Aller au contenu principal
Se connecter
CaptainDNS

Diagnostic email

Outils pour vérifier et valider vos configurations d'authentification e-mail.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Délivrabilité

Audit de délivrabilité emailAnalyseur d'en-têtes emailTesteur d'emailVérificateur blacklist IPVérificateur blacklist domaineSPF FlattenerRecherche de sélecteurs DKIMSMTP/MX Tester

Sécuriser & Surveiller

Générateurs d'enregistrements, hébergement de politiques et surveillance continue.

Réseau & Web

Outils réseau, analyse de pages web et certificats.

Outils IP

Mon adresse IP

Détectez vos adresses IPv4/IPv6 et leur géolocalisation.

Recherche inverse

Résolvez un enregistrement PTR et vérifiez la cohérence DNS.

WhoIs IP

Identifiez le propriétaire d'une plage IP et ses coordonnées.

Masque IPv4

Calculez le réseau, le broadcast et les hôtes utilisables d'un bloc IPv4.

Calculateur sous-réseau IPv6

Calculez les sous-réseaux, plages d'adresses et entrées DNS inversé IPv6.

Certificats & BIMI

Analyseur de logo BIMI

Inspectez l'URL d'un logo BIMI, son format, ses métadonnées et son rendu.

Convertisseur SVG BIMI

Convertissez un SVG au format Tiny-PS compatible BIMI en quelques secondes.

Analyseur de CSR

Décodez un CSR, inspectez le sujet, les empreintes et les SAN demandés.

Inspecteur de VMC

Contrôlez un Verified Mark Certificate : autorité émettrice, validité et SAN avant de publier votre BIMI.

Web

Vérificateur de poids de page

Vérifiez si votre page dépasse la limite de 2 MB de Googlebot.

Vérificateur d'URL de phishing

Vérifiez si une URL est signalée comme phishing ou malware par 4 sources.

Redirect Checker

Analysez les chaines de redirections HTTP

Redirection de domaine

Redirigez vos domaines avec HTTPS automatique et redirections 301/302.

Outils développeur

Utilitaires texte et outils pour le quotidien dev.

Texte

Transformez et mesurez vos contenus en un clin d'oeil.

Convertisseur de casse

Passez un bloc de texte en minuscules ou en majuscules en un clic.

Générateur de slug

Transformez un titre en slug optimisé SEO en quelques secondes.

Compteur de mots et caractères

Comptez instantanément le nombre de mots et de caractères d'un texte.

Générateur de mots de passe

Générez des mots de passe aléatoires robustes et des phrases de passe mémorisables.

Developpeur

Encodage, hachage, regex et formatage pour le quotidien dev.

Encodeur / décodeur Base64

Encodez ou décoder un contenu en Base64 sans quitter le navigateur.

Générateur de hash

Calculez les hash MD5, SHA-1, SHA-256 et SHA-512 d'un texte.

Encodeur / décodeur URL

Encodez ou décodez un texte en percent-encoding (RFC 3986) directement dans le navigateur.

Testeur regex

Testez une expression régulière contre un texte et visualisez les correspondances.

Formateur JSON / YAML

Formatez, validez et convertissez du JSON et du YAML en un clic.

SPF Checker

SPF check, lookup DNS et test d'autorisation IP - corrigez vos échecs SPF

Pourquoi votre SPF échoue-t-il ? Entrez votre domaine pour un SPF check complet avec lookup DNS, expansion des includes et vérification d'autorisation IP.

Lookup DNS en direct

Le checker interroge le DNS en temps réel pour récupérer votre SPF tel que les destinataires le voient réellement.

Expansion récursive

Chaque include est résolu récursivement. Visualisez l'arbre complet de votre politique SPF jusqu'aux mécanismes finaux.

Comptage des lookups

Le compteur affiche le nombre exact de lookups DNS. La limite RFC est de 10 - dépassez-la et vos emails échouent.

Détection des erreurs

Identifiez les problèmes DNS (NXDOMAIN, timeout), les boucles de référence, et les syntaxes invalides avant qu'ils n'impactent la délivrabilité.

Test d'autorisation IP

Saisissez une adresse IP pour vérifier si elle est autorisée par le SPF publié. Résultat instantané : pass, fail, softfail ou neutral - avec le mécanisme et le domaine correspondants.

Pourquoi inspecter un enregistrement SPF publié ?

