Aller au contenu principal
Se connecter
CaptainDNS

Diagnostic email

Outils pour vérifier et valider vos configurations d'authentification e-mail.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Délivrabilité

Audit de délivrabilité emailAnalyseur d'en-têtes emailTesteur d'emailVérificateur blacklist IPVérificateur blacklist domaineSPF FlattenerRecherche de sélecteurs DKIMSMTP/MX Tester

Sécuriser & Surveiller

Générateurs d'enregistrements, hébergement de politiques et surveillance continue.

Réseau & Web

Outils réseau, analyse de pages web et certificats.

Outils IP

Mon adresse IP

Détectez vos adresses IPv4/IPv6 et leur géolocalisation.

Recherche inverse

Résolvez un enregistrement PTR et vérifiez la cohérence DNS.

WhoIs IP

Identifiez le propriétaire d'une plage IP et ses coordonnées.

Masque IPv4

Calculez le réseau, le broadcast et les hôtes utilisables d'un bloc IPv4.

Calculateur sous-réseau IPv6

Calculez les sous-réseaux, plages d'adresses et entrées DNS inversé IPv6.

Certificats & BIMI

Analyseur de logo BIMI

Inspectez l'URL d'un logo BIMI, son format, ses métadonnées et son rendu.

Convertisseur SVG BIMI

Convertissez un SVG au format Tiny-PS compatible BIMI en quelques secondes.

Analyseur de CSR

Décodez un CSR, inspectez le sujet, les empreintes et les SAN demandés.

Inspecteur de VMC

Contrôlez un Verified Mark Certificate : autorité émettrice, validité et SAN avant de publier votre BIMI.

Web

Vérificateur de poids de page

Vérifiez si votre page dépasse la limite de 2 MB de Googlebot.

Vérificateur d'URL de phishing

Vérifiez si une URL est signalée comme phishing ou malware par 4 sources.

Redirect Checker

Analysez les chaines de redirections HTTP

Redirection de domaine

Redirigez vos domaines avec HTTPS automatique et redirections 301/302.

HTTP Uptime Monitor

Surveillez la disponibilité de vos sites avec des checks programmés et des alertes email.

Pages de statut

Publiez une page publique regroupant l'état de vos monitors HTTP.

Outils développeur

Utilitaires texte et outils pour le quotidien dev.

Texte

Transformez et mesurez vos contenus en un clin d'oeil.

Convertisseur de casse

Passez un bloc de texte en minuscules ou en majuscules en un clic.

Générateur de slug

Transformez un titre en slug optimisé SEO en quelques secondes.

Compteur de mots et caractères

Comptez instantanément le nombre de mots et de caractères d'un texte.

Générateur de mots de passe

Générez des mots de passe aléatoires robustes et des phrases de passe mémorisables.

Developpeur

Encodage, hachage, regex et formatage pour le quotidien dev.

Encodeur / décodeur Base64

Encodez ou décoder un contenu en Base64 sans quitter le navigateur.

Générateur de hash

Calculez les hash MD5, SHA-1, SHA-256 et SHA-512 d'un texte.

Encodeur / décodeur URL

Encodez ou décodez un texte en percent-encoding (RFC 3986) directement dans le navigateur.

Testeur regex

Testez une expression régulière contre un texte et visualisez les correspondances.

Formateur JSON / YAML

Formatez, validez et convertissez du JSON et du YAML en un clic.

Hébergement MTA-STS gratuit

Protégez vos emails contre les attaques de downgrade SMTP, sans serveur web

MTA-STS empêche les attaques de downgrade SMTP qui interceptent vos emails en clair. Le problème : la RFC 8461 exige un serveur web HTTPS pour héberger le fichier de politique. CaptainDNS le fait pour vous, gratuitement. Ajoutez deux enregistrements DNS et votre politique est active en moins de 5 minutes.

Aucun serveur web nécessaire

Nous hébergeons votre fichier de politique MTA-STS au point de terminaison HTTPS requis (mta-sts.captaindns.com). Aucune configuration côté serveur.

