Aller au contenu principal
Se connecter
CaptainDNS

Diagnostic email

Outils pour vérifier et valider vos configurations d'authentification e-mail.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Délivrabilité

Audit de délivrabilité emailAnalyseur d'en-têtes emailTesteur d'emailVérificateur blacklist IPVérificateur blacklist domaineSPF FlattenerRecherche de sélecteurs DKIMSMTP/MX Tester

Sécuriser & Surveiller

Générateurs d'enregistrements, hébergement de politiques et surveillance continue.

Réseau & Web

Outils réseau, analyse de pages web et certificats.

Outils IP

Mon adresse IP

Détectez vos adresses IPv4/IPv6 et leur géolocalisation.

Recherche inverse

Résolvez un enregistrement PTR et vérifiez la cohérence DNS.

WhoIs IP

Identifiez le propriétaire d'une plage IP et ses coordonnées.

Masque IPv4

Calculez le réseau, le broadcast et les hôtes utilisables d'un bloc IPv4.

Calculateur sous-réseau IPv6

Calculez les sous-réseaux, plages d'adresses et entrées DNS inversé IPv6.

Certificats & BIMI

Analyseur de logo BIMI

Inspectez l'URL d'un logo BIMI, son format, ses métadonnées et son rendu.

Convertisseur SVG BIMI

Convertissez un SVG au format Tiny-PS compatible BIMI en quelques secondes.

Analyseur de CSR

Décodez un CSR, inspectez le sujet, les empreintes et les SAN demandés.

Inspecteur de VMC

Contrôlez un Verified Mark Certificate : autorité émettrice, validité et SAN avant de publier votre BIMI.

Web

Vérificateur de poids de page

Vérifiez si votre page dépasse la limite de 2 MB de Googlebot.

Vérificateur d'URL de phishing

Vérifiez si une URL est signalée comme phishing ou malware par 4 sources.

Redirect Checker

Analysez les chaines de redirections HTTP

Redirection de domaine

Redirigez vos domaines avec HTTPS automatique et redirections 301/302.

HTTP Uptime Monitor

Surveillez la disponibilité de vos sites avec des checks programmés et des alertes email.

Pages de statut

Publiez une page publique regroupant l'état de vos monitors HTTP.

Outils développeur

Utilitaires texte et outils pour le quotidien dev.

Texte

Transformez et mesurez vos contenus en un clin d'oeil.

Convertisseur de casse

Passez un bloc de texte en minuscules ou en majuscules en un clic.

Générateur de slug

Transformez un titre en slug optimisé SEO en quelques secondes.

Compteur de mots et caractères

Comptez instantanément le nombre de mots et de caractères d'un texte.

Générateur de mots de passe

Générez des mots de passe aléatoires robustes et des phrases de passe mémorisables.

Developpeur

Encodage, hachage, regex et formatage pour le quotidien dev.

Encodeur / décodeur Base64

Encodez ou décoder un contenu en Base64 sans quitter le navigateur.

Générateur de hash

Calculez les hash MD5, SHA-1, SHA-256 et SHA-512 d'un texte.

Encodeur / décodeur URL

Encodez ou décodez un texte en percent-encoding (RFC 3986) directement dans le navigateur.

Testeur regex

Testez une expression régulière contre un texte et visualisez les correspondances.

Formateur JSON / YAML

Formatez, validez et convertissez du JSON et du YAML en un clic.

Authentifier ses appels à l'API publique

L'API publique CaptainDNS s'authentifie avec une clé API envoyée dans le header HTTP Authorization. Pas d'OAuth, pas de session, pas de cookies. Ce guide couvre le format des clés, leur cycle de vie et les bonnes pratiques de stockage.

Envoi de la clé

POST /public/v1/resolve HTTP/1.1
Host: api.captaindns.com
Authorization: Bearer cdns_live_a3f2XK7mN9QrVtZ4yP1sH6eL8cF2dB5aR3gW7kJxM
Content-Type: application/json

{"qname":"captaindns.com","qtype":"A"}

Le schéma est toujours Bearer. Un autre schéma déclenche 401 INVALID_API_KEY. Les clés sont sensibles à la casse.

Format des clés

Une clé contient trois segments :

cdns_<environnement>_<36 caracteres alphanumeriques minuscules>
SegmentValeurUsage
cdns_Préfixe constantReconnaissance visuelle et scan GitHub
live ou testEnvironnementIsolation entre production et expérimentations
36 caractèresSecret base32Entropie 180 bits, unique par clé

Le préfixe affichable côté dashboard est cdns_<env>_ suivi de 8 caractères. Le secret complet n'est jamais stocké en base ; CaptainDNS conserve seulement son HMAC-SHA256 poivre.

