Pourquoi surveiller la sécurité et la délivrabilité email ?
Lancer un audit du domaine email une fois vous dit où vous en êtes aujourd'hui. Mais votre configuration DNS n'est pas figée. Les prestataires mettent à jour leur infrastructure d'envoi, les équipes remplacent les clés DKIM, les bureaux d'enregistrement migrent les zones, et une seule modification d'un enregistrement TXT peut casser l'authentification sans bruit ou affaiblir votre niveau de sécurité.
La surveillance sécurité et délivrabilité email comble ce manque. CaptainDNS relance l'audit complet à la fréquence choisie, compare le résultat à l'analyse précédente et vous alerte par email dès qu'un changement notable survient. Vous voyez la valeur précédente, la nouvelle valeur et la raison du changement, pour qu'aucune régression ne passe inaperçue.
Cela ne concerne pas que la délivrabilité. La surveillance couvre l'ensemble : comment votre domaine envoie ses emails, comment il les reçoit et comment son DNS est protégé.
Ce que surveille l'outil
L'audit, et donc la surveillance, couvre neuf protocoles répartis en trois piliers :
| Pilier | Protocoles | Ce qu'un changement peut signifier |
|---|---|---|
| Envoi | SPF, DKIM, DMARC, BIMI | Authentification affaiblie, emails en spam, logo de marque perdu |
| Réception | MX, MTA-STS, TLS-RPT, DANE | TLS entrant dégradé, routage modifié, rapports perdus |
| Sécurité DNS | DNSSEC | Résolution menacée, le domaine peut cesser de répondre |
Pour chaque pilier, la surveillance suit à la fois la note et les enregistrements eux-mêmes. Un changement de l'un ou de l'autre peut déclencher une alerte.
Les changements qui déclenchent une alerte
Chaque alerte nomme l'enregistrement ou le pilier concerné, montre la valeur avant et après, et explique la raison du changement. Cas fréquents :
- SPF affaibli ou trop chargé : le qualificateur passe en
~all(softfail) ou?all(neutre), ou l'enregistrement dépasse la limite de 10 lookups DNS et commence à échouer. Validez-le avec le SPF Record Check. - Clé DKIM retirée ou expirée : un sélecteur publié disparaît ou cesse de renvoyer une clé publique, ce qui casse les signatures de ce flux. Vérifiez avec le DKIM Record Check.
- DMARC rétrogradé : la politique passe de
p=rejectoup=quarantineàp=none, ce qui supprime la protection contre l'usurpation. Examinez avec le DMARC Record Check. - DNSSEC cassé ou non signé : la chaîne de signature se casse, ou DNSSEC est retiré, ce qui menace la résolution pour les résolveurs qui le valident.
- Enregistrements de réception modifiés : les MX changent, le mode de la politique MTA-STS est abaissé, les rapports TLS-RPT sont retirés, ou les enregistrements TLSA DANE sont modifiés.
- BIMI modifié : l'enregistrement BIMI ou le lien vers le logo change, ce qui peut faire disparaître votre logo de marque des boîtes compatibles.
Comment mettre en place la surveillance en 3 étapes
Étape 1 : lancez un audit du domaine
Ouvrez l'audit du domaine email et analysez le domaine à surveiller. CaptainDNS évalue SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, DANE et DNSSEC, puis attribue une note à chacun des trois piliers.
Étape 2 : créez une surveillance
Cliquez sur le bouton Surveiller dans le résultat de l'audit, ou créez une surveillance depuis cette page. Connectez-vous pour l'enregistrer dans votre compte. Sur les offres payantes, choisissez les piliers et les enregistrements à surveiller, ainsi que la fréquence des vérifications.
Étape 3 : recevez les alertes par email
CaptainDNS relance l'audit à votre fréquence et compare chaque analyse à la précédente. Quand une note de pilier change ou qu'un enregistrement surveillé est modifié, vous recevez une alerte par email avec les valeurs avant et après et la raison du changement. Vous n'avez aucun tableau de bord à surveiller vous-même.
Offres et fréquence de vérification
| Offre | Domaines | Personnalisation | Fréquence de vérification |
|---|---|---|---|
| Gratuit | 1 | Aucune | Toutes les 24 h |
| Starter | 30 | Choix des piliers et enregistrements | Dès 6 h |
| Pro | 75 | Choix des piliers et enregistrements | Dès 3 h |
| Business | 250 | Choix des piliers et enregistrements | Dès 1 h |
| Enterprise | 2500 | Choix des piliers et enregistrements | Dès 1 h |
La surveillance gratuite suffit pour repérer la plupart des régressions lentes. Les fréquences plus rapides comptent quand vous gérez des domaines à fort volume, faites souvent évoluer votre infrastructure ou devez réagir vite à un incident de sécurité.
Cas d'usage concrets
Cas 1 : un prestataire affaiblit SPF en silence
Symptôme : la note Envoi baisse quelques jours après l'ajout d'un nouveau fournisseur d'envoi.
Diagnostic : l'alerte montre que l'enregistrement SPF est passé de -all à ~all, et qu'il contient désormais un include: supplémentaire qui a fait dépasser les 10 lookups DNS. Certains récepteurs traitent l'enregistrement comme un permerror.
