Vérifier les enregistrements DNS mail (MX, SPF, DKIM, DMARC)

Pourquoi c'est important

Le marketing active SendGrid vendredi ; lundi arrive avec rebonds massifs car SPF liste mauvais include. Sécurité audite rapports agrégés DMARC montrant expéditeurs non autorisés stampant votre domaine. IT migre MX vers Microsoft 365 mais oublie priorités MX secondaires — mail externe boucle ou retarde silencieusement. Inspection DNS appartient à toute salle de guerre délivrabilité avant escalade consultants coûteux.

Trois scénarios réels

Ingénieur DevOps

Valider coupure DNS avant extinction SMTP legacy

Interrogez priorités MX et TTL après abaissement enregistrements région par région.

Propagation propre

Marketeur email

Prouver alignement SPF/DKIM onboarding ESP

Capturez chaînes TXT avec includes v=spf1 et clés DKIM par sélecteur.

Captures pour tickets

Analyste sécurité

Repérer politiques DMARC faibles

Vérifiez si domaines restent p=none sans plan durcissement progressif.

Recommandations fermes

Parcours

Ouvrez la vérification DNS mail.

Entrez domaine ou étiquettes par sélecteur
MX/SPF/DMARC à racine ; DKIM utilise souvent selector._domainkey.example.com — confirmez doc ESP.
Choisissez types d'enregistrement
MX routage, TXT blocs SPF/DMARC/DKIM, CNAME délégation DKIM vers fournisseurs — multi-sélection selon besoin.
Inspectez TTL et autorité
TTL courts aident migrations mais chargent résolveurs — notez valeurs planifiant fenêtres rollback.
Copiez extrait diagnostic
Collez dans tickets support avec horodatages pour tracer timelines propagation.

Sanité fragment SPF

Input

Domaine : example.com
Enregistrement : TXT (SPF)

Output

v=spf1 include:_spf.google.com include:sendgrid.net ~all
(Puis vérifiez résolution includes et limites recherche DNS)

Conseils avancés

Associez analyseur URL disséquant liens mailto: dans PDF suspects.
Contrastez résolveurs multiples : DNS split-horizon corporate peut mentir vs Internet public — comparez dig depuis shells cloud si escalades persistent.
Documentez changements séquentiels : durcissement DMARC va dans tickets changement avec snapshots TXT avant/après.

Pièges courants

Piège courant

Délais propagation DNS

Réponses cache retardent réalité globale — attendez fenêtres TTL avant déclarer échec après bascule fournisseur nocturne.

Piège courant

Plusieurs TXT SPF

Standard attend un seul TXT SPF par zone — doublons accidentels créent échecs permanents.

Piège courant

Rotation sélecteur DKIM

Anciens sélecteurs persistent pendant rotations clé — validez ancien+nouveau jusqu'à mise à jour cache récepteurs.

Quand ce n'est pas l'outil adapté

Debug MIME niveau boîte : récupérez en-têtes .eml bruts dans client mail.
Traces conversation SMTP : logs serveur (STARTTLS, AUTH) au-delà DNS.
Score réputation : Talos/SenderScore complètent hygiène DNS sans la remplacer.

FAQ

Les requêtes sont-elles journalisées centralement ?

Exécution environnement navigateur selon MoreKits — évitez taper schémas sous-domaines ultra sensibles machines partagées si politique interdit.

Envoie-t-il mails test ?

Non — lecture DNS seulement ; test délivrabilité nécessite encore semences multi-fournisseurs.

Considérations IPv6

Certains MX publient AAAA — vérifiez reachabilité dual-stack séparément correction DNS.

Étapes suivantes

Encodez specs QR Wi‑Fi avant déménagements bureau via générateur QR Wi‑Fi.
Hachez secrets webhooks avec générateur HMAC.
Comparez URLs suspectes structurellement avec analyseur URL.

Pourquoi c'est important

Trois scénarios réels

Ingénieur DevOps

Valider coupure DNS avant extinction SMTP legacy

Interrogez priorités MX et TTL après abaissement enregistrements région par région.

Propagation propre

Marketeur email

Prouver alignement SPF/DKIM onboarding ESP

Capturez chaînes TXT avec includes v=spf1 et clés DKIM par sélecteur.

Captures pour tickets

Analyste sécurité

Repérer politiques DMARC faibles

Vérifiez si domaines restent p=none sans plan durcissement progressif.

Recommandations fermes

Parcours

Entrez domaine ou étiquettes par sélecteur

MX/SPF/DMARC à racine ; DKIM utilise souvent selector._domainkey.example.com — confirmez doc ESP.

Choisissez types d'enregistrement

MX routage, TXT blocs SPF/DMARC/DKIM, CNAME délégation DKIM vers fournisseurs — multi-sélection selon besoin.

Inspectez TTL et autorité

TTL courts aident migrations mais chargent résolveurs — notez valeurs planifiant fenêtres rollback.

Copiez extrait diagnostic

Collez dans tickets support avec horodatages pour tracer timelines propagation.

Sanité fragment SPF

Input

Domaine : example.com
Enregistrement : TXT (SPF)

Output

v=spf1 include:_spf.google.com include:sendgrid.net ~all
(Puis vérifiez résolution includes et limites recherche DNS)

Conseils avancés

Associez analyseur URL disséquant liens mailto: dans PDF suspects.

Contrastez résolveurs multiples : DNS split-horizon corporate peut mentir vs Internet public — comparez dig depuis shells cloud si escalades persistent.

Documentez changements séquentiels : durcissement DMARC va dans tickets changement avec snapshots TXT avant/après.

Pièges courants

Piège courant

Délais propagation DNS

Réponses cache retardent réalité globale — attendez fenêtres TTL avant déclarer échec après bascule fournisseur nocturne.

Piège courant

Plusieurs TXT SPF

Standard attend un seul TXT SPF par zone — doublons accidentels créent échecs permanents.

Piège courant

Rotation sélecteur DKIM

Anciens sélecteurs persistent pendant rotations clé — validez ancien+nouveau jusqu'à mise à jour cache récepteurs.

FAQ

Les requêtes sont-elles journalisées centralement ?

Exécution environnement navigateur selon MoreKits — évitez taper schémas sous-domaines ultra sensibles machines partagées si politique interdit.

Envoie-t-il mails test ?

Non — lecture DNS seulement ; test délivrabilité nécessite encore semences multi-fournisseurs.

Considérations IPv6

Certains MX publient AAAA — vérifiez reachabilité dual-stack séparément correction DNS.