Le Domain Name System (DNS) oriente les utilisateurs depuis une adresse de domaine vers l'adresse IP des serveurs utilisés par ce domaine. Découvrez son fonctionnement et les types d'enregistrements qu'il contient : MX, SPF, DKIM, DMARC et NS.
L'essentiel sur le Domain Name System et les types d'enregistrements qu'il contient
Internet s'appuie sur le DNS (Domain Name System) pour orienter les utilisateurs depuis une adresse de domaine vers l'adresse IP des serveurs utilisés par ce domaine. Le DNS est souvent comparé à l'annuaire téléphonique d'Internet : lorsqu'un domaine change de services, l'annuaire est mis à jour. Le DNS contient plusieurs types d'enregistrements liés aux services utilisés, notamment l'acheminement des e-mails (MX), les fournisseurs autorisés à envoyer du courrier depuis un domaine (SPF) et les signatures numériques qui attestent qu'un message n'a pas été altéré pendant sa distribution (DKIM). À cela s'ajoutent les enregistrements de serveur de noms (NS), qui désignent le serveur ou le service hébergeant l'ensemble des enregistrements DNS d'un domaine. Ces différents enregistrements DNS sont publics par conception et peuvent souvent être à l'origine de problèmes d'acheminement des e-mails.
Les enregistrements MX
Les enregistrements MX (Mail Exchange) indiquent aux expéditeurs d'e-mails où les messages doivent être livrés. La bonne pratique consiste à publier un seul service MX dans le DNS. Publier plusieurs prestataires MX concurrents pour un même domaine peut entraîner des problèmes. Par exemple, si un serveur d'échange est occupé à traiter des messages, ceux-ci peuvent être redirigés vers un autre enregistrement, qui peut tout à fait correspondre à un fournisseur de messagerie totalement différent. Cela peut aussi générer des règles et des chemins d'acheminement contradictoires et concurrents, qui orientent le message jusqu'à la boîte de réception du destinataire.
Exemple d'enregistrements MX correctement configurés pour Google :
Les enregistrements SPF
Les enregistrements SPF (Sender Policy Framework) déterminent quels fournisseurs de messagerie sont autorisés à envoyer des messages en utilisant l'adresse d'un domaine. Ce type d'enregistrement TXT constitue une mesure de sécurité élémentaire pour empêcher le spoofing, c'est-à-dire l'envoi par un acteur malveillant de messages qui semblent provenir d'un contact ou d'un domaine connu. À la réception d'un message, le fournisseur de messagerie vérifie l'en-tête pour confirmer qu'il provient bien d'un service autorisé à envoyer pour le compte du domaine, avec le nom de domaine comme adresse from. Il est recommandé de ne pas dépasser 10 résolutions DNS (sous-résolutions incluses) dans un enregistrement SPF. Des techniques permettent d'autoriser plus de 10 fournisseurs de messagerie à envoyer pour le compte d'un domaine, mais cela dépasse le cadre de cet article.
Exemple d'enregistrements SPF correctement configurés pour Google Workspace :
Les enregistrements DKIM
Les enregistrements DKIM (DomainKeys Identified Mail) sont un type de signature numérique apposée sur les en-têtes des e-mails, qui permet à un expéditeur d'assumer la responsabilité d'un message de manière vérifiable par les destinataires. Tous les messages envoyés via un service de messagerie portent une signature DKIM qui prouve que le message n'a pas été altéré pendant sa distribution. Des enregistrements DKIM doivent être configurés pour chaque service mentionné dans l'enregistrement SPF.
Exemple d'enregistrements DKIM pour Google Workspace :
Les enregistrements DMARC
Un quatrième type d'enregistrement est le DMARC (Domain-based Message Authentication Reporting and Conformance). Ce type d'enregistrement DNS indique aux serveurs de messagerie destinataires comment traiter les messages envoyés depuis un domaine lorsqu'ils échouent aux contrôles SPF et/ou DKIM. Le DMARC dépasse le cadre de cet article, mais il reste un élément important à prendre en compte dans la mise en œuvre des bonnes pratiques de sécurité e-mail.
Exemple d'enregistrements DMARC pour Google Workspace :
Les enregistrements NS
Les enregistrements NS (nameserver) désignent le service qui héberge l'ensemble des enregistrements DNS d'un domaine. Il est courant de publier plusieurs enregistrements NS d'un même fournisseur pour assurer la redondance. Les serveurs de noms sont modifiés lorsqu'un domaine est transféré entre prestataires d'hébergement DNS, et ce type de changement peut prendre plusieurs heures, le temps que les modifications se propagent sur Internet. Le nouveau prestataire DNS doit être configuré avec les enregistrements évoqués précédemment. À défaut, les enregistrements DNS configurés au préalable risquent de disparaître des résolutions DNS publiques, ce qui entraînera des problèmes d'acheminement des e-mails.
Exemple d'enregistrements de serveur de noms DNS :
Pour aller plus loin sur les enregistrements DNS, consultez les articles ci-dessous :