Aller au contenu principal
Se connecter
CaptainDNS

Diagnostic email

Outils pour vérifier et valider vos configurations d'authentification e-mail.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Délivrabilité

Audit de délivrabilité emailAnalyseur d'en-têtes emailTesteur d'emailVérificateur blacklist IPVérificateur blacklist domaineSPF FlattenerRecherche de sélecteurs DKIMSMTP/MX Tester

Sécuriser & Surveiller

Générateurs d'enregistrements, hébergement de politiques et surveillance continue.

Réseau & Web

Outils réseau, analyse de pages web et certificats.

Outils IP

Mon adresse IP

Détectez vos adresses IPv4/IPv6 et leur géolocalisation.

Recherche inverse

Résolvez un enregistrement PTR et vérifiez la cohérence DNS.

WhoIs IP

Identifiez le propriétaire d'une plage IP et ses coordonnées.

Masque IPv4

Calculez le réseau, le broadcast et les hôtes utilisables d'un bloc IPv4.

Calculateur sous-réseau IPv6

Calculez les sous-réseaux, plages d'adresses et entrées DNS inversé IPv6.

Certificats & BIMI

Analyseur de logo BIMI

Inspectez l'URL d'un logo BIMI, son format, ses métadonnées et son rendu.

Convertisseur SVG BIMI

Convertissez un SVG au format Tiny-PS compatible BIMI en quelques secondes.

Analyseur de CSR

Décodez un CSR, inspectez le sujet, les empreintes et les SAN demandés.

Inspecteur de VMC

Contrôlez un Verified Mark Certificate : autorité émettrice, validité et SAN avant de publier votre BIMI.

Web

Vérificateur de poids de page

Vérifiez si votre page dépasse la limite de 2 MB de Googlebot.

Vérificateur d'URL de phishing

Vérifiez si une URL est signalée comme phishing ou malware par 4 sources.

Redirect Checker

Analysez les chaines de redirections HTTP

Redirection de domaine

Redirigez vos domaines avec HTTPS automatique et redirections 301/302.

Outils développeur

Utilitaires texte et outils pour le quotidien dev.

Texte

Transformez et mesurez vos contenus en un clin d'oeil.

Convertisseur de casse

Passez un bloc de texte en minuscules ou en majuscules en un clic.

Générateur de slug

Transformez un titre en slug optimisé SEO en quelques secondes.

Compteur de mots et caractères

Comptez instantanément le nombre de mots et de caractères d'un texte.

Générateur de mots de passe

Générez des mots de passe aléatoires robustes et des phrases de passe mémorisables.

Developpeur

Encodage, hachage, regex et formatage pour le quotidien dev.

Encodeur / décodeur Base64

Encodez ou décoder un contenu en Base64 sans quitter le navigateur.

Générateur de hash

Calculez les hash MD5, SHA-1, SHA-256 et SHA-512 d'un texte.

Encodeur / décodeur URL

Encodez ou décodez un texte en percent-encoding (RFC 3986) directement dans le navigateur.

Testeur regex

Testez une expression régulière contre un texte et visualisez les correspondances.

Formateur JSON / YAML

Formatez, validez et convertissez du JSON et du YAML en un clic.

Boîte à outils DNS

Diagnostiquez, auditez et surveillez vos zones DNS en temps réel

Des outils simples et puissants pour explorer vos zones DNS : résolutions A/AAAA/MX/TXT, traces itératives, comparaison de résolveurs publics, test de propagation mondiale et audit complet de la santé DNS.

Recherche DNS

Résolutions A/AAAA/MX/TXT/NS/SOA en UDP, TCP ou DoH. Comparez les réponses de plusieurs résolveurs, mesurez les latences et affichez la trace complète.

Audit DNS du domaine

Analysez la cohérence parent/zone, vérifiez la délégation, testez IPv4/IPv6 et TCP, validez la synchronisation SOA entre serveurs autoritaires.

Propagation mondiale

Suivez la diffusion de vos modifications DNS à travers Google, Cloudflare, Quad9, OpenDNS et de nombreux FAI. Identifiez les caches encore anciens.

API et intégrationsBientôt

Exposez vos lookups par API, intégrez des checks dans vos pipelines CI/CD et automatisez vos diagnostics DNS. Documentation complète.

DNSSEC Checker

Validez la chaîne de confiance DNSSEC zone par zone, détectez les DS orphelins, algorithmes faibles et signatures expirées.

RDAP Lookup

Interrogez les données d'enregistrement d'un domaine : registrar, dates, codes EPP, DNSSEC. Fallback WHOIS automatique.

Pourquoi utiliser des outils DNS ?

Le DNS est la première étape de toute connexion Internet. Un problème DNS = un site inaccessible, des emails non délivrés, des certificats SSL impossibles à valider. Sans visibilité sur votre configuration DNS, vous travaillez à l'aveugle.

