Un audit complet de la sécurité et de la délivrabilité email
La configuration email d'un domaine se joue sur deux fronts. Côté envoi, l'authentification (SPF, DKIM, DMARC) décide si vos messages atteignent la boîte de réception ou finissent en spam. Côté réception, la sécurité du transport (MTA-STS, DANE, TLS-RPT) et l'intégrité du DNS (DNSSEC) protègent vos échanges contre l'interception et l'usurpation. Une faille d'un seul côté fragilise l'ensemble.
Cet audit de délivrabilité et de sécurité email (aussi appelé "DMARC checker", "SPF lookup", "DKIM validator", "domain health check" ou "email security audit") passe au crible neuf protocoles, répartis en trois piliers, en un seul scan.
Envoi (outbound) :
| Protocole | Rôle | Impact si absent ou invalide |
|---|---|---|
| SPF | Autorise les serveurs à envoyer pour votre domaine | Risque de rejet ou classement spam |
| DKIM | Signe cryptographiquement vos messages | Authentification faible, risque de spoofing |
| DMARC | Définit la politique en cas d'échec SPF/DKIM | Aucune protection contre l'usurpation |
| BIMI | Affiche votre logo dans les boîtes de réception | Optionnel, renforce la confiance visuelle |
Réception (inbound) :
| Protocole | Rôle | Impact si absent ou invalide |
|---|---|---|
| MX | Indique où recevoir les emails | Domaine considéré comme non destiné à l'email |
| MTA-STS | Force le chiffrement TLS pour les emails entrants | Emails transmis en clair, vulnérables à l'interception |
| DANE | Authentifie les certificats TLS des MX via DNSSEC | Pas de vérification cryptographique du serveur mail |
| TLS-RPT | Reçoit les rapports d'échec TLS | Aucune visibilité sur les problèmes de chiffrement |
On lance cet audit dans trois situations. Avant une campagne, pour confirmer que le domaine est prêt à envoyer. Pour sécuriser la réception, en contrôlant le chiffrement du transport et l'intégrité du DNS. Et après un changement de plateforme, quand il faut vérifier que les nouveaux sélecteurs DKIM et leurs enregistrements sont bien publiés.
Comment utiliser l'audit email en 3 étapes
Étape 1 : Entrez votre domaine
Saisissez le domaine à auditer (captaindns.com). Si vous envoyez via plusieurs plateformes (Mailchimp, Brevo, Google Workspace), ajoutez les sélecteurs DKIM correspondants pour une vérification complète de l'envoi.
Où trouver vos sélecteurs DKIM :
- Mailchimp :
k1(paramètres → domaine → authentification) - Brevo :
mail(paramètres → expéditeurs → DKIM) - Google Workspace :
google(Admin Console → Apps → Gmail → Authentification) - Microsoft 365 :
selector1,selector2(Admin → Domaines → Enregistrements DNS)
Étape 2 : Lancement de l'analyse
L'outil interroge vos enregistrements DNS sans intervention de votre part.
Côté envoi, il vérifie la syntaxe SPF, son décompte de lookups et son mécanisme -all, valide chaque sélecteur DKIM ainsi que la taille de clé (2048 bits ou plus), contrôle la politique DMARC et ses rapports, puis confirme que l'enregistrement BIMI pointe vers un logo accessible.
Côté réception, il liste vos MX et teste leur résolution et leur redondance, vérifie l'enregistrement MTA-STS, sa politique HTTPS et son mode (enforce ou testing), confronte les enregistrements TLSA de DANE à la validation DNSSEC, et s'assure que le TLS-RPT déclare bien une destination de rapports.