Certificat HTTPS automatique

Votre politique est servie en HTTPS avec un certificat TLS valide, comme l'exige la RFC 8461. Renouvellement automatique, zéro intervention.

Vérification DNS instantanée

Un enregistrement TXT prouve la propriété du domaine. Ajoutez-le à votre DNS et nous le validons en quelques secondes.

Gestion depuis le tableau de bord

Modifiez le mode (testing/enforce), les modèles MX et le max_age en un clic. Chaque modification déclenche une rotation automatique de l'identifiant de politique.

Jusqu'à 5 domaines par compte

Hébergez des politiques MTA-STS pour plusieurs domaines depuis un seul compte. Chaque domaine dispose de sa propre politique vérifiée et de son propre statut.

Pourquoi MTA-STS est indispensable

SMTP a été conçu en 1982 sans chiffrement. STARTTLS a été ajouté par la suite pour chiffrer les emails en transit. Son défaut : il est purement opportuniste. Le serveur expéditeur annonce le support STARTTLS, mais le serveur destinataire peut l'ignorer. Aucun mécanisme ne garantit que la connexion reste chiffrée.

Cela ouvre la porte aux attaques de downgrade SMTP. Un attaquant se positionne entre deux serveurs de messagerie via un détournement BGP, du spoofing DNS ou une interception réseau. Il supprime la commande STARTTLS du handshake SMTP. Le serveur expéditeur ne voit plus d'option de chiffrement. Il bascule en clair. L'email transite sans protection, lisible par quiconque se trouve sur le chemin.

MTA-STS (RFC 8461) comble cette faille. Il publie une politique claire : « ce domaine exige TLS. Si le chiffrement échoue, ne basculez pas en clair. » Le serveur expéditeur doit alors établir une connexion TLS valide. En cas d'échec, il met le message en file d'attente pour une nouvelle tentative.

L'obstacle au déploiement : MTA-STS exige l'hébergement d'un fichier de politique à l'adresse https://mta-sts.captaindns.com/.well-known/mta-sts.txt en HTTPS avec un certificat valide. Pour de nombreuses organisations, maintenir un serveur web dédié pour un simple fichier texte est disproportionné. CaptainDNS élimine cet obstacle.

Ce qui se passe sans MTA-STS

Sans MTA-STS, le transport de vos emails repose uniquement sur le TLS opportuniste. Voici ce que cela signifie en pratique :

  • Interception en clair : tout attaquant positionné au niveau réseau peut lire vos emails en supprimant STARTTLS. Ce n'est pas théorique. Des programmes de surveillance étatiques et des interceptions au niveau des FAI ont été documentés.
  • Aucune vérification côté expéditeur : sans politique publiée, les serveurs expéditeurs n'ont aucun moyen de savoir que votre domaine exige TLS. Ils basculeront silencieusement en clair au moindre problème.
  • Exposition réglementaire : des réglementations comme le RGPD, HIPAA et PCI-DSS exigent le chiffrement des données sensibles en transit. Le TLS opportuniste seul ne satisfait pas cette exigence, car il peut être contourné.
  • Échecs invisibles : sans TLS-RPT (le protocole de reporting associé), vous ne saurez jamais que des emails destinés à votre domaine ont été livrés sans chiffrement. Le problème est silencieux.

En 2014, des chercheurs ont documenté des suppressions massives de STARTTLS par des intermédiaires réseau dans plusieurs pays. Le Transparency Report de Google a ensuite confirmé qu'une part significative des emails entrants arrive encore sans chiffrement. MTA-STS est le protocole conçu pour mettre fin à cette situation.

Associé à TLS-RPT, il vous apporte à la fois l'application du chiffrement et la visibilité sur les échecs.

Fonctionnement de MTA-STS en détail

MTA-STS repose sur deux composants qui fonctionnent ensemble :

1. Un enregistrement DNS TXT à _mta-sts.captaindns.com

Cet enregistrement annonce votre politique MTA-STS. Il contient un identifiant unique de politique. Quand cet identifiant change, les serveurs expéditeurs récupèrent une copie à jour de la politique.