Trois situations où ces outils sont indispensables :

  • Migration de serveur → Vérifier que le nouveau A/AAAA est bien propagé avant de couper l'ancien
  • Problème de messagerie → Confirmer que MX, SPF, DKIM, DMARC sont correctement publiés
  • Site inaccessible → Diagnostiquer si le problème vient du DNS, du serveur ou du réseau
  • DNSSEC cassé → Vérifier la chaîne de confiance, détecter les DS orphelins ou les signatures expirées

Comment diagnostiquer un problème DNS en 3 étapes

Étape 1 : Lancer une recherche DNS

Accédez au DNS Lookup, entrez votre domaine et sélectionnez le type d'enregistrement :

  • A : adresse IPv4 du serveur
  • AAAA : adresse IPv6
  • MX : serveurs de messagerie
  • TXT : SPF, DKIM, DMARC, vérifications
  • NS : serveurs de noms autoritaires

Comparez les réponses de Google DNS, Cloudflare, Quad9 et du serveur autoritaire.

Étape 2 : Auditer la santé DNS

Utilisez l'Audit DNS pour une analyse complète :

  • Cohérence parent/zone
  • Délégation et glue records
  • Accessibilité IPv4 et IPv6
  • Support TCP (obligatoire pour les réponses volumineuses)
  • Synchronisation SOA entre serveurs

Étape 3 : Suivre la propagation

Après une modification, le Test de propagation compare les réponses de dizaines de résolveurs publics. Vous voyez instantanément qui a la nouvelle valeur et qui garde l'ancienne.

Qu'est-ce que le DNS ?

Le DNS (Domain Name System) traduit les noms de domaine en adresses IP. Quand vous tapez captaindns.com, votre navigateur interroge un résolveur DNS qui remonte la chaîne :

  1. Serveurs racine → Indiquent où trouver le TLD (.com)
  2. Serveurs TLD → Indiquent les NS du domaine
  3. Serveurs autoritaires → Fournissent la réponse finale

Exemple de résolution :

Requête : captaindns.com A
→ Racine : "Le .com est géré par a.gtld-servers.net"
→ TLD : "captaindns.com est délégué à ns1.provider.com"
→ Autoritaire : "A = 203.0.113.50, TTL 3600"

Types d'enregistrements DNS analysés

TypeRôleExemple
AAdresse IPv4203.0.113.50
AAAAAdresse IPv62001:db8::1
CNAMEAlias vers un autre nomwww → captaindns.com
MXServeurs de messagerie10 mail.captaindns.com
TXTTexte libre (SPF, DKIM, etc.)v=spf1 include:_spf.google.com -all
NSServeurs de nomsns1.captaindns.com
SOAAutorité de zoneSerial, refresh, retry, expire, minimum
CAAAutorités de certificationissue "letsencrypt.org"
PTRRésolution inverseIP → nom

DNSSEC : sécuriser la chaîne de résolution DNS

DNSSEC (Domain Name System Security Extensions) ajoute une couche de signatures cryptographiques au DNS. Sans DNSSEC, un attaquant peut intercepter et modifier les réponses DNS (DNS spoofing, cache poisoning) pour rediriger le trafic vers un serveur malveillant.

Comment fonctionne DNSSEC :

  1. Chaque zone DNS signe ses enregistrements avec une clé privée
  2. La clé publique est publiée dans le DNS (enregistrement DNSKEY)
  3. Le parent publie un enregistrement DS (Delegation Signer) qui lie la clé de la zone enfant
  4. Le résolveur vérifie chaque signature en remontant jusqu'à la racine

Ce que vérifie le DNSSEC Checker :

VérificationDétecte
Chaîne de confianceDS orphelins, signatures invalides, clés expirées
AlgorithmesAlgorithmes faibles (RSA-1024) ou obsolètes
Cohérence parent/zoneDS au parent qui ne correspond pas au DNSKEY de la zone
NSEC/NSEC3Preuve de non-existence correctement signée

DNSSEC est indispensable pour DANE/TLSA (sécurisation SMTP) et devient un prérequis pour de plus en plus de services. Microsoft 365 exigera DNSSEC pour les domaines de messagerie en 2026.

RDAP : données d'enregistrement des domaines

RDAP (Registration Data Access Protocol) remplace WHOIS pour interroger les données d'enregistrement d'un domaine. Depuis le 28 janvier 2025, l'ICANN n'impose plus WHOIS pour les gTLDs. 374 TLDs ont déjà coupé leur service WHOIS.