Environnements

Les clés cdns_test_* sont techniquement identiques aux clés cdns_live_* : mêmes endpoints, mêmes scopes, même consommation de credits. Elles existent pour vous permettre de distinguer, dans vos logs et vos dashboards, le trafic de développement du trafic de production. Nous vous recommandons d'en créer une par environnement (dev, staging, CI).

Scopes

Chaque clé porte un ou plusieurs scopes. Le guide des scopes détaille la liste complète ; en résumé :

  • dns:read : résolution DNS, propagation, DNSSEC, WHOIS IP.
  • mail:read : SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, DANE, blacklist, SMTP, audit de header d'email.
  • mail:write : score de délivrabilité (seul endpoint actuellement rattaché à ce scope).
  • web:read : vérification d'url, crawl de page, détection de phishing.

Un appel à un endpoint dont le scope n'est pas présent sur la clé retourne 403 INSUFFICIENT_SCOPE.

Rotation sans interruption

Une clé compromise ou obsolète ne se recrée pas à l'arrache. Le flux supporté est la rotation :

  1. Depuis le dashboard CaptainDNS, vous déclenchez la rotation sur la clé concernée.
  2. CaptainDNS génère une nouvelle clé avec les mêmes scopes, mêmes limites, même environnement.
  3. L'ancienne clé reste valide 7 jours. Pendant cette période, vos services peuvent migrer progressivement.
  4. À l'expiration de la grace period, l'ancienne clé est automatiquement révoquée.

Pensez à mettre à jour votre gestionnaire de secrets avant la fin de la grace period. Passé ce délai, toute requête avec l'ancienne clé renvoie 401 REVOKED_API_KEY.

Révocation immédiate

Si une clé fuite en public (repository Git, log, alerte remontée par captaindns.com via la détection de secrets GitHub, collègue qui part), deux options :

  • Depuis le dashboard : bouton Révoquer sur la clé, clic de confirmation. Effet immédiat, aucune grace period.

Les requêtes en cours au moment de la révocation aboutissent ; les suivantes renvoient 401 REVOKED_API_KEY.

IP allowlist

Les plans Business et Enterprise peuvent restreindre une clé à une liste de CIDR. La restriction est appliquée en amont du handler, donc la requête consomme zéro credit si l'IP n'est pas autorisée. Le code de retour est 403 IP_NOT_ALLOWED, avec l'IP détectée dans details.

Exemple de clé restreinte aux IP de votre worker GitHub Actions et de votre backend prod :

{
  "ip_allowlist": [
    "4.175.114.0/23",
    "52.237.144.10/32"
  ]
}

Mettre à jour la liste n'exige pas de rotation : modifiez la clé depuis le dashboard, la nouvelle liste prend effet dans la minute qui suit.

Bonnes pratiques de stockage

  • Gestionnaire de secrets : 1Password, Doppler, AWS Secrets Manager, Vault. Jamais dans un fichier .env commit ni dans un YAML de CI inline.
  • Variable d'environnement au runtime : injectez la clé via variable d'environnement au démarrage du process. Évitez les fichiers montés en clair.
  • Rotation périodique : 90 jours pour les usages critiques, 180 jours sinon. Planifiez-la avec un rappel calendrier ou mieux, un job CI.
  • Zero partage inter-équipes : une clé par service, pas une clé maître partagée par tout le SRE. La révocation d'incident devient chirurgicale.
  • Scopes minimaux : si votre intégration fait seulement du DMARC check, ne donnez pas web:read ni mail:write. Limitez le blast radius.

Détection automatique des fuites

CaptainDNS est inscrit au programme de détection de secrets de GitHub. Si vous poussez par erreur une clé live dans un dépôt public, le pattern cdns_live_* est détecté et une notification est envoyée à l'owner. La clé est automatiquement révoquée. Vous recevez un email avec le SHA du commit incriminé et la marche à suivre pour émettre une nouvelle clé.

Résolution des soucis d'auth

  • 401 INVALID_API_KEY : préfixe absent ou mauvais, clé manquante après Bearer, secret altéré. Vérifiez qu'aucun espace ou saut de ligne ne s'est glissé dans votre client.
  • 401 REVOKED_API_KEY : la clé a été révoquée manuellement ou automatiquement. Générez-en une nouvelle.
  • 401 EXPIRED_API_KEY : vous avez défini expires_at à la création, la date est passée. Créez une nouvelle clé ou rotez celle-ci avant.
  • 403 IP_NOT_ALLOWED : votre IP source n'est pas dans l'allowlist. Vérifiez aussi que le header X-Forwarded-For traverse bien votre proxy (les IP privées RFC1918 sont ignorées et le hop immédiat est utilisé).
  • 500 INTERNAL_ERROR : indique un problème côté CaptainDNS, ouvrez un ticket support avec le request_id.

Passez ensuite au guide des scopes pour choisir les permissions adaptées, ou consultez le rate limiting si vous préparez un client haute fréquence.