L'enregistrement SPF (Sender Policy Framework) publié dans votre DNS définit quels serveurs peuvent envoyer des emails pour votre domaine. Mais une fois publié, il peut évoluer sans que vous le sachiez : prestataires qui modifient leurs includes, limites de lookups atteintes, propagation DNS incomplète.

Trois cas d'usage principaux :

  • Après publication -> Vérifiez que le DNS retourne bien votre SPF et que les includes se résolvent
  • Diagnostic délivrabilité -> Identifiez pourquoi les destinataires voient un SPF fail ou permerror
  • Audit périodique -> Détectez les dérives (lookups qui augmentent, includes dépréciés)

Inspecteur SPF vs Validateur de syntaxe

CritèreValidateur de syntaxeInspecteur SPF
Quand l'utiliserAVANT publicationAPRÈS publication
Source des donnéesTexte collé manuellementDNS en direct
Résolution des includesNon (syntaxe uniquement)Oui (récursif complet)
Comptage des lookupsEstiméRéel (avec résolution)
Détection erreurs DNSNonOui (NXDOMAIN, timeout, CNAME)
Test IPNonOui (pass/fail/softfail/neutral)

Workflow recommandé :

  1. Rédigez votre SPF
  2. Validez la syntaxe avec le Validateur SPF
  3. Publiez dans votre DNS
  4. Inspectez avec cet outil pour confirmer la propagation et le comptage réel

Qu'analyse exactement l'inspecteur ?

Résolution DNS en direct

L'inspecteur interroge le DNS pour récupérer :

  • Tous les enregistrements TXT du domaine
  • Filtrage des enregistrements commençant par v=spf1
  • Détection des anomalies (plusieurs SPF, CNAME sur le chemin)

Expansion récursive des includes

Pour chaque include: rencontré, l'outil :

  1. Résout le domaine cible
  2. Récupère son enregistrement SPF
  3. Compte le lookup dans le budget de 10
  4. Répète récursivement jusqu'aux mécanismes finaux

Exemple d'arbre de résolution :

captaindns.com
├── include:_spf.google.com (1 lookup)
│   ├── include:_netblocks.google.com (2 lookups)
│   ├── include:_netblocks2.google.com (3 lookups)
│   └── include:_netblocks3.google.com (4 lookups)
└── include:servers.mcsv.net (5 lookups)
    └── ip4:205.201.128.0/20 (pas de lookup)

Diagnostics retournés

CodeDescriptionSévérité
lookup_no_spfAucun enregistrement SPF trouvéErreur
lookup_bad_rcodeErreur DNS (NXDOMAIN, SERVFAIL)Erreur
lookup_multiple_spfPlusieurs enregistrements SPFErreur
lookup_limit_exceededPlus de 10 lookups DNSErreur
lookup_cycleBoucle de référence détectéeErreur
void_lookup_limit_exceededPlus de 2 réponses videsErreur
permissive_allPolitique +all (tout autorisé)Avertissement
softfail_allPolitique ~all sans durcissementAvertissement

Cas d'usage concrets

Cas 1 : Vérification post-publication

Situation : Vous venez de publier un nouveau SPF pour captaindns.com.

Action : Lancez l'inspection pour vérifier :

  • ✅ L'enregistrement est bien visible dans le DNS
  • ✅ Tous les includes se résolvent correctement
  • ✅ Le total de lookups reste sous 10

Cas 2 : Diagnostic d'échec SPF

Symptôme : Les destinataires voient SPF fail sur vos emails.

Diagnostic : L'inspecteur révèle :

  • Le serveur d'envoi (IP 203.0.113.50) n'est pas dans le SPF
  • L'include du prestataire a changé sans notification

Action : Ajouter l'IP ou mettre à jour l'include.

Cas 3 : Permerror mystérieux

Symptôme : SPF permerror intermittent sur certains destinataires.

Diagnostic : L'inspecteur compte 11 lookups :

captaindns.com: 11 lookups (limite: 10)
├── include:_spf.google.com (4 lookups)
├── include:spf.protection.outlook.com (3 lookups)
├── include:amazonses.com (2 lookups)
└── include:sendgrid.net (2 lookups)

Action : Remplacer certains includes par des ip4/ip6 directs, utiliser un sous-domaine dédié ou aplatir votre SPF avec le SPF Flattener.

Cas 4 : Audit de sécurité périodique

Situation : Audit trimestriel de la configuration email.

