À quoi servent les DNS et comment les configurer ?

Cet article n’est pas en rapport direct avec WordPress mais ce sont des questions qui reviennent souvent de la part des clients. Aujourd’hui je vais essayer de vous expliquer ce que sont les DNS et comment les modifier (et à quoi ça sert évidemment).

Les DNS, c’est quoi ?

DNS = Domain Name System. Ce sont les « entrées » d’un nom de domaine qui vont définir principalement :

• l’adresse du ou des sites internet (type A)
• les mails (type MX)
• des informations complémentaires comme les fameux champs SPF ou DKIM
• etc.

Ces « entrées » vont permettre de relier le nom de domaine à des informations. Ils servent un peu de « panneau d’indications ». Il est quand meme plus facile de taper dans son navigateur une url d’un site web ou d’envoyer un mail à toto@toto.com plutot que de taper des adresses IP avec des destinations spécifiques. Mais évidemment, ces informations, il faut bien les stocker quelque part. Et voila la vocation des entrées DNS !

Ensuite chaque entrée se compose 3 champs :

• host : ca peut être le domaine (on met souvent @ à la place) ou un sous-domaine. Par exemple www.esperluat.com est un sous-domaine du nom de domaine esperluat.com
• TTL : Time To Live : c’est le temps en secondes de « vie » d’une entrée. C’est à dire que tout changement sera pas pris en compte avant XX secondes
• valeur : la valeur associée

Comme ça, ca parait « relativement » simple. Et en fait ça l’est une fois que l’on sait comment cela fonctionne !

Ces informations sont évidemment publiques pour que toute personne en tapant un nom de domaine ou en envoyant un mail puisse avoir les bonnes informations en retour.

DNS : entrée de type A : une IP (v4 ou v6)

L’entrée A est faite pour « connecter » un nom de domaine vers une IP (ipv4 ou ipv6 mais là n’est pas le sujet). Elle permet de faire « pointer » un nom vers l’IP du serveur. Par exemple :

esperluat.com.          1508    IN      A       147.135.223.165

1. Il s’agit bien d’une entrée de type « A »
2. le host : c’est esperluat.com
3. le ttl : 0
4. la valeur : 147.135.223.165

Traduction : le nom de domaine esperluat.com (la valeur) « pointe vers l’IP » (entrée de type A) 147.135.223.165

Dans notre cas, il s’agit du site web qui est sur l’IP 147.135.223.165. Mais on peut par exemple créer un serveur FTP pour entreposer des fichiers, et le mettre sur un autre serveur. Dans ce cas, on pourrait créer un sous-domaine en ftp.esperluat.com et le faire « pointer » vers une autre IP si le serveur n’est pas le même que celui du site web. C’est pour ça qu’historiquement le www est un sous-domaine pour indiquer que c’est le site web mais cela n’a rien d’obligatoire. On peut par exemple créer des sous-domaines différents pour chaque service et les faire « pointer » vers des IPs différentes :

• www.esperluat.com –> site internet avec l’ip XX.XX.XX
• mail.esperluat.com –> serveur mail avec l’IP XX XX XX
• ftp.esperluat.com –> serveur de fichiers avec l’IP XX.XX.XX
• etc

Chaque sous domaine est associé à une IP pour des services bien distincts (même si évidemment, on peut aussi avoir les mails ET le site web sur un seul et même serveur).

DNS : entrées CNAME pour créer des « alias » (à ne pas confondre avec une redirection)

Les cname permettre de créer des alias. C’est pratique pour éviter de créer plusieurs sous-domaines vers la même IP par exemple. Si on change de serveur, cela évite de modifier toutes les entrées. Par exemple :

Traduction : le sous-domaine www.esperluat.com est un « alias » de esperluat.com. Il va « pointer » sur la même IP. Si je change l’IP du domaine esperluat.com, le www. suivra automatiquement.

Attention, cela ne signifie pas que le www.esperluat.com redirige vers esperluat.com. Cela signifie que les deux ont la même résolution d’IP. Les contenus seront donc identiques si je vais sur l’un ou sur l’autre.

Rediriger esperluat.com vers www.esperluat.com pour éviter le « duplicate content » s’opère au niveau du serveur, pas au niveau du nom de domaine.

DNS : entrée MX pour les emails

Les entrées de type MX permettent de définir quel « serveur » doit traiter les emails. Que votre boite mail soit gérée sur les services g-suite, microsoft ou tout autre fournisseur, il faut bien indiquer quel serveur mail est en charge. C’est donc le travail des entrées de type MX. On peut mettre plusieurs serveurs MX pour utiliser des serveurs de secours. On parle alors de « priorité » entre les serveurs.

esperluat.com.          3600    IN      MX      1 mail.esperluat.com.