Étape 3 : Lecture des résultats
Vous obtenez :
- Score global sur 100 avec badge de configuration (Excellent, Bon, Moyen, Insuffisant)
- Diagnostics par protocole avec statut pass/fail
- Actions correctives classées par priorité
- Export JSON pour partager avec votre équipe technique
Calcul du score sur 100
Le score global agrège trois piliers pondérés : envoi (50%), réception (35%) et sécurité DNS (15%). Voici leur composition.
| Pilier | Poids | Composants |
|---|---|---|
| Envoi (outbound) | 50% | SPF, DKIM, DMARC, BIMI |
| Réception (inbound) | 35% | MX, MTA-STS, DANE, TLS-RPT |
| Sécurité DNS | 15% | DNSSEC, CAA |
Chaque pilier est noté sur 100, puis pondéré selon son poids. Le total débouche sur un grade. Au-dessus de 90, tout est en place : c'est l'Excellent. Entre 75 et 89, la base tient, quelques réglages restent à faire (Bon). De 55 à 74, des erreurs ou des avertissements grignotent votre délivrabilité ou votre sécurité (Moyen). Sous 55%, le pronostic est sombre : un blocage majeur compromet l'envoi ou la réception (Insuffisant).
Détail des points par pilier
Envoi (100 points) :
| Composant | Points max | Critères principaux |
|---|---|---|
| DMARC | 40 | Politique p=reject, rapports rua/ruf, alignement strict |
| SPF | 30 | Syntaxe valide, limite 10 lookups, mécanisme -all |
| DKIM | 25 | Sélecteurs valides, clé ≥2048 bits, redondance |
| BIMI | 5 | Enregistrement valide, logo SVG Tiny PS, VMC présent |
Réception (100 points) :
| Composant | Points max | Critères principaux |
|---|---|---|
| MX | 40 | Présence, résolution, redondance (2+ MX) |
| MTA-STS | 30 | DNS valide, politique HTTPS, mode enforce |
| DANE | 15 | Enregistrements TLSA publiés, DNSSEC signé |
| TLS-RPT | 15 | Enregistrement valide, destinations RUA configurées |
Sécurité DNS (100 points) :
| Composant | Points max | Critères principaux |
|---|---|---|
| DNSSEC | 80 | Zone signée et chaîne validée |
| CAA | 20 | Enregistrement présent, émission restreinte, contact iodef défini |
Un enregistrement CAA (Certification Authority Authorization) déclare quelles autorités de certification ont le droit d'émettre un certificat pour votre domaine. Sans lui, n'importe laquelle peut signer un certificat pour captaindns.com. La valeur 0 issue ";" ferme la porte à toute émission, et le tag iodef ouvre un canal pour vous signaler les tentatives.
Erreurs fréquentes détectées par l'audit
Quatre problèmes reviennent dans la grande majorité des audits ratés. Voici comment les reconnaître et les corriger.
SPF : trop de requêtes DNS (permerror)
Le SPF tolère au maximum 10 lookups DNS. Un seul include: de trop, et tout casse : le résolveur renvoie permerror et ignore purement et simplement votre politique. Le symptôme typique, c'est un score SPF en berne alors que l'enregistrement existe bel et bien. L'audit recompte vos lookups, détecte les include: imbriqués (souvent 12 ou plus) et pointe le dépassement. La sortie : remplacez les include: par des plages IP, ou faites le travail d'un clic avec notre SPF Flattener.
DKIM : sélecteur introuvable
Chaque plateforme d'envoi a son propre sélecteur DKIM. Tant qu'il n'est pas publié dans votre zone, la signature échoue à chaque mail, sans exception. Vous croyez DKIM configuré, l'audit affiche un NXDOMAIN sur k1._domainkey.captaindns.com : la clé n'existe pas côté DNS. Récupérez le bon sélecteur auprès de votre fournisseur d'envoi et publiez l'enregistrement TXT correspondant.
DMARC : politique trop permissive
Une politique p=none ne protège de rien. Elle observe, elle ne bloque pas : les messageries laissent passer les emails non authentifiés émis en votre nom. L'audit le signale dès qu'il lit p=none, surtout quand les rapports rua manquent aussi. La marche à suivre : durcissez par paliers, p=quarantine puis p=reject, en gardant un œil sur les rapports DMARC pour ne bloquer aucun envoi légitime.
