Aller au contenu principal
Se connecter
CaptainDNS

Diagnostic email

Outils pour vérifier et valider vos configurations d'authentification e-mail.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Délivrabilité

Audit de délivrabilité emailAnalyseur d'en-têtes emailTesteur d'emailVérificateur blacklist IPVérificateur blacklist domaineSPF FlattenerRecherche de sélecteurs DKIMSMTP/MX Tester

Sécuriser & Surveiller

Générateurs d'enregistrements, hébergement de politiques et surveillance continue.

Réseau & Web

Outils réseau, analyse de pages web et certificats.

Outils IP

Mon adresse IP

Détectez vos adresses IPv4/IPv6 et leur géolocalisation.

Recherche inverse

Résolvez un enregistrement PTR et vérifiez la cohérence DNS.

WhoIs IP

Identifiez le propriétaire d'une plage IP et ses coordonnées.

Masque IPv4

Calculez le réseau, le broadcast et les hôtes utilisables d'un bloc IPv4.

Calculateur sous-réseau IPv6

Calculez les sous-réseaux, plages d'adresses et entrées DNS inversé IPv6.

Certificats & BIMI

Analyseur de logo BIMI

Inspectez l'URL d'un logo BIMI, son format, ses métadonnées et son rendu.

Convertisseur SVG BIMI

Convertissez un SVG au format Tiny-PS compatible BIMI en quelques secondes.

Analyseur de CSR

Décodez un CSR, inspectez le sujet, les empreintes et les SAN demandés.

Inspecteur de VMC

Contrôlez un Verified Mark Certificate : autorité émettrice, validité et SAN avant de publier votre BIMI.

Web

Vérificateur de poids de page

Vérifiez si votre page dépasse la limite de 2 MB de Googlebot.

Vérificateur d'URL de phishing

Vérifiez si une URL est signalée comme phishing ou malware par 4 sources.

Redirect Checker

Analysez les chaines de redirections HTTP

Redirection de domaine

Redirigez vos domaines avec HTTPS automatique et redirections 301/302.

Outils développeur

Utilitaires texte et outils pour le quotidien dev.

Texte

Transformez et mesurez vos contenus en un clin d'oeil.

Convertisseur de casse

Passez un bloc de texte en minuscules ou en majuscules en un clic.

Générateur de slug

Transformez un titre en slug optimisé SEO en quelques secondes.

Compteur de mots et caractères

Comptez instantanément le nombre de mots et de caractères d'un texte.

Générateur de mots de passe

Générez des mots de passe aléatoires robustes et des phrases de passe mémorisables.

Developpeur

Encodage, hachage, regex et formatage pour le quotidien dev.

Encodeur / décodeur Base64

Encodez ou décoder un contenu en Base64 sans quitter le navigateur.

Générateur de hash

Calculez les hash MD5, SHA-1, SHA-256 et SHA-512 d'un texte.

Encodeur / décodeur URL

Encodez ou décodez un texte en percent-encoding (RFC 3986) directement dans le navigateur.

Testeur regex

Testez une expression régulière contre un texte et visualisez les correspondances.

Formateur JSON / YAML

Formatez, validez et convertissez du JSON et du YAML en un clic.

SPF Validator

Validez la syntaxe SPF et testez l'autorisation IP avant publication

Comment corriger les erreurs de syntaxe SPF ? Collez votre enregistrement SPF ci-dessous pour valider la syntaxe, détecter les mécanismes invalides et vérifier si une adresse IP est autorisée par votre politique.

Analyse syntaxique complète

Vérification de la structure v=spf1, des mécanismes (ip4, mx, include) et des modificateurs (redirect, exp). Chaque terme est validé individuellement.

Détection des erreurs critiques

Identifiez les termes inconnus, les valeurs manquantes, les doublons et les caractères parasites qui casseraient votre politique.

Compteur de requêtes DNS

Visualisez le nombre de lookups DNS (include, mx, a, ptr, exists). Maximum 10 autorisé par la RFC 7208.

Avertissements de sécurité

Signalez les qualificateurs faibles (?all, +all) et les politiques permissives qui fragilisent votre protection anti-spoofing.

Test d'autorisation IP

Saisissez une adresse IP pour la tester contre la politique SPF. Voyez instantanément si l'IP passerait (pass), échouerait (fail) ou softfail - avant d'envoyer un seul email.

Pourquoi valider la syntaxe SPF avant publication ?

Un enregistrement SPF (Sender Policy Framework) mal formé peut avoir des conséquences immédiates : emails rejetés, authentification désactivée, ou pire, une fausse impression de sécurité. La validation syntaxique détecte ces problèmes avant qu'ils n'impactent votre délivrabilité.

