Le DNS est le socle invisible de l’email. Sans les bons enregistrements, vos emails ne seront pas délivrés, pas authentifiés, ou pas chiffrés. Voici tous les records DNS qu’un domaine d’envoi doit connaître et configurer.
Vue d’ensemble
| Record | Type | Rôle |
|---|---|---|
| MX | MX | Où livrer les emails pour votre domaine |
| SPF | TXT | Qui peut envoyer pour votre domaine |
| DKIM | TXT/CNAME | Clé publique pour vérifier les signatures |
| DMARC | TXT | Politique d’alignement SPF + DKIM |
| MTA-STS | TXT + HTTPS | Forcer le chiffrement TLS |
| TLS-RPT | TXT | Rapports sur les échecs TLS |
| BIMI | TXT | Logo vérifié dans la boîte de réception |
| PTR | PTR | Reverse DNS de vos IP d’envoi |
MX : où livrer les emails
Le record MX (Mail Exchange) indique quels serveurs reçoivent les emails pour votre domaine.
example.com. MX 10 mx1.example.com.
example.com. MX 20 mx2.example.com.
- Le chiffre (10, 20) est la priorité : plus il est bas, plus le serveur est prioritaire
- Plusieurs records MX assurent la redondance : si mx1 est indisponible, mx2 prend le relai
- Les serveurs MX doivent avoir un record A valide (pas un CNAME)
Sans record MX, personne ne peut vous envoyer d’emails.
SPF : qui peut envoyer
Un record TXT à la racine du domaine qui liste les IP et domaines autorisés à envoyer des emails en votre nom.
example.com. TXT "v=spf1 include:_spf.google.com include:spf.brevo.com ip4:198.51.100.0/24 -all"
Points clés :
- Un seul record SPF par domaine (pas de doublons)
- Maximum 10 lookups DNS (include, a, mx, redirect comptent)
- Terminez toujours par
-all(fail) pour rejeter les sources non autorisées - Vérifiez avec le SPF Checker | SPF Generator
Guide complet : Configurer SPF
DKIM : la clé publique
Un record TXT (ou CNAME pointant vers un TXT) sous selecteur._domainkey.domaine contenant votre clé publique DKIM.
Record TXT direct
selector1._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."
Record CNAME (courant avec les ESP)
selector1._domainkey.example.com. CNAME selector1._domainkey.esp-domain.com.
Le CNAME redirige vers le record TXT de l’ESP, ce qui lui permet de gérer la rotation des clés de son côté.
Points clés :
v=DKIM1: version du record (obligatoire)k=rsa: algorithme (oued25519)p=...: la clé publique en Base64- Vérifiez avec le DKIM Checker
Guides : Configurer DKIM | Taille de clé RSA
DMARC : la politique
Un record TXT sous _dmarc.domaine qui définit votre politique d’authentification.
_dmarc.example.com. TXT "v=DMARC1; p=reject; sp=reject; rua=mailto:your-rua@example.com; pct=100"
| Tag | Rôle |
|---|---|
p= | Politique pour le domaine (none, quarantine, reject) |
sp= | Politique pour les sous-domaines |
rua= | Adresse pour les rapports agrégés |
ruf= | Adresse pour les rapports forensic (peu supporté) |
pct= | Pourcentage du trafic soumis à la politique |
adkim= | Alignement DKIM (r=relaxed, s=strict) |
aspf= | Alignement SPF (r=relaxed, s=strict) |
Vérifiez avec le DMARC Checker | DMARC Generator.
Guides : Configurer DMARC | Migrer de p=none à p=reject
MTA-STS : forcer le chiffrement
Deux composants :
Record DNS
_mta-sts.example.com. TXT "v=STSv1; id=20260621"
Le id= doit changer à chaque mise à jour de la politique.
Fichier HTTPS
Hébergé sur https://mta-sts.example.com/.well-known/mta-sts.txt :
version: STSv1
mode: enforce
mx: mx1.example.com
mx: mx2.example.com
max_age: 604800
MTA-STS indique aux serveurs d’envoi qu’ils doivent utiliser TLS pour livrer les emails à votre domaine.
Vérifiez : MTA-STS Checker
Guide : TLS et email
TLS-RPT : rapports TLS
Un record TXT sous _smtp._tls.domaine pour recevoir les rapports sur les échecs de négociation TLS.
_smtp._tls.example.com. TXT "v=TLSRPTv1; rua=mailto:your-tlsrpt@example.com"
Les rapports sont au format JSON et contiennent les détails des échecs : certificat expiré, politique MTA-STS non respectée, downgrade détecté.
Si vous utilisez Sender Audit, les rapports TLS sont analysés dans votre dashboard.
Vérifiez : TLS-RPT Checker
BIMI : votre logo dans la boîte de réception
Un record TXT sous default._bimi.domaine qui pointe vers votre logo SVG et (optionnellement) un certificat VMC.
default._bimi.example.com. TXT "v=BIMI1; l=https://example.com/brand/logo.svg; a=https://example.com/brand/vmc.pem"
Prérequis :
- DMARC avec
p=quarantineoup=reject - Logo au format SVG Tiny PS
- VMC (Verified Mark Certificate) pour Gmail (payant)
Guide : Configurer BIMI
PTR : le reverse DNS
Le record PTR associe une IP à un nom d’hôte. Ce n’est pas dans votre zone DNS de domaine, mais dans la zone DNS inverse gérée par votre hébergeur/FAI.
42.100.51.198.in-addr.arpa. PTR mail.example.com.
Points clés :
- Le PTR de votre IP d’envoi doit correspondre à un nom de domaine valide
- Ce nom doit avoir un record A qui pointe vers la même IP (forward-confirmed reverse DNS)
- Les fournisseurs de messagerie (notamment Gmail) vérifient le PTR et rejettent les emails dont l’IP n’a pas de rDNS valide
DANE / TLSA (bonus)
Pour les domaines avec DNSSEC, le record TLSA publie l’empreinte du certificat TLS du serveur mail :
_25._tcp.mx1.example.com. TLSA 3 1 1 abc123def456...
Plus robuste que MTA-STS (protégé par DNSSEC), mais nécessite que le résolveur DNS supporte DNSSEC.
Checklist DNS email
- Records MX valides avec redondance
- SPF publié, moins de 10 lookups, terminé par
-all - DKIM publié pour chaque sélecteur/ESP
- DMARC publié avec
rua=et politiquequarantineoureject - MTA-STS configuré (record DNS + fichier HTTPS)
- TLS-RPT configuré
- BIMI configuré (si DMARC en
quarantine/reject) - PTR/rDNS valide pour chaque IP d’envoi
Pour aller plus loin
- Audit gratuit, vérifie automatiquement SPF, DKIM, DMARC, BIMI
- SPF Checker | DKIM Checker | DMARC Checker | BIMI Checker
- DMARC Generator | SPF Generator | TLS-RPT Checker | MTA-STS Checker
- Dashboard Sender Audit, monitoring DMARC et TLS
- Communauté Matrix, pour poser vos questions