Vérification :

  • Le SPF utilise -all (hard fail) et non ~all (soft fail)
  • Aucun include vers des domaines abandonnés
  • Les plages IP correspondent aux serveurs actifs
  • Le compteur de lookups a une marge de sécurité (≤8 recommandé)

Cas 5 : Vérifier l'autorisation IP d'un expéditeur

Situation : Vous recevez des rapports DMARC (via le Monitoring DMARC) indiquant des échecs SPF depuis une IP spécifique.

Action : Entrez le domaine et l'IP dans l'inspecteur.

Diagnostic : L'outil révèle :

  • L'IP 203.0.113.50 n'est couverte par aucun mécanisme
  • Le mécanisme include:_spf.google.com ne contient pas cette IP
  • La directive -all rejette l'IP

Correction : Ajoutez ip4:203.0.113.50 à votre SPF ou vérifiez que le service utilise bien les IPs couvertes par un include existant.

Tester une IP contre le SPF publié

Le test d'autorisation IP permet de vérifier en une requête si une adresse IP serait autorisée à envoyer des emails pour un domaine. L'outil interroge le DNS en direct, résout le SPF complet (includes, redirects), puis évalue chaque mécanisme contre l'IP fournie.

Résultats possibles :

RésultatSignificationAction
PassL'IP est explicitement autoriséeRien à faire
FailL'IP est explicitement rejetée par -allAjouter l'IP ou vérifier l'include
SoftfailL'IP n'est pas autorisée mais ~all ne rejette pasPasser à -all ou ajouter l'IP
NeutralAucun mécanisme ne correspondAjouter l'IP si elle devrait être autorisée

Cas d'usage typiques :

  • Diagnostic des échecs SPF sur des rapports DMARC
  • Vérification post-migration de serveur mail
  • Validation de la couverture IP d'un nouveau prestataire d'envoi
  • Audit de sécurité : identifier les IPs non couvertes

FAQ - Questions fréquentes

Q : Quelle est la différence entre l'inspecteur SPF et le validateur de syntaxe ?

R : Le validateur de syntaxe vérifie un enregistrement SPF AVANT publication (hors-ligne, texte collé). L'inspecteur analyse un SPF DÉJÀ PUBLIÉ en interrogeant le DNS en direct et en résolvant récursivement tous les includes.

Q : Combien de lookups DNS sont autorisés pour SPF ?

R : La RFC 7208 limite à 10 lookups DNS par évaluation. Chaque include, a, mx, ptr et exists compte. L'inspecteur affiche le total réel après résolution récursive.

Q : Pourquoi mon SPF affiche "permerror" ?

R : Un permerror survient quand :

  1. Plus de 10 lookups DNS
  2. Boucle de référence (A include B qui include A)
  3. Syntaxe invalide
  4. Plus de 2 réponses DNS vides

L'inspecteur identifie la cause exacte.

Q : Comment l'outil résout-il les includes ?

R : L'inspecteur suit chaque include: récursivement : il récupère le SPF du domaine cible, compte le lookup, et répète jusqu'aux mécanismes finaux (ip4, ip6) ou jusqu'à atteindre la limite.

Q : Puis-je tester avec différents résolveurs DNS ?

R : Oui. Choisissez Google (8.8.8.8), Cloudflare (1.1.1.1) ou un résolveur personnalisé pour vérifier la propagation et confirmer que tous les serveurs voient la même politique.

Q : Que faire si l'inspecteur ne trouve pas de SPF ?

R : Vérifiez dans votre interface DNS que :

  1. Un enregistrement TXT existe
  2. Il commence par v=spf1
  3. Il n'y a qu'un seul SPF (plusieurs = permerror)
  4. La propagation DNS est complète (peut prendre jusqu'à 48h)

Q : L'inspecteur valide-t-il aussi la syntaxe ?

R : Oui, l'inspecteur valide la syntaxe de chaque SPF rencontré. Mais pour tester un brouillon AVANT publication, utilisez le Validateur de syntaxe SPF.

Outils complémentaires

OutilUtilité
Générateur SPFCréer un enregistrement SPF avec providers préconfigurés
SPF FlattenerAplatir votre SPF pour passer sous les 10 DNS lookups
Validateur syntaxe SPFTester la syntaxe AVANT publication
Inspecteur DKIMValider votre signature DKIM
Inspecteur DMARCConfigurer et tester votre politique DMARC
Monitoring DMARCCollecter et visualiser les rapports DMARC agrégés de vos domaines
Analyseur d'en-têtes emailDiagnostiquer SPF/DKIM/DMARC sur un email reçu

Ressources utiles