Traduction : les mails du nom de domaine esperluat.com sont gérés par le serveur mail sur mail.esperluat.com. le 1 signifie qu’il est en priorité 1 (mais en même temps, il n’y a pas d’autre, donc on aurait pu mettre 10, cela n’aurait rien changé)

Vous voyez que dans ce cas, on a un sous-domaine qui est défini pour les emails. Mais on aurait pu avoir une cible du type « aspmx.l.google.com. » qui aurait indiqué que les mails sont gérés par Google Suite.

DNS : entrées TXT pour ajouter du « texte »

Comme son nom l’indique, l’entrée TXT permet d’ajouter du « texte ». À quoi les entrées TXT peuvent-elles bien servir ? Et bien à ajouter des informations destinées à soumettre des validations, principalement.

Par exemple, pour ajouter un domaine dans la search console de Google, il peut générer un contenu aléatoire, et demander de l’ajouter en entrée TXT. Cela permet de valider que l’on est bien le propriétaire du nom de domaine. C’est un exemple parmi tant d’autres, mais il permet aussi de mettre des informations comme les SPF ou les DKIM.

Les entrées spécifiques : les SPF (sender Policy Framework)

Cette entrée est très importante pour la bonne réception des mails. Quand ils n’arrivent pas à destination, dans 99% des cas, c’est parce que votre SPF n’est pas ou mal renseigné ! Gmail refuse depuis environ 2 ans tout mail qui n’est pas authentifié correctement avec le SPF. En gros, le SPF donne l’information de « qui » peut envoyer des mails depuis votre nom de domaine.

Traduction : pour le domaine esperluat.com, sont autorisés à envoyer des mails :

• a : l’IP du nom de domaine (en principe, le site web qui est sur le nom de domaine principale + le www)
• mx : le serveur mail (c’est préférable 🙂 )
• ptr : tous les sous domaines de esperluat.com

On peut avoir d’autre informations telles que des IPs (si vous envoyer des mails depuis des serveurs d’application spécifiques ou des mx supplémentaire. Par exemple, si votre site est configuré pour utiliser BREVO pour envoyer des mails, BREVO va vous demander de modifier les SPF de votre nom de domaine pour autoriser la plateforme à envoyer des mails en votre nom.

• le ~all signifie au destinataire que si la règle ne passe pas, il doit augmenter le score de SPAM alors que -all signifie au destinataire qu’il doit refuser le mail. Il est donc un peu moins agressif.

Encore une fois, l’entrée SPF est la plus importante pour bien s’assurer que les mails sont légitimes. En suivant bien l’entrée DKIM, qui elle est une clef et vient en complément.

Les entrées specifiques : les DKIM (DomainKeys Identified Mail)

On peut les créer soit via les entrées TXT, soit via le type d’entrée DKIM, le résultat est le même. Qu’est-ce que le DKIM et à quoi ca sert ? C’est une clef publique qui va de pair avec une clef privée, et qui sert à certifier que le mail a été émis par le bon serveur.

En gros, le fonctionnement : le serveur qui émet le mail « cache » dans le mail une clef (suite de caractères) correspondante avec la clef que l’on configure dans nos DNS. Il y a donc 2 parties : une dans le mail et l’autre dans les informations DNS. Le destinataire vérifie la concordance des 2. Pourquoi ? pour s’assurer que le mail est authentique ! Je peux par exemple envoyer un mail depuis jean-luc@toto.com mais si mon mail n’a pas la bonne clef, le destinataire va évidemment reconnaitre que je ne suis pas un emetteur certifié de toto.com.

On peut avoir plusieurs clefs DKIM pour un nom de domaine : si le serveur web et le serveur mail certifient les envoient de mail avec une clef DKIM, on peut utiliser les sous-domaines pour les distinguer.

Traduction : le site internet envoie des mails certifiés avec une clef correspondante à la clef publique MIGf……. que l’on retrouve dans l’enregistrement du sous domaine default._domainkey.esperluat.com.

Si vous choisissez de passer par une plateforme d’envoi de mail, elle va vous demander de configurer les DKIM pour certifier que les mails qui passent par leur plateforme sont bien légitimes. Maintenant, vous savez ce que c’est !

Conclusion

Les DNS sont des informations à ne pas négliger lorsque vous avez une présence en ligne. Si vous avez un woocommerce ou toute autre boutique en ligne, alors il est indispensable de configurer correctement vos SPF et DKIM pour vous assurer une bonne déliverabilité de vos e-mails.

Pensez également à vérifier vos noms de domaines avec et sans www, on voit encore beaucoup de site dont les deux ne sont pas bien configurés.

En vrac quelques outils :

• https://www.mail-tester.com/ : permet de tester si vos mails sont correctement configurés
• https://mxtoolbox.com/SuperTool.aspx : le couteau suisse des vérifications des entrées de nom de domaine
• https://www.geolocation.com/fr/index : pas en rapport direct avec les DNS mais permet de savoir d’ou vient une IP