Defaults.Exposed › Configuration › SPF

Comment configurer le SPF sur AWS Route 53

Ajoutez un enregistrement SPF dans votre zone hébergée Route 53 pour que les fournisseurs de messagerie distinguent vos vrais e-mails des contrefaçons.

Pourquoi cela compte pour votre activité

Le SPF (Sender Policy Framework, « cadre de politique de l’expéditeur ») est une courte note dans le DNS de votre domaine qui répertorie les serveurs de messagerie autorisés à envoyer des e-mails en votre nom. Lorsqu’une personne reçoit un message prétendant venir de vous, son fournisseur de messagerie vérifie cette liste. Si le serveur expéditeur n’y figure pas, le message paraît suspect — et il atterrit dans les spams ou se trouve bloqué.

En clair : le SPF rend plus difficile l’usurpation de votre entreprise par e-mail, et il aide vos messages légitimes à atteindre la boîte de réception plutôt que le dossier indésirable. C’est un seul enregistrement, c’est gratuit, et cela prend quelques minutes.

Avant de commencer : est-ce bien Route 53 qui gère votre DNS ?

C’est l’étape que la plupart des gens ratent. Un enregistrement DNS ne fonctionne que si Route 53 est bien le service qui répond aux requêtes DNS de votre domaine.

Route 53 est un hébergeur DNS, pas un fournisseur de boîtes aux lettres — il répond aux requêtes DNS mais ne gère pas vos boîtes de réception. Deux choses comptent ici :

• La zone hébergée doit être la bonne, celle qui est active. Dans la console Route 53, ouvrez Hosted zones et sélectionnez votre domaine. Notez les quatre valeurs NS (serveurs de noms) affichées pour cette zone.
• Les serveurs de noms de votre domaine doivent pointer vers ces valeurs. Si vous avez enregistré le domaine via Route 53 (sous Registered domains), c’est généralement déjà aligné. Mais si vous l’avez enregistré ailleurs, ou si vous avez plusieurs zones hébergées pour le même domaine, les serveurs de noms actifs peuvent pointer vers tout autre chose — et rien de ce que vous ajoutez ici ne fait quoi que ce soit. Vérifiez les serveurs de noms chez votre bureau d’enregistrement et assurez-vous qu’ils correspondent aux quatre valeurs NS de cette zone hébergée. Si ce n’est pas le cas, ajoutez plutôt l’enregistrement SPF là où réside réellement votre DNS.

Trouvez d’abord un fait : qui envoie vos e-mails ?

Le SPF doit nommer chaque service qui envoie du courrier pour votre domaine. Les cas courants sont Google Workspace, Microsoft 365 ou le prestataire qui héberge vos boîtes aux lettres. Chacun publie une valeur à insérer dans votre enregistrement SPF (souvent quelque chose comme include:_spf.google.com pour Google ou include:spf.protection.outlook.com pour Microsoft 365). Consultez les pages d’aide de votre fournisseur de messagerie pour la valeur exacte — c’est la partie qu’il faut absolument réussir.

Si vous envoyez via Amazon SES (le service d’envoi d’e-mails d’Amazon), SES utilise par défaut un mécanisme différent et le SPF y est facultatif — mais si vous avez configuré un domaine MAIL FROM personnalisé dans SES, suivez précisément les instructions SES correspondantes. SES est un service distinct de Route 53 ; Route 53 ne fait que stocker l’enregistrement DNS.

Pas à pas sur Route 53

1. Connectez-vous à la console AWS et ouvrez Route 53.
2. Dans le menu de gauche, choisissez Hosted zones, puis cliquez sur le nom de votre domaine.
3. Cliquez sur Create record.
4. Si un assistant avec des options de politique de routage s’affiche, basculez vers le formulaire simple (cherchez Quick create record) — le SPF n’a besoin d’aucun routage avancé.
5. Laissez le champ Record name vide. Un nom vide signifie « le domaine lui-même ». La console affiche votre domaine à côté du champ, vous n’avez donc pas à le retaper.
6. Définissez Record type sur TXT.
7. Dans le champ Value, saisissez votre texte SPF entouré de guillemets droits : "v=spf1 include:_spf.google.com ~all" Remplacez la partie include: par la ou les valeurs que votre véritable fournisseur de messagerie vous indique. Les guillemets qui l’entourent sont obligatoires dans Route 53 — voir les pièges ci-dessous.
8. Laissez le TTL sur la valeur par défaut (300 secondes convient).
9. Cliquez sur Create records.

Pièges fréquents propres à Route 53

• Les valeurs TXT doivent être entre guillemets droits. Contrairement à certains hébergeurs DNS qui ajoutent les guillemets pour vous, Route 53 attend que vous les saisissiez vous-même. Inscrivez "v=spf1 ... ~all", pas v=spf1 ... ~all. Oublier les guillemets est de loin l’erreur la plus courante sur Route 53.
• Laissez le champ Record name vide pour le domaine racine. Un nom vide désigne le domaine lui-même. Si vous saisissez votre nom de domaine complet dans le champ Name, Route 53 ajoute à nouveau la zone et vous obtenez votredomaine.com.votredomaine.com — un enregistrement qui n’est jamais vérifié.
• Un seul enregistrement SPF par domaine. Vous ne pouvez pas avoir deux enregistrements TXT v=spf1 — les fournisseurs de messagerie considéreront cela comme défectueux. Si un enregistrement TXT existe déjà à la racine, modifiez-le pour ajouter le nouveau service plutôt que de créer un second enregistrement SPF.
• La bonne zone hébergée, le bon compte. Si vous avez plusieurs zones hébergées (ou plusieurs comptes AWS), il est facile de modifier la mauvaise. Assurez-vous que la zone que vous modifiez est bien celle dont les valeurs NS correspondent à vos serveurs de noms actifs.
• ~all ou -all ? ~all (softfail) signifie « tout ce qui n’est pas listé est suspect » ; -all (hardfail) signifie « rejeter tout ce qui n’est pas listé ». Commencez par ~all le temps de confirmer que tout s’envoie correctement, puis durcissez vers -all une fois certain que votre liste est complète.
• Les changements ne sont pas instantanés. Les mises à jour DNS peuvent prendre de quelques minutes à quelques heures pour se propager.

Vérifiez que cela a fonctionné

Une fois l’enregistrement enregistré et après lui avoir laissé un peu de temps pour prendre effet, vérifiez-le avec la vérification gratuite de ce site. Elle vous indiquera en langage clair si votre enregistrement SPF est présent et correctement formé.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.