Exemple : v=STSv1; id=20260308120000

2. Un fichier de politique hébergé en HTTPS à https://mta-sts.captaindns.com/.well-known/mta-sts.txt

Ce fichier définit trois éléments :

  • mode : testing (signalement uniquement) ou enforce (rejet en cas d'échec TLS)
  • mx : les modèles de serveurs de messagerie qui doivent correspondre à vos enregistrements MX
  • max_age : la durée de mise en cache de la politique par les serveurs expéditeurs (en secondes)

Exemple :

version: STSv1
mode: enforce
mx: *.mail.protection.outlook.com
max_age: 604800

Lorsqu'un serveur expéditeur souhaite livrer un email à votre domaine, il vérifie la présence de l'enregistrement TXT _mta-sts. S'il existe, il récupère le fichier de politique en HTTPS. Il valide ensuite le certificat TLS de vos serveurs MX par rapport aux modèles de la politique. La livraison ne se poursuit que si tout correspond.

Trust on first use (TOFU) : MTA-STS repose sur le fait que la première récupération de la politique soit légitime. La politique mise en cache protège ensuite contre les attaques futures pendant toute la durée du max_age. Un max_age long (7 jours ou plus) est donc recommandé en mode enforce.

Comment ça fonctionne

1. Créez votre politique

Connectez-vous et créez une nouvelle politique. Définissez votre domaine, le mode (testing ou enforce), les modèles MX et la durée de mise en cache (max_age).

2. Vérifiez la propriété du domaine

Ajoutez l'enregistrement TXT de vérification à votre DNS. Nous le détectons automatiquement en quelques secondes.

3. Ajoutez les enregistrements DNS de déploiement

Deux enregistrements DNS :

  • CNAME : Pointe mta-sts.captaindns.com vers notre serveur de politique
  • TXT : Annonce votre politique MTA-STS à _mta-sts.captaindns.com

Votre politique MTA-STS est active.

Compatible avec les principaux fournisseurs de messagerie

MTA-STS fonctionne avec tout fournisseur de messagerie utilisant des enregistrements MX standards. Les modèles MX de votre politique doivent correspondre aux serveurs de messagerie de votre fournisseur :

FournisseurModèle MX
Microsoft 365*.mail.protection.outlook.com
Google Workspace*.google.com et *.googlemail.com
Proton Mail*.protonmail.ch
Zoho Mail*.zoho.com
Auto-hébergé (Postfix, Exchange)Votre propre nom d'hôte MX

Lors de la création de votre politique sur CaptainDNS, saisissez les modèles MX correspondant à votre fournisseur. Le tableau de bord les valide par rapport à vos enregistrements MX réels pour éviter les incohérences.

Hébergé vs. auto-hébergé : quelle option choisir ?

CritèreHébergé (CaptainDNS)Auto-hébergé
Configuration serveurAucuneRequise (Nginx, Apache, Caddy)
Certificat HTTPSAutomatique (Let's Encrypt)Provisionnement et renouvellement manuels
Mises à jour de politiqueTableau de bord + rotation automatique de l'IDÉdition manuelle du fichier + mise à jour DNS
Domaines multiplesJusqu'à 5 par compteUne configuration serveur par domaine
DisponibilitéInfrastructure redondanteDépend de votre configuration
Surveillance des certificatsIntégréeSous votre responsabilité
CoûtGratuitCoûts d'hébergement serveur

Choisissez l'hébergement si vous voulez déployer MTA-STS en quelques minutes sans aucune infrastructure. Choisissez l'auto-hébergement si vous avez besoin d'un contrôle total sur le point de terminaison de la politique ou si vous opérez dans un environnement isolé.

De testing à enforce : une stratégie progressive

Déployer MTA-STS directement en mode enforce est risqué. Si vos modèles MX sont incorrects ou qu'un certificat TLS expire, les emails légitimes sont rejetés. L'approche recommandée est progressive :

Phase 1 : Déployer en mode testing (1 à 2 semaines)

Définissez mode: testing dans votre politique. Les serveurs expéditeurs tenteront la connexion TLS et signaleront les échecs via TLS-RPT, mais livreront tout de même les emails en cas d'échec TLS. Cela vous donne de la visibilité sans risque.

