Pourquoi utiliser des outils DNS ?
Le DNS est la première étape de toute connexion Internet. Un problème DNS = un site inaccessible, des emails non délivrés, des certificats SSL impossibles à valider. Sans visibilité sur votre configuration DNS, vous travaillez à l'aveugle.
Trois situations où ces outils sont indispensables :
- Migration de serveur → Vérifier que le nouveau A/AAAA est bien propagé avant de couper l'ancien
- Problème de messagerie → Confirmer que MX, SPF, DKIM, DMARC sont correctement publiés
- Site inaccessible → Diagnostiquer si le problème vient du DNS, du serveur ou du réseau
Comment diagnostiquer un problème DNS en 3 étapes
Étape 1 : Lancer une recherche DNS
Accédez au DNS Lookup, entrez votre domaine et sélectionnez le type d'enregistrement :
- A : adresse IPv4 du serveur
- AAAA : adresse IPv6
- MX : serveurs de messagerie
- TXT : SPF, DKIM, DMARC, vérifications
- NS : serveurs de noms autoritaires
Comparez les réponses de Google DNS, Cloudflare, Quad9 et du serveur autoritaire.
Étape 2 : Auditer la santé DNS
Utilisez l'Audit DNS pour une analyse complète :
- Cohérence parent/zone
- Délégation et glue records
- Accessibilité IPv4 et IPv6
- Support TCP (obligatoire pour les réponses volumineuses)
- Synchronisation SOA entre serveurs
Étape 3 : Suivre la propagation
Après une modification, le Test de propagation compare les réponses de dizaines de résolveurs publics. Vous voyez instantanément qui a la nouvelle valeur et qui garde l'ancienne.
Qu'est-ce que le DNS ?
Le DNS (Domain Name System) traduit les noms de domaine en adresses IP. Quand vous tapez captaindns.com, votre navigateur interroge un résolveur DNS qui remonte la chaîne :
- Serveurs racine → Indiquent où trouver le TLD (.com)
- Serveurs TLD → Indiquent les NS du domaine
- Serveurs autoritaires → Fournissent la réponse finale
Exemple de résolution :
Requête : captaindns.com A
→ Racine : "Le .com est géré par a.gtld-servers.net"
→ TLD : "captaindns.com est délégué à ns1.provider.com"
→ Autoritaire : "A = 203.0.113.50, TTL 3600"
Types d'enregistrements DNS analysés
| Type | Rôle | Exemple |
|---|---|---|
| A | Adresse IPv4 | 203.0.113.50 |
| AAAA | Adresse IPv6 | 2001:db8::1 |
| CNAME | Alias vers un autre nom | www → captaindns.com |
| MX | Serveurs de messagerie | 10 mail.captaindns.com |
| TXT | Texte libre (SPF, DKIM, etc.) | v=spf1 include:_spf.google.com -all |
| NS | Serveurs de noms | ns1.captaindns.com |
| SOA | Autorité de zone | Serial, refresh, retry, expire, minimum |
| CAA | Autorités de certification | issue "letsencrypt.org" |
| PTR | Résolution inverse | IP → nom |
Cas d'usage concrets
Incident 1 : Site inaccessible après migration
Symptôme : Le site fonctionne pour certains utilisateurs, pas pour d'autres.
Diagnostic :
- Lancez un DNS Lookup sur l'enregistrement A
- Comparez les réponses : Google a la nouvelle IP, Orange garde l'ancienne
Action : Attendre l'expiration du TTL ou baisser le TTL avant la prochaine migration.
Incident 2 : Emails rejetés après changement de fournisseur
Symptôme : Les emails sortants sont rejetés avec "SPF fail".
Diagnostic :
- Vérifiez le TXT avec DNS Lookup
- L'ancien include est encore présent, le nouveau manque
Action : Corriger l'enregistrement SPF, attendre la propagation, re-tester.
Incident 3 : Certificat SSL impossible à générer
Symptôme : Let's Encrypt échoue avec "DNS problem".
Diagnostic :
- Lancez l'audit DNS du domaine
- Un NS est en lame delegation (ne répond pas en autoritaire)
Action : Corriger la délégation chez le registrar, attendre la propagation.
FAQ - Questions fréquentes
Q : Comment fonctionne la recherche DNS ?
R : L'outil interroge le résolveur sélectionné (Google, Cloudflare, ou le serveur autoritaire) et affiche la réponse brute avec le TTL, les sections answer/authority/additional et la latence. Vous pouvez activer la trace itérative pour voir chaque étape de la résolution.
Q : Qu'est-ce que la propagation DNS ?
R : La "propagation" désigne le temps nécessaire pour que les caches des résolveurs expirent et récupèrent la nouvelle valeur. Elle dépend du TTL : un TTL de 3600 signifie que certains résolveurs peuvent garder l'ancienne valeur jusqu'à 1 heure après votre modification.
Q : Pourquoi les résultats diffèrent selon les résolveurs ?
R : Chaque résolveur a son propre cache. Si un résolveur a interrogé votre zone avant votre modification, il garde la réponse en cache jusqu'à expiration du TTL. C'est pourquoi les modifications ne sont pas instantanées partout.
Q : Que vérifie l'audit DNS ?
R : L'audit contrôle la cohérence entre le parent (registre) et la zone, vérifie que chaque NS répond en autoritaire, teste IPv4/IPv6, valide TCP, compare les serial SOA et détecte les lame delegations ou glue obsolètes.
Q : Comment réduire le temps de propagation ?
R : Baissez le TTL de l'enregistrement à modifier 24-48h avant le changement (par exemple à 300 secondes). Effectuez la modification. Une fois stable, remontez le TTL à sa valeur normale pour optimiser les performances.
Outils complémentaires
| Outil | Utilité |
|---|---|
| Inspecteur SPF | Vérifier et corriger votre enregistrement SPF |
| Inspecteur DKIM | Valider votre signature et clé DKIM |
| Inspecteur DMARC | Configurer et tester votre politique DMARC |
| Testeur d'email | Tester SPF/DKIM/DMARC depuis votre serveur |
Ressources utiles
- RFC 1035 - Domain Names (spécification DNS originale)
- RFC 8499 - DNS Terminology (glossaire DNS officiel)
- Google Public DNS Documentation (guide d'utilisation)
- Cloudflare DNS Learning Center (tutoriels DNS)