Pourquoi mon MX pointe vers un nom et pas une IP ?

Par conception DNS, un MX doit pointer vers un nom d'hôte (hostname), jamais vers une IP directement. Ce nom doit ensuite avoir un enregistrement A ou AAAA pour résoudre vers une IP.

Puis-je utiliser un CNAME comme cible MX ?

Non, c'est interdit par les RFC. Un MX doit pointer vers un nom canonical (A/AAAA), pas vers un alias CNAME. Beaucoup de serveurs refuseront de livrer si le MX est un CNAME.

Comment ajouter un MX de secours ?

Publiez plusieurs enregistrements MX avec des priorités différentes. Par exemple : priorité 10 pour le serveur principal, priorité 20 pour le backup. Le backup reçoit les emails si le principal est indisponible.

Mes emails arrivent en spam, est-ce lié au MX ?

Le MX ne concerne que la réception. Pour les problèmes d'envoi et de spam, vérifiez SPF, DKIM et DMARC. Le MX doit cependant avoir un reverse DNS (PTR) correct pour la délivrabilité.

Combien de serveurs MX dois-je avoir ?

Minimum un, mais deux sont recommandés pour la redondance. Les grands fournisseurs comme Google Workspace ou Microsoft 365 en configurent généralement 2 à 5.

Recherche enregistrement MX

Identifiez les serveurs de messagerie de votre domaine

Vos emails ne sont pas livrés ? Vérifiez que vos enregistrements MX pointent vers les bons serveurs de messagerie. Comparez les réponses de plusieurs résolveurs pour détecter les problèmes de configuration.

Hôte

Type

Résolveur

Trace itérative

En mode trace itérative, le résolveur est ignoré.

Test propagation

Interroge plusieurs résolveurs publics pour comparer les réponses.

Serveurs et priorités

Affichez tous les serveurs MX avec leurs priorités. Le serveur avec la priorité la plus basse reçoit le courrier en premier.

Validation des cibles

Vérifiez que chaque serveur MX résout vers un enregistrement A ou AAAA valide. Un MX sans IP empêche la livraison.

Comparaison multi-résolveurs

Comparez les réponses de Google, Cloudflare, Quad9 pour détecter les incohérences de propagation.

Diagnostic complet

Identifiez les MX orphelins, les priorités mal configurées ou les serveurs injoignables.

Gratuit et sans inscription

Testez autant de domaines que nécessaire. Aucun compte requis.

Comment bien utiliser les différentes options du moteur de recherche DNS ?

Qu'est-ce que la trace itérative ?

La trace exécute la résolution pas à pas. Le résolveur interroge d'abord les serveurs de la racine, puis ceux du TLD (.com, .fr, .eu), puis les serveurs autoritaires de la zone cible. À chaque étape, la page affiche le serveur interrogé, la réponse, le RCODE et la latence.

1. Racine
Découverte des serveurs du TLD pour le nom demandé.
2. TLD
Référence vers les NS de la zone (délégation).
3. Autoritaires
Réponse finale (ou erreur) avec TTL et latence.

À quoi ça sert ?

Comparer les réponses selon les résolveurs et les régions
Détecter un cache chaud, un TTL trop long ou une délégation incomplète
Expliquer une différence de latence ou un RCODE inattendu

Astuce : gardez la trace désactivée pour les vérifications rapides ; activez-la quand vous enquêtez ou préparez un ticket/post-mortem.

Qu'est-ce que la trace classique ?

La trace classique interroge uniquement le résolveur sélectionné (UDP ou DoH) et restitue la réponse telle qu'elle est perçue depuis ce point du réseau. Vous obtenez le RCODE, les sections de réponse et la latence du trajet client → résolveur.

1. Résolveur choisi
Utilise le preset ou la configuration personnalisée pour lancer la requête exactement comme votre service.
2. Protocole conservé
Respecte le transport sélectionné (UDP, TCP ou DoH) afin de reproduire le comportement réel.
3. Réponse détaillée
Affiche les sections question, answer, authority/additional quand elles existent, avec TTL et métadonnées utiles.

Pourquoi l'utiliser ?

Vérifier la vision d'un résolveur spécifique avant de suspecter la délégation
Confirmer les valeurs en cache et l'impact d'un TTL ou d'un flush
Documenter une résolution telle qu'un client ou un microservice la voit

Astuce : laissez l'option de trace itérative désactivée quand vous auditez un résolveur donné ; activez-la ensuite pour comparer avec le parcours root → TLD → autoritaire.

Comment fonctionne le test de propagation ?

Le test interroge en parallèle un ensemble de résolveurs publics (Google, Cloudflare, Quad9, OpenDNS, FAI…) et groupe les réponses par contenu et RCODE. Vous visualisez instantanément qui a déjà pris en compte la mise à jour.

