Comprendre les Enregistrements DNS et leur Rôle en Sécurité
Guide complet des enregistrements DNS (A, MX, CNAME, TXT, NS). Apprenez à les configurer pour protéger votre domaine contre le phishing.

Le Système de Noms de Domaine (DNS) est considéré comme la colonne vertébrale d'internet. Cependant, sa conception initiale remonte à une époque où la cybersécurité n'était pas une préoccupation centrale. Les normes initiales définies dans le RFC 1035 de l'IETF se concentraient sur la disponibilité et la vitesse, laissant de côté la vérification d'identité. Aujourd'hui, la manipulation des enregistrements DNS est l'une des techniques préférées des cybercriminels pour effectuer des redirections malveillantes, du phishing et du vol de données.
Dans cet article, nous analyserons les principaux types d'enregistrements DNS (A, MX, CNAME, TXT, NS), leurs fonctions, et comment une configuration appropriée et sécurisée de ces enregistrements peut protéger votre infrastructure contre les incidents.
Que sont les enregistrements DNS et quels sont les types essentiels ?
Les enregistrements DNS sont des instructions de configuration stockées dans des serveurs de noms faisant autorité. Ils indiquent aux résolveurs et aux navigateurs web comment gérer les requêtes liées à un domaine donné.
1. Enregistrement A (Address) et AAAA (IPv6 Address)
L'enregistrement A est le composant le plus basique. Il associe un nom d'hôte (comme tecnocrypter.com) à une adresse IPv4 physique de 32 bits. Son homologue pour la nouvelle architecture d'adressage est l'enregistrement AAAA, qui pointe vers une adresse IPv6 de 128 bits.
- Importance en sécurité : Si un attaquant compromet votre panneau d'enregistrement et modifie l'enregistrement A, il peut rediriger tout votre trafic vers une réplique malveillante de votre site (phishing) pour capturer les identifiants de vos utilisateurs.
2. Enregistrement CNAME (Canonical Name)
Il fonctionne comme un alias. Au lieu de pointer vers une IP physique, un enregistrement CNAME pointe vers un autre nom de domaine. Par exemple, vous pouvez configurer www.tecnocrypter.com pour qu'il pointe vers tecnocrypter.com.
- Importance en sécurité : Il est crucial d'auditer les anciens enregistrements CNAME. Si un enregistrement pointe vers un sous-domaine ou un service cloud que vous n'utilisez plus (comme un bucket AWS S3 ou une instance GitHub Pages supprimée), un attaquant pourrait revendiquer cette ressource auprès du fournisseur et prendre le contrôle du sous-domaine de votre organisation, une attaque connue sous le nom de Subdomain Takeover.
3. Enregistrement MX (Mail Exchanger)
Spécifie les serveurs de messagerie responsables de la réception des messages au nom de votre domaine. Chaque enregistrement MX comprend une priorité (les nombres les plus bas représentent la priorité la plus élevée).
- Importance en sécurité : Les attaquants peuvent tenter de créer de faux enregistrements MX avec une priorité plus faible pour intercepter ou détourner vos e-mails entrants.
4. Enregistrement NS (Name Server)
Indique quels serveurs de noms font autorité pour gérer la zone DNS de votre domaine.
- Importance en sécurité : Modifier les enregistrements NS sans autorisation équivaut à perdre totalement le contrôle de tout votre écosystème réseau.
5. Enregistrement TXT (Text)
Permet de stocker des informations textuelles arbitraires et lisibles par machine dans votre zone DNS. Aujourd'hui, son utilisation est strictement indispensable pour la sécurité des e-mails.
Protection de la messagerie grâce aux enregistrements TXT
La plupart des attaques de phishing reposent sur l'usurpation de l'adresse de l'expéditeur (email spoofing). Les enregistrements TXT nous permettent d'implémenter trois technologies d'authentification complémentaires :
- SPF (Sender Policy Framework) : Déclare une liste autorisée d'adresses IP et de serveurs autorisés à envoyer des e-mails au nom de votre domaine. Un client de messagerie récepteur vérifiera votre enregistrement TXT SPF pour valider si le message provient d'une IP approuvée.
- DKIM (DomainKeys Identified Mail) : Ajoute une signature cryptographique (clé publique) aux en-têtes de vos e-mails. Le destinataire utilise cette signature pour vérifier que le message a bien été envoyé par le propriétaire du domaine et n'a pas été modifié en transit.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance) : Établit une règle pour indiquer au serveur de réception ce qu'il doit faire si un e-mail échoue aux validations SPF ou DKIM (par exemple, le rejeter ou l'envoyer dans les spams). Il fournit également des rapports détaillés sur les tentatives d'usurpation d'identité.
Tableau comparatif des enregistrements DNS
| Type d'enregistrement | Destination de la requête | Principal cas d'utilisation | Risque de cybersécurité |
|---|---|---|---|
| A / AAAA | Adresse IP (IPv4 / IPv6) | Pointer des domaines vers des serveurs web | Redirection du trafic vers des sites clonés |
| CNAME | Nom de domaine (Alias) | Pointer des sous-domaines vers des services externes | Détournement de sous-domaines abandonnés (Subdomain Takeover) |
| MX | Serveur de messagerie + Priorité | Routage des e-mails entrants | Interception ou détournement des e-mails professionnels |
| TXT | Chaîne de texte arbitraire | Authentification SPF, DKIM, DMARC | Révélation excessive d'infrastructures ou clés vulnérables |
| NS | Serveur de noms | Déclarer l'autorité sur la zone DNS | Perte totale de contrôle du domaine |
Comment auditer et vérifier vos enregistrements DNS en toute sécurité
Il est fortement recommandé d'auditer périodiquement les zones DNS de votre domaine afin de détecter les enregistrements obsolètes ou les entrées non autorisées.
Audit local via le Terminal
Vous pouvez interroger directement vos serveurs DNS locaux ou publics à l'aide d'outils intégrés à votre système d'exploitation :
# Interroger les enregistrements MX pour vérifier les serveurs de messagerie
dig tecnocrypter.com MX
# Interroger les enregistrements TXT SPF et DMARC de votre domaine
dig tecnocrypter.com TXT
Outils d'audit Web
Si vous préférez une analyse complète et en temps réel sans utiliser de commandes complexes, vous pouvez utiliser notre Vérificateur de Propagation DNS. Cet outil vous permet d'effectuer des requêtes simultanées à partir de plusieurs emplacements dans le monde pour vérifier si les modifications apportées à vos enregistrements DNS sont correctes et se sont propagées à tous les résolveurs globaux autorisés.
Conclusion
La configuration de vos enregistrements DNS n'est pas un processus unique à faire et à oublier. Elle nécessite une surveillance constante et l'adoption de bonnes pratiques de sécurité, comme l'activation de l'authentification à deux facteurs (2FA) chez votre registraire de domaine, l'audit des enregistrements CNAME inutilisés et l'implémentation rigoureuse de SPF, DKIM et DMARC.
Pour approfondir le comportement des requêtes DNS, nous vous conseillons de lire nos articles sur Comment fonctionne la propagation DNS en temps réel et d'en apprendre davantage sur le Détournement de DNS (DNS Hijacking) et comment s'en défendre.
Sources et lectures recommandées :
- RFC 1035 - Domain Names - Implementation and Specification — Norme de base du système de noms de domaine.
- Wikipedia - Enregistrement DNS — Explication technique des types d'enregistrements DNS.
- Outil interne de TecnoCrypter : Vérificateur de Propagation DNS