Ce que révèle un RDAP Lookup :

  • Registrar : qui gère le domaine (nom, identifiant IANA, contact abuse)
  • Dates : création, expiration, dernière modification, âge du domaine
  • Codes EPP : verrous actifs (transferProhibited, deleteProhibited), suspensions, statuts transitoires
  • DNSSEC : le domaine est-il signé DNSSEC au niveau du registrar ?
  • Contacts : titulaire, administratif, technique (si non masqués par le RGPD)

Pourquoi c'est important :

  • Un domaine sans clientTransferProhibited est vulnérable au vol (domain hijacking)
  • Un domaine en pendingDelete sera supprimé sous 30 jours
  • Un domaine créé il y a moins de 30 jours est potentiellement suspect (phishing)
  • L'absence de DNSSEC expose le domaine au DNS spoofing

L'outil détecte automatiquement le protocole (RDAP ou WHOIS) et normalise les résultats dans le même format, quel que soit le TLD.

Cas d'usage concrets

Incident 1 : Site inaccessible après migration

Symptôme : Le site fonctionne pour certains utilisateurs, pas pour d'autres.

Diagnostic :

  • Lancez un DNS Lookup sur l'enregistrement A
  • Comparez les réponses : Google a la nouvelle IP, Orange garde l'ancienne

Action : Attendre l'expiration du TTL ou baisser le TTL avant la prochaine migration.

Incident 2 : Emails rejetés après changement de fournisseur

Symptôme : Les emails sortants sont rejetés avec "SPF fail".

Diagnostic :

  • Vérifiez le TXT avec DNS Lookup
  • L'ancien include est encore présent, le nouveau manque

Action : Corriger l'enregistrement SPF, attendre la propagation, re-tester.

Incident 3 : Certificat SSL impossible à générer

Symptôme : Let's Encrypt échoue avec "DNS problem".

Diagnostic :

  • Lancez l'audit DNS du domaine
  • Un NS est en lame delegation (ne répond pas en autoritaire)

Action : Corriger la délégation chez le registrar, attendre la propagation.

FAQ - Questions fréquentes

Q : Comment fonctionne la recherche DNS ?

R : L'outil interroge le résolveur sélectionné (Google, Cloudflare, ou le serveur autoritaire) et affiche la réponse brute avec le TTL, les sections answer/authority/additional et la latence. Vous pouvez activer la trace itérative pour voir chaque étape de la résolution.

Q : Qu'est-ce que la propagation DNS ?

R : La "propagation" désigne le temps nécessaire pour que les caches des résolveurs expirent et récupèrent la nouvelle valeur. Elle dépend du TTL : un TTL de 3600 signifie que certains résolveurs peuvent garder l'ancienne valeur jusqu'à 1 heure après votre modification.

Q : Pourquoi les résultats diffèrent selon les résolveurs ?

R : Chaque résolveur a son propre cache. Si un résolveur a interrogé votre zone avant votre modification, il garde la réponse en cache jusqu'à expiration du TTL. C'est pourquoi les modifications ne sont pas instantanées partout.

Q : Que vérifie l'audit DNS ?

R : L'audit contrôle la cohérence entre le parent (registre) et la zone, vérifie que chaque NS répond en autoritaire, teste IPv4/IPv6, valide TCP, compare les serial SOA et détecte les lame delegations ou glue obsolètes.

Q : Comment réduire le temps de propagation ?

R : Baissez le TTL de l'enregistrement à modifier 24-48h avant le changement (par exemple à 300 secondes). Effectuez la modification. Une fois stable, remontez le TTL à sa valeur normale pour optimiser les performances.

Q : Qu'est-ce que DNSSEC et pourquoi l'activer ?

R : DNSSEC ajoute des signatures cryptographiques aux réponses DNS pour empêcher le spoofing et le cache poisoning. Sans DNSSEC, un attaquant peut rediriger votre trafic vers un serveur malveillant. DNSSEC est indispensable pour DANE/TLSA et sera exigé par Microsoft 365 en 2026. Vérifiez votre chaîne de confiance avec le DNSSEC Checker.

Q : Comment vérifier les données d'enregistrement d'un domaine ?

R : Utilisez le RDAP Lookup pour interroger le registrar, les dates (création, expiration), les codes EPP et le statut DNSSEC d'un domaine. RDAP remplace WHOIS depuis janvier 2025. L'outil bascule automatiquement sur WHOIS pour les TLDs non couverts (.de, .cn, .eu, .ru).

Outils complémentaires

OutilUtilité
Inspecteur SPFVérifier et corriger votre enregistrement SPF
Inspecteur DKIMValider votre signature et clé DKIM
Inspecteur DMARCConfigurer et tester votre politique DMARC
Testeur d'emailTester SPF/DKIM/DMARC depuis votre serveur
DNSSEC CheckerValider la chaîne de confiance DNSSEC, détecter DS orphelins et algorithmes faibles
RDAP LookupInterroger les données d'enregistrement d'un domaine (registrar, dates, EPP, DNSSEC)
Redirection de domaineRedirigez vos domaines avec HTTPS automatique et redirections 301/302

Ressources utiles