Trois cas d'usage principaux :

  • Nouveau SPF -> Validez la structure avant la première publication
  • Modification SPF -> Vérifiez que les changements n'introduisent pas d'erreurs
  • Diagnostic délivrabilité -> Confirmez que la syntaxe n'est pas la cause des rejets

Comment utiliser le validateur en 3 étapes

Étape 1 : Copier l'enregistrement SPF

Récupérez votre enregistrement depuis :

  • Votre interface DNS (OVH, Cloudflare, Gandi, etc.)
  • Un outil de lookup DNS
  • Directement votre éditeur de texte si vous le rédigez

Format attendu :

v=spf1 ip4:203.0.113.0/24 include:_spf.google.com -all

Étape 2 : Coller dans le validateur

Collez l'enregistrement complet dans le formulaire ci-dessus. L'outil analyse automatiquement :

  • ✅ Structure de base (v=spf1)
  • ✅ Mécanismes (ip4, ip6, mx, a, include, exists, ptr)
  • ✅ Modificateurs (redirect, exp)
  • ✅ Qualificateurs (+, -, ~, ?)
  • ✅ Directive finale (all)

Étape 2b : Tester une IP (optionnel)

Saisissez une adresse IP dans le champ dédié pour vérifier si elle est autorisée par la politique SPF :

  • Pass (vert) : L'IP est explicitement autorisée
  • Fail (rouge) : L'IP est explicitement rejetée
  • Softfail (orange) : L'IP n'est pas autorisée mais pas strictement rejetée
  • Neutral (gris) : Aucune correspondance ou aucun avis

L'outil évalue les mécanismes dans l'ordre (ip4, ip6, a, mx, include) conformément à la RFC 7208 §4.6.2.

Étape 3 : Corriger et publier

Le rapport affiche :

  • Erreurs (rouge) : Problèmes bloquants à corriger
  • Avertissements (orange) : Risques de sécurité ou bonnes pratiques
  • Informations (bleu) : Détails sur la structure analysée

Corrigez les erreurs, puis publiez dans votre DNS.

Qu'est-ce que la syntaxe SPF ?

Un enregistrement SPF est une chaîne de caractères publiée dans un enregistrement DNS TXT. Sa syntaxe suit une structure précise définie par la RFC 7208 :

v=spf1 [qualificateur]mécanisme [modificateur] ... directive_finale

Composants :

ÉlémentExemplesRôle
Versionv=spf1Obligatoire, toujours en premier
Qualificateur+, -, ~, ?Détermine l'action (pass, fail, softfail, neutral)
Mécanismeip4:, mx, include:, a:Définit les expéditeurs autorisés
Modificateurredirect=, exp=Options supplémentaires
Directive finale-all, ~all, ?allAction par défaut pour les non-correspondances

Qu'analyse exactement le validateur ?

Erreurs de syntaxe

Code erreurDescriptionImpact
missing_versionAbsence de v=spf1SPF ignoré (permerror)
unknown_mechanismMécanisme non reconnuSPF invalide
mechanism_missing_valueinclude: sans domaineSPF invalide
mechanism_invalid_valueIP ou CIDR mal forméSPF invalide
duplicate_modifierDeux redirect=SPF invalide
multiple_allPlusieurs directives allSPF invalide

Avertissements de sécurité

CodeDescriptionRisque
weak_qualifier?all (neutral)Pas de protection
permissive_all+allAutorise tout le monde
softfail_all~all sans transition vers -allProtection partielle

Limites DNS

CodeDescriptionLimite RFC
lookup_limit_exceededPlus de 10 DNS lookups10 max
void_lookup_limit_exceededTrop de réponses vides2 max
lookup_cycleBoucle de référenceInterdit

Cas d'usage concrets

Cas 1 : Nouveau domaine, premier SPF

Situation : Vous configurez les emails pour captaindns.com avec Google Workspace.

Action : Validez avant publication :

v=spf1 include:_spf.google.com -all

Résultat attendu :

  • ✅ Syntaxe valide
  • ✅ 1 DNS lookup (sous la limite de 10)
  • ✅ Directive finale stricte (-all)

Cas 2 : Ajout d'un nouveau service marketing

Situation : Vous ajoutez Mailchimp à votre SPF existant.

SPF actuel :

v=spf1 include:_spf.google.com -all

SPF modifié :

v=spf1 include:_spf.google.com include:servers.mcsv.net -all

Validation : Confirmez que l'ajout ne dépasse pas 10 lookups et que la syntaxe reste valide.

Cas 3 : Erreur "permerror" en production

Symptôme : Vos emails échouent avec SPF permerror.

