Configurer les e-mails avec le relais SMTP de Google Workspace

Si comme nous, vous utilisez Google Workspace pour votre entreprise, cet article est fait pour vous ! A la fin de cet article, vous serez en mesure d’utiliser le relais SMTP de Google Workspace pour envoyer des e-mails, via une adresse e-mail de votre domaine, pour toutes vos applications 🚀.

SMTP, MX, DKIM, SPF, DMARC, MTA-STS… Il fût un temps où il suffisait d’une simple ligne de code pour envoyer un e-mail.

Aujourd’hui, les protocoles visant à sécuriser les envois d’e-mail sont nombreux à avoir vu le jour. Malheureusement, leur mise en place peut être laborieuse.

Je détaillerai la procédure à suivre en partant du principe que votre nom de domaine est enregistré auprès d’OVH. Mais la procédure est relativement similaire chez tous les registraires de domaine, puisqu’il suffit de créer des enregistrements DNS de ce côté-ci.

1. Ajouter un domaine sur Google Workspace

• Rendez-vous sur https://admin.google.com/ac/domains/manage et cliquez sur « Ajouter un domaine »
• Saisissez le nom de domaine, sélectionnez le type de domaine comme étant un « Domaine avec alias d’utilisateur » et validez
• Rafraîchissez la page, puis cliquez sur « Activer Gmail » sur la ligne du domaine ajouté
• Sélectionnez « Configurer un enregistrement MX » et cliquez sur « Suivant »

2. Configurer les enregistrements MX

MX (Mail Exchange) est un enregistrement DNS qui indique où les e-mails destinés à un domaine doivent être envoyés. Ces enregistrements spécifient les serveurs de messagerie autorisés à recevoir des e-mails pour ce domaine, permettant ainsi le bon acheminement des messages.

Cette étape est nécessaire si vous souhaitez recevoir les e-mails envoyés à des adresses appartenant à votre domaine, sur votre compte Google Workspace, depuis Gmail.

• Rendez-vous sur https://www.ovh.com/manager/#/web/domain et sélectionnez le nom de domaine concerné, puis suivez la procédure détaillée par Google, ou les étapes ci-dessous
• Ouvrez l’onglet « Zone DNS » et supprimez tous les enregistrements “MX” (sauf ceux déjà configurés pour Google Workspace)
• Ajoutez 5 entrées de type « MX » :
  • Sous-domaine : laisser vide si c’est le domaine principal à configurer
  • Priorité : définie par Google
  • TTL : personnalisé (3600 s)
  • Cible : définie par Google (ex: « ASPMX.L.GOOGLE.COM »)
• Validez la fenêtre de configuration de Gmail

3. Configurer DKIM

DKIM (DomainKeys Identified Mail) est un protocole de sécurité qui permet de vérifier l’authenticité des e-mails en associant une clé cryptographique au nom de domaine de l’expéditeur. Cela aide à réduire le risque de phishing et de spam, en permettant aux serveurs de messagerie de vérifier si l’e-mail provient bien du domaine qu’il prétend représenter.

Cette configuration est indispensable si vous souhaitez utiliser le relais SMTP de Google Workspace pour envoyer des e-mails depuis vos applications.

• Sur la console d’administration Google, allez dans « Applications / Google Workspace / Gmail / Authentifier les e-mails »
• Dans la partie « Authentification DKIM » sélectionnez le nom de domaine à configurer
• Cliquez sur le bouton « Générer un nouvel enregistrement », puis cliquez sur le bouton « Générer » en laissant les valeurs par défaut
• Si l’enregistrement n’apparaît pas, réactualiser la page
• Sur OVH, dans la zone DNS du domaine, ajoutez une entrée de type DKIM :
  • Sous-domaine : Valeur indiquée par Google dans « Nom d’hôte DNS (nom de l’enregistrement TXT)« 
  • TTL : par défaut
  • Version : Oui
  • Type de clé : Oui
  • Clé publique (base64) : recopier la clé indiqué par Google après le « p=« 
  • Types de service: Aucun
  • Mode test : Désactivé
  • Sous-domaines : La clé publique est valide pour les sous-domaines de ce domaine
• Sur Google Workspace, cliquez sur « Lancer l’authentification »

4. Configurer SPF

SPF (Sender Policy Framework) est un protocole de validation d’e-mail qui aide à prévenir la falsification d’adresse d’expéditeur. Il permet aux serveurs de messagerie de vérifier si l’adresse IP envoyant un e-mail est autorisée par le propriétaire du domaine, réduisant ainsi les risques de spam et de phishing.

Cette configuration est indispensable si vous souhaitez utiliser le relais SMTP de Google Workspace pour envoyer des e-mails depuis vos applications.

• Sur OVH, dans la zone DNS, ajoutez une entrée de type « SPF » :
  • TTL : personnalisé (3600 s)
  • include : _spf.google.com
  • Tout en bas, sélectionnez « Oui, mais utiliser le safe mode« 

5. Activer DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole de sécurité des e-mails qui permet de définir des politiques pour les messages reçus en vérifiant l’alignement des enregistrements SPF et DKIM. Cela aide à protéger contre les attaques de phishing en permettant aux propriétaires de domaine de spécifier comment les messages non authentifiés doivent être traités.

Cette configuration n’est pas indispensable si vous souhaitez utiliser le relais SMTP de Google Workspace pour envoyer des e-mails depuis vos applications. Néanmoins, cela vous permettra d’avoir la main sur le traitement à appliquer, et d’obtenir des informations concernant des tentatives d’usurpation d’identité.

