres ", vous risquez d’obtenir un enregistrement mal formé.
• Le nom est @, pas votre domaine. Si vous saisissez le nom de domaine complet, Cloudflare le ramènera généralement à la racine de toute façon, mais @ est le choix clair et fiable.
• Le proxy (nuage orange) ne s’applique pas. Le SPF réside dans un enregistrement TXT, qui n’est jamais proxifié — il n’y a pas de bascule nuage orange/gris à gérer sur un enregistrement TXT.
• ~all ou -all ? ~all (softfail) signifie « tout ce qui n’est pas listé est suspect » ; -all (hardfail) signifie « rejeter tout ce qui n’est pas listé ». Commencez par ~all le temps de confirmer que tout s’envoie correctement, puis durcissez vers -all une fois certain que votre liste est complète.
• Les changements ne sont pas instantanés. Les mises à jour DNS peuvent prendre de quelques minutes à quelques heures pour se propager.

Vérifiez que cela a fonctionné

Une fois l’enregistrement enregistré et après lui avoir laissé un peu de temps pour prendre effet, vérifiez-le avec la vérification gratuite de ce site. Elle vous indiquera en langage clair si votre enregistrement SPF est présent et correctement formé.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.