Action : aplatir l'enregistrement SPF et rétablir un qualificateur strict. L'analyse suivante confirme que la note remonte.
Cas 2 : DMARC rétrogradé sans bruit
Symptôme : la surveillance signale un changement sur le pilier DMARC.
Diagnostic : lors d'un nettoyage DNS, la politique est repassée de p=reject à p=none, ce qui a supprimé la protection contre l'usurpation sans que personne ne le remarque.
Action : republier p=reject (ou p=quarantine pendant une transition). Les valeurs avant et après dans l'alerte rendent la régression évidente.
Cas 3 : DNSSEC se casse pendant une migration
Symptôme : une alerte prioritaire signale le pilier Sécurité DNS.
Diagnostic : un transfert de zone vers un nouveau prestataire a laissé la chaîne DNSSEC cassée. Les résolveurs qui valident DNSSEC risquent de ne plus résoudre le domaine, ce qui menace le site et les emails.
Action : resigner la zone, ou désactiver proprement DNSSEC chez le bureau d'enregistrement. La surveillance confirme que la résolution est de nouveau saine.
FAQ - Questions fréquentes
Q : Que fait la surveillance sécurité et délivrabilité email ?
R : Elle relance l'audit email complet de votre domaine à la fréquence choisie et compare chaque analyse à la précédente. Quand une note de pilier change ou qu'un enregistrement surveillé (SPF, DKIM, DMARC, BIMI, MTA-STS, DANE, TLS-RPT, DNSSEC) est modifié, vous recevez une alerte par email avec la valeur avant, la valeur après et la raison du changement.
Q : Quels enregistrements sont surveillés ?
R : Les neuf protocoles couverts par l'audit : SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, DANE et DNSSEC, ainsi que les enregistrements MX de réception. La surveillance suit à la fois les enregistrements eux-mêmes et les notes des trois piliers : Envoi, Réception et Sécurité DNS.
Q : Quand reçoit-on une alerte ?
R : Vous recevez une alerte par email dès qu'une note de pilier change ou qu'un enregistrement surveillé est modifié. Cas fréquents : un SPF passé en ~all ou ?all, ou dépassant 10 lookups, une clé DKIM retirée ou expirée, un DMARC rétrogradé en p=none, un DNSSEC cassé ou non signé, ou une modification des MX, MTA-STS, TLS-RPT, DANE ou BIMI.
Q : À quelle fréquence mon domaine est-il vérifié ?
R : L'offre gratuite vérifie un domaine toutes les 24 heures, sans personnalisation. Les offres payantes surveillent plus de domaines, vous laissent choisir les piliers et les enregistrements à surveiller, et accélèrent les vérifications : toutes les 6 heures en Starter, toutes les 3 heures en Pro et toutes les heures en Business et Enterprise.
Q : Comment démarrer la surveillance d'un domaine ?
R : Lancez l'audit du domaine email, puis cliquez sur le bouton Surveiller dans le résultat. Vous pouvez aussi créer une surveillance directement depuis cette page. Un compte CaptainDNS est nécessaire : connectez-vous et la surveillance y est enregistrée.
Q : La surveillance est-elle gratuite ?
R : Oui. L'offre gratuite couvre un domaine, vérifié toutes les 24 heures, sans personnalisation. Les offres payantes ajoutent plus de domaines, le choix des piliers et des enregistrements à surveiller, et des vérifications jusqu'à toutes les heures.
Q : Quelle différence avec la surveillance DMARC ?
R : La surveillance DMARC collecte les rapports agrégés envoyés par les fournisseurs de messagerie pour vous montrer qui envoie des emails au nom de votre domaine. La surveillance sécurité et délivrabilité email, elle, surveille votre configuration DNS sur les neuf protocoles et vous alerte dès qu'un enregistrement ou une note change. Les deux sont complémentaires.
Outils complémentaires
| Outil | Objectif |
|---|---|
| Audit du domaine email | Lancer l'audit complet des neuf protocoles et démarrer une surveillance |
| Surveillance DMARC | Collecter et analyser les rapports agrégés DMARC |
| SPF Record Check | Vérifier votre enregistrement DNS SPF |
| DKIM Record Check | Vérifier votre enregistrement DNS DKIM |
| DMARC Record Check | Vérifier votre enregistrement DNS DMARC |
| Hébergement MTA-STS | Héberger gratuitement votre politique MTA-STS |
| Surveillance TLS-RPT | Surveiller les rapports TLS SMTP |
| Hébergement BIMI | Héberger gratuitement votre logo et certificat BIMI |
Ressources utiles
- RFC 7208 : SPF, Sender Policy Framework
- RFC 6376 : DKIM, DomainKeys Identified Mail
- RFC 7489 : DMARC, Domain-based Message Authentication
- RFC 8461 : MTA-STS, SMTP MTA Strict Transport Security
- RFC 8460 : TLS-RPT, SMTP TLS Reporting
- RFC 6698 : DANE, DNS-Based Authentication of Named Entities
- RFC 4033 : DNSSEC, DNS Security Introduction and Requirements