MX : enregistrement absent ou invalide
Pas de MX, pas de courrier entrant. Un domaine sans MX ne reçoit aucun email, et certains filtres le jugent même illégitime à l'envoi. Quand l'audit renvoie un score MX à zéro, c'est qu'aucun enregistrement n'a été trouvé. Publiez au moins un MX valide. Si le domaine n'est pas censé recevoir de courrier, déclarez un null MX (0 .) : c'est une posture explicite, pas une erreur.
Plan d'action pour améliorer votre sécurité et votre délivrabilité
Attaquez le chantier par ordre d'impact. Les deux tableaux ci-dessous classent les corrections de l'envoi puis de la réception, du plus critique à l'optionnel.
Envoi :
| Priorité | Action | Impact |
|---|---|---|
| 1. Critique | Configurer SPF avec -all et rester sous 10 lookups | Évite le rejet par les serveurs |
| 2. Haute | Publier DKIM avec clé ≥2048 bits pour chaque ESP | Signature authentique des emails |
| 3. Haute | Passer DMARC à p=quarantine puis p=reject | Protection contre l'usurpation |
| 4. Moyenne | Configurer les rapports DMARC (rua) via le Monitoring DMARC | Surveillance des échecs |
| 5. Optionnelle | Ajouter BIMI avec logo certifié | Renforce la confiance visuelle |
Réception :
| Priorité | Action | Impact |
|---|---|---|
| 1. Haute | Publier au moins 2 MX pour la redondance | Garantit la réception même si un serveur tombe |
| 2. Moyenne | Déployer MTA-STS en mode enforce | Force le chiffrement TLS pour les emails entrants |
| 3. Basse | Publier un enregistrement TLS-RPT | Reçoit les rapports d'échec de connexion TLS |
| 4. Basse | Ajouter des enregistrements DANE/TLSA (si DNSSEC actif) | Authentification cryptographique des certificats MX |
Conseil : relancez l'audit aux moments qui comptent, avant une campagne, après un changement de fournisseur, à chaque modification DNS. Vous repérez ainsi les problèmes avant qu'ils ne pénalisent vos envois ou n'exposent votre domaine.
Cas d'usage concrets
Incident 1 : Campagne marketing avec 80% en spam
Symptôme : Vous envoyez une newsletter via Mailchimp, mais la majorité arrive en spam.
Diagnostic avec l'audit :
- MX = ✅ Pass
- SPF = ❌ Fail → 14 lookups (limite dépassée)
- DKIM = ❌ Fail → Sélecteur
k1non trouvé - DMARC = ⚠️
p=none
Actions prioritaires :
- Aplatir le SPF pour passer sous 10 lookups
- Publier le CNAME DKIM de Mailchimp
- Passer DMARC à
p=quarantine
Incident 2 : Emails B2B rejetés par Microsoft 365
Symptôme : Vos emails professionnels sont rejetés par les clients utilisant Outlook/Microsoft 365.
Diagnostic avec l'audit :
- SPF = ✅ Pass
- DKIM = ✅ Pass
- DMARC = ❌ Fail → Politique
p=rejectmais alignement échoué
Actions prioritaires :
- Vérifier que le domaine From correspond au domaine DKIM (alignement strict)
- Configurer
aspf=retadkim=rpour un alignement relaxé
Incident 3 : migration vers Google Workspace
Symptôme : Après migration vers Google Workspace, les emails arrivent en spam.
Diagnostic avec l'audit :
- SPF = ⚠️ Warning →
include:_spf.google.commanquant - DKIM = ❌ Fail → Sélecteur
googlenon publié
Actions prioritaires :
- Ajouter
include:_spf.google.comau SPF - Générer et publier la clé DKIM depuis Admin Console
FAQ - Questions fréquentes
Q : Que vérifie exactement cet audit email ?