Diagnostic : Collez l'enregistrement dans le validateur.

Erreur détectée :

v=spf1 ip4:192.168.1.1 include: -all

Erreur : mechanism_missing_value - include: sans domaine.

Correction :

v=spf1 ip4:192.168.1.1 include:_spf.captaindns.com -all

Cas 4 : Trop de DNS lookups

Symptôme : Le validateur indique lookup_limit_exceeded.

Diagnostic : Votre SPF cumule trop d'includes :

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:amazonses.com include:_spf.salesforce.com include:sendgrid.net include:mailchimp.com -all

Solutions :

  1. Remplacez certains includes par des ip4/ip6 directs
  2. Utilisez un sous-domaine dédié (ex: marketing.captaindns.com)
  3. Supprimez les services inutilisés
  4. Utilisez notre SPF Flattener pour aplatir automatiquement les includes

Tester une IP contre la politique SPF

Pourquoi tester une IP contre un enregistrement SPF ?

Quand un email est reçu, le serveur destinataire vérifie si l'IP de l'expéditeur est autorisée par le SPF du domaine. Si l'IP n'est pas couverte, l'email peut être rejeté ou marqué comme suspect.

Cas d'usage courants :

  • Nouveau serveur mail -> Vérifiez que son IP est couverte avant le premier envoi
  • Service tiers (Mailchimp, SendGrid, SES) -> Confirmez que l'include couvre bien les IPs du prestataire
  • Diagnostic "SPF fail" -> Identifiez exactement quel mécanisme rejette l'IP
  • Migration de serveur -> Testez les nouvelles IPs avant de couper les anciennes

Comment fonctionne le test IP ?

L'outil évalue l'enregistrement SPF mécanisme par mécanisme, dans l'ordre :

  1. ip4/ip6 : Correspondance directe IP ou CIDR
  2. a : Résolution DNS du domaine, comparaison avec l'IP
  3. mx : Résolution des serveurs MX, puis de leurs IPs
  4. include : Évaluation récursive du SPF du domaine inclus
  5. all : Correspondance universelle (résultat selon le qualificateur)

Le premier mécanisme qui correspond détermine le résultat. Si aucun ne correspond et qu'il n'y a pas de directive all, le résultat est "neutral".

FAQ - Questions fréquentes

Q : Qu'est-ce qu'un enregistrement SPF ?

R : SPF (Sender Policy Framework) est un enregistrement DNS TXT qui liste les serveurs autorisés à envoyer des emails pour votre domaine. Format : v=spf1 suivi de mécanismes (ip4, mx, include) et d'une directive finale (-all, ~all).

Q : Pourquoi valider la syntaxe SPF avant publication ?

R : Un enregistrement SPF mal formé génère une erreur permanente (permerror) qui peut rejeter tous vos emails ou désactiver complètement la vérification SPF. Valider avant publication évite les interruptions de service.

Q : Quelle est la limite de requêtes DNS pour SPF ?

R : La RFC 7208 limite à 10 requêtes DNS par évaluation SPF. Chaque include, a, mx, ptr et exists compte. Dépasser cette limite génère un permerror et peut faire échouer l'authentification.

Q : Que signifie le qualificateur -all vs ~all ?

R :

  • -all (hard fail) : Rejette les emails non autorisés
  • ~all (soft fail) : Marque comme suspects mais accepte

Commencez par ~all en test, puis passez à -all en production pour une protection maximale.

Q : Comment corriger l'erreur "too many DNS lookups" ?

R :

  1. Remplacez les includes par des ip4/ip6 directs
  2. Supprimez les mécanismes inutiles
  3. Utilisez des sous-domaines avec leurs propres SPF
  4. Évitez ptr (déprécié et coûteux en requêtes)

Q : Puis-je avoir plusieurs enregistrements SPF ?

R : Non. La RFC impose un seul enregistrement SPF par domaine. Plusieurs enregistrements génèrent un permerror. Fusionnez vos politiques dans un seul TXT commençant par v=spf1.

Q : L'outil valide-t-il les domaines includes ?

R : Le validateur vérifie la syntaxe des domaines référencés par include et redirect. Pour une analyse complète avec résolution DNS et comptage récursif des lookups, utilisez l'Inspecteur SPF.

Outils complémentaires

OutilUtilité
Inspecteur SPFAnalyser un SPF publié avec résolution DNS complète
SPF FlattenerAplatir votre SPF pour passer sous les 10 DNS lookups
Inspecteur DKIMValider votre signature DKIM
Inspecteur DMARCConfigurer et tester votre politique DMARC
Analyseur d'en-têtes emailDiagnostiquer SPF/DKIM/DMARC sur un email reçu

Ressources utiles