Phase 2 : Analyser les rapports TLS-RPT

Examinez les rapports pour identifier les problèmes : incompatibilités de certificats, modèles MX ne couvrant pas tous les serveurs de messagerie, ou expéditeurs tiers avec un TLS défaillant. Corrigez chaque problème avant de passer à l'étape suivante.

Phase 3 : Passer en mode enforce

Une fois que les rapports montrent zéro échec pendant au moins une semaine, passez le mode à enforce et augmentez le max_age à 604800 (7 jours) ou plus. Sur CaptainDNS, c'est un simple clic dans le tableau de bord. L'identifiant de politique est automatiquement mis à jour.

Retour en arrière d'urgence : si le mode enforce bloque des emails légitimes, repassez immédiatement en testing. Les serveurs expéditeurs récupéreront la politique mise à jour et cesseront de rejeter en quelques minutes (ou au maximum dans la fenêtre de l'ancien max_age).

MTA-STS et DANE : deux approches complémentaires

Deux protocoles permettent d'imposer le chiffrement du transport email : MTA-STS et DANE (DNS-based Authentication of Named Entities). Ils résolvent le même problème de manière différente.

MTA-STSDANE
Mécanisme de confianceHTTPS (autorité de certification)DNSSEC (chaîne cryptographique)
Infrastructure requiseServeur web HTTPS (ou service hébergé)Zone signée DNSSEC
Modèle de confianceTrust on first use (TOFU)Pas de TOFU, cryptographique dès le départ
Support fournisseursMicrosoft 365, Google Workspace, la plupart des fournisseursNécessite DNSSEC sur votre domaine
Complexité de déploiementFaible (2 enregistrements DNS + politique hébergée)Élevée (DNSSEC + enregistrements TLSA)

Si votre domaine n'utilise pas DNSSEC, MTA-STS est votre seule option pour imposer le chiffrement du transport.

Si votre domaine utilise DNSSEC, déployer les deux protocoles offre la meilleure protection : DANE élimine le TOFU pour les expéditeurs compatibles DNSSEC, tandis que MTA-STS couvre les expéditeurs qui ne supportent pas DANE.

Bonnes pratiques de déploiement MTA-STS

  1. Commencez en mode testing : identifiez les problèmes de connectivité TLS avant de passer en mode enforce.
  2. Configurez TLS-RPT : recevez des rapports sur les échecs de livraison TLS. Utilisez notre générateur TLS-RPT.
  3. Validez vos enregistrements MX : assurez-vous que les modèles MX dans votre politique correspondent à vos serveurs de messagerie réels. Les incohérences provoquent des échecs de livraison en mode enforce.
  4. Surveillez avant d'appliquer : analysez les rapports TLS-RPT pendant au moins une semaine avec zéro échec avant de passer en mode enforce.
  5. Utilisez un max_age long en mode enforce : 604800 secondes (7 jours) ou plus. Cela garantit que les serveurs expéditeurs mettent en cache votre politique suffisamment longtemps pour résister aux attaques de downgrade.
  6. Passez en mode enforce : une fois que les rapports TLS-RPT confirment que tout fonctionne, activez le mode enforce pour une protection complète.

Outils complémentaires

OutilDescription
Vérificateur MTA-STSValidez votre configuration MTA-STS existante
Générateur MTA-STSGénérez des enregistrements et fichiers de politique MTA-STS
Vérificateur de syntaxe MTA-STSValidez la syntaxe MTA-STS hors ligne
Générateur TLS-RPTConfigurez le reporting TLS en complément de MTA-STS
Hébergement BIMIHébergez vos logos et certificats BIMI gratuitement
Monitoring TLS-RPTSurveillez et analysez automatiquement les rapports TLS-RPT

Guides et ressources