1. Résolveurs multipoints
Active les presets de propagation pour interroger plusieurs acteurs répartis dans le monde.
2. Comparaison automatique
Regroupe les réponses identiques et signale les divergences ou les erreurs propres à un résolveur.
3. Synthèse exploitable
Fournit un résumé clair, la liste des résolveurs, leurs latences et l'état de chaque groupe.

Quand l'utiliser ?

Suivre la diffusion d'un changement DNS à l'échelle mondiale
Identifier les caches encore anciens et décider d'un flush ciblé
Partager un état de propagation dans un ticket ou un post-mortem

Astuce : pendant le test de propagation, la sélection de résolveur est figée. Désactivez le mode pour revenir au diagnostic unitaire.

Qu'est-ce qu'un enregistrement MX ?

Un enregistrement MX (Mail Exchange) indique quels serveurs reçoivent les emails pour un domaine. Quand quelqu'un envoie un email à user@captaindns.com, le serveur expéditeur interroge le MX de captaindns.com pour savoir où livrer le message.

Structure d'un enregistrement MX :

Champ	Description	Exemple
Nom	Le domaine (@ pour l'apex)	`@`
Type	Toujours `MX`	`MX`
Priorité	Ordre de préférence (bas = premier)	`10`
Cible	Nom du serveur mail	`mail.captaindns.com.`
TTL	Durée de cache en secondes	`3600`

Exemple concret :

captaindns.com.  3600  IN  MX  10 mail.captaindns.com.
captaindns.com.  3600  IN  MX  20 backup.captaindns.com.

Le serveur avec priorité 10 reçoit le courrier en premier. Si indisponible, le serveur priorité 20 prend le relais.

Configuration pour les fournisseurs courants

Google Workspace

@  MX  1   ASPMX.L.GOOGLE.COM.
@  MX  5   ALT1.ASPMX.L.GOOGLE.COM.
@  MX  5   ALT2.ASPMX.L.GOOGLE.COM.
@  MX  10  ALT3.ASPMX.L.GOOGLE.COM.
@  MX  10  ALT4.ASPMX.L.GOOGLE.COM.

Microsoft 365

@  MX  0  captaindns-com.mail.protection.outlook.com.

Le nom exact dépend de votre tenant Microsoft.

Serveur dédié

@  MX  10  mail.captaindns.com.

Assurez-vous que mail.captaindns.com a un enregistrement A valide.

Bonnes pratiques

Redondance

Configurez au moins 2 serveurs MX avec des priorités différentes
Le serveur de secours doit être capable de stocker les emails temporairement (store-and-forward)
Testez régulièrement la bascule en arrêtant le serveur principal

Configuration correcte

Règle	Explication
MX → hostname	Un MX pointe vers un nom, jamais vers une IP
Hostname → A/AAAA	La cible du MX doit avoir un enregistrement A ou AAAA
Pas de CNAME	La cible ne doit pas être un CNAME
Reverse DNS	L'IP du serveur mail doit avoir un PTR correspondant

À éviter

❌ MX vers IP : MX 10 203.0.113.25 (invalide)
❌ MX vers CNAME : Le MX doit pointer vers un A/AAAA direct
❌ Priorités identiques sans intention : Peut causer une répartition non voulue
❌ MX orphelin : Un MX dont la cible ne résout vers aucune IP

Diagnostic des problèmes courants

Emails non livrés (bounce)

Vérifiez que le MX existe et pointe vers un nom valide
Confirmez que la cible du MX a un enregistrement A/AAAA
Testez l'accessibilité du serveur sur le port 25
Vérifiez le reverse DNS (PTR) de l'IP du serveur

Emails livrés au mauvais serveur

Vérifiez les priorités : le plus bas est contacté en premier
Supprimez les anciens MX après une migration
Attendez l'expiration du TTL après modification

Délai de livraison

Vérifiez que le serveur principal (priorité basse) est accessible
Si le backup reçoit les emails, le principal a un problème
Consultez les logs SMTP pour identifier les retries

Vérifier en ligne de commande

Windows (nslookup)

nslookup
set q=mx
captaindns.com

Linux/Mac (dig)

dig MX captaindns.com

Résultat typique :

captaindns.com.  3600  IN  MX  10 mail.captaindns.com.
captaindns.com.  3600  IN  MX  20 backup.captaindns.com.

Vérifier que la cible résout :

dig A mail.captaindns.com

Outils complémentaires

Outil	Utilité
Testeur d'email	Tester la délivrabilité et l'authentification
Inspecteur SPF	Vérifier l'enregistrement SPF
Inspecteur DKIM	Valider la signature DKIM
Recherche A	Vérifier que la cible MX résout
Recherche PTR	Vérifier le reverse DNS du serveur

Ressources utiles

RFC 5321 - Simple Mail Transfer Protocol (spécification SMTP)
RFC 7505 - Null MX Record (comment indiquer qu'un domaine ne reçoit pas d'email)
Google Workspace - Configurer les MX (guide officiel)
Microsoft 365 - Configurer les MX (guide officiel)