R : Neuf protocoles répartis en trois piliers. À l'envoi, l'audit contrôle le SPF (serveurs autorisés), le DKIM (signature cryptographique), le DMARC (politique d'authentification) et le BIMI (logo de marque). À la réception, il couvre les MX (serveurs entrants), MTA-STS (chiffrement TLS forcé), DANE (authentification des certificats via DNSSEC) et TLS-RPT (rapports d'échec TLS). Le pilier sécurité DNS porte sur le DNSSEC (signature de la zone) et le CAA (autorités de certification autorisées).
Q : Comment fonctionne le score sur 100 ?
R : Trois piliers pondérés se combinent : l'envoi (50%) regroupe DMARC (40 pts), SPF (30 pts), DKIM (25 pts) et BIMI (5 pts) ; la réception (35%) additionne MX (40 pts), MTA-STS (30 pts), DANE (15 pts) et TLS-RPT (15 pts) ; la sécurité DNS (15%) répartit DNSSEC (80 pts) et CAA (20 pts). Chaque pilier est noté sur 100, puis ramené au total selon son poids. Au-delà de 90, la configuration est au point.
Q : Pourquoi mon SPF affiche "trop de lookups" ?
R : La RFC 7208 plafonne le SPF à 10 résolutions DNS. Chaque include:, a:, mx: ou redirect= en consomme une. Empilez Mailchimp, Brevo et Google, et le compte explose vite. Pour repasser sous la barre, notre SPF Flattener convertit vos includes en adresses IP directes.
Q : Comment ajouter un sélecteur DKIM ?
R : Le sélecteur change d'un fournisseur à l'autre : k1 pour Mailchimp, mail pour Brevo, google pour Google Workspace, selector1 et selector2 pour Microsoft 365. Saisissez-le dans le formulaire d'audit, et l'outil confirme qu'il est bien publié dans votre zone.
Q : Quelle politique DMARC dois-je utiliser ?
R : Avancez par paliers. On commence en p=none pour observer sans rien bloquer, on passe à p=quarantine pour envoyer les messages suspects en spam, puis on verrouille en p=reject pour rejeter tout ce qui n'est pas authentifié. À chaque étape, gardez les rapports rua actifs : ce sont eux qui vous évitent de bloquer un envoi légitime.
Q : L'audit est-il gratuit ?
R : Oui, gratuit et sans inscription. Vous entrez votre domaine, les résultats s'affichent.
Q : Mes données sont-elles stockées ?
R : Non. L'audit n'interroge que des enregistrements DNS publics, accessibles à quiconque via une requête DNS standard. Rien n'est conservé chez nous.
Outils complémentaires
| Outil | Utilité |
|---|---|
| Analyseur d'en-têtes email | Vérifier les verdicts SPF/DKIM/DMARC sur un email reçu |
| Inspecteur SPF | Analyser en détail votre enregistrement SPF |
| SPF Flattener | Aplatir votre SPF pour passer sous les 10 DNS lookups |
| Inspecteur DKIM | Valider vos clés DKIM sélecteur par sélecteur |
| Inspecteur DMARC | Décortiquer et tester votre politique DMARC |
| Vérificateur de propagation DNS | Confirmer que vos enregistrements DNS sont propagés globalement |
| Vérificateur blacklist IP | Vérifier si votre IP est sur une liste noire |
| Vérificateur blacklist domaine | Vérifier si votre domaine est blacklisté |
| Monitoring DMARC | Collecter et visualiser les rapports DMARC agrégés de vos domaines |
| Analyseur de rapports TLS-RPT | Analyser les rapports TLS-RPT reçus par email |
Ressources utiles
- RFC 7208 - SPF (spécification officielle SPF)
- RFC 6376 - DKIM (spécification officielle DKIM)
- RFC 7489 - DMARC (spécification officielle DMARC)
- RFC 8461 - MTA-STS (SMTP MTA Strict Transport Security)
- RFC 8460 - TLS-RPT (SMTP TLS Reporting)
- RFC 6698 - DANE (DNS-Based Authentication of Named Entities)
- Google - Authentification email (guide Gmail)
- Microsoft - Authentification email (guide Microsoft 365)