• Sur OVH, dans la zone DNS, ajouter une entrée de type « DMARC » :
  • Sous-domaine : _dmarc (ou _dmarc.SOUS-DOMAINE en cas de sous-domaine)
  • Règle pour le domaine : quarantine (pour mettre en SPAMs les mails non validés), ou la stratégie que vous souhaitez appliquer

6. Configurer MTA-STS

MTA-STS (Mail Transfer Agent Strict Transport Security) est un mécanisme de politique de sécurité des e-mails qui permet de forcer les serveurs de messagerie à communiquer de manière chiffrée et sécurisée via TLS (Transport Layer Security). Cela renforce la confidentialité et la sécurité des communications par e-mail, en s’assurant que les messages sont transmis de manière cryptée entre les serveurs de messagerie.

Cette configuration n’est pas indispensable si vous souhaitez utiliser le relais SMTP de Google Workspace pour envoyer des e-mails depuis vos applications. Néanmoins, elle renforce la confidentialité des données transmises par e-mail.

• Allez sur https://admin.google.com/ac/apps/cs/diagnostic et regardez la section correspondante à votre domaine
• Sur OVH, dans la zone DNS, ajoutez une entrée de type « TXT » :
  • Sous-domaine : _mta-sts
  • Valeur : Configuration suggérée par Google pour « TXT MTA-STS« 
• Ajoutez une entrée de type « TXT » :
  • Sous-domaine : _smtp._tls
  • Valeur : Configuration suggérée par Google pour « Diagnostic relatif aux règles de création de rapports« 
  • Vérifiez que la valeur définie dans « rua » correspond bien à l’adresse sur laquelle vous souhaitez recevoir les rapports. Sinon, modifiez cette valeur
• Ajoutez une entrée de type « A » :
  • Sous-domaine : mta-sts
  • Cible : Ip du serveur Web hébergeant le domaine (afin de pouvoir y déposer un fichier)
• Sur le serveur Web, créez un fichier qui devra être accessible à l’adresse https://mta-sts.NOM_DE_DOMAINE/.well-known/mta-sts.txt et insérez-y le contenu suggéré par Google pour « Diagnostic de la règle MTA-STS »
• Vérifiez que le fichier est bien accessible publiquement, autrement configurez le serveur Web
• Attention : le fichier doit être accessible via HTTPS, avec un certificat valide

7. Vérifier le bon fonctionnement

Google met à votre disposition deux outils qui vous permettront de valider le bon fonctionnement de votre configuration :

• Rendez-vous sur https://toolbox.googleapps.com/apps/checkmx/ et vérifiez que le domaine est bien configuré
• Rendez-vous sur https://admin.google.com/ac/apps/cs/diagnostic et vérifiez que le domaine est bien configuré

8. Créer un mot de passe d’application pour votre compte Google

Cette étape vous permettra de créer un mot de passe distinct de celui de votre compte utilisateur pour configurer votre application d’envoi d’e-mails. En effet, il sera nécessaire de définir des identifiants de connexion au relais SMTP de Google.

1. Connectez-vous avec le compte que vous souhaitez utiliser pour envoyer des e-mails (cette adresse e-mail sera utilisée uniquement pour la connexion lors de l’envoi)
2. Accédez à votre compte Google.
3. Rendez-vous dans le menu Sécurité.
4. Sous « Comment vous connecter à Google », sélectionnez Validation en deux étapes.
5. En bas de la page, sélectionnez Mots de passe des applications.
6. Définissez un nom pour votre application, et cliquez sur le bouton « Créer »

Vous obtiendrez un mot de passe à utiliser dans votre application afin de vous connecter au relais SMTP avec votre adresse e-mail. Notez que les espaces ne doivent pas être conservés.

9. Configurer le routage sur le relais SMTP de Google Workspace

Cette étape n’est nécessaire que pour le premier domaine configuré via Google Workspace

Avant de pouvoir envoyer des e-mails via votre application, vous devez définir les règles de sécurité visant à autoriser votre application :

• Sur la console d’administration Google, aller dans « Applications / Google Workspace / Gmail / Routage »
• Dans « Service de relais SMTP », cliquer sur « Ajouter une autre règle » :
  • Exiger l’authentification SMTP : Oui
  • Exiger le chiffrement TLS : Oui
  • Pour le reste, configurez selon vos préférences

10. Configuration du relais SMTP de Google Workspace à utiliser dans vos applications

Si vous êtes arrivé à cette étape, c’est que vous êtes prêt à envoyer des e-mails via votre application. Pour cela, il vous suffira d’utiliser la configuration suivante :

• Hôte : smtp-relay.gmail.com
• Utilisateur : L’adresse e-mail de votre compte Google Workspace
• Mot de passe : Le mot de passe d’application généré à l’étape 8
• Port : 587
• TLS : oui

Conclusion

En ce début d’année 2024, cette configuration devrait être suffisante pour que les e-mails vous étant destinés arrivent dans votre boîte Gmail, et que les e-mails envoyés par vos applications par le biais du relais de Google Workspace parviennent à leur destination, en évitant la case « Spam ».

De plus, grâce à DMARC, vous devriez pouvoir vous prémunir de l’usurpation d’identité, et même obtenir des rapports concernant ces tentatives.

Enfin, grâce à MTA-STS, tous les échanges seront cryptés, et garantirons ainsi la confidentialité de vos données.

Si vous ou votre entreprise avez besoin d’aide pour mettre en place un système d’e-mailing efficace, n’hésitez pas à nous contacter 😉