Vérificateur global d'enregistrement MX
L'enregistrement MX (Mail Exchanger) est le protocole de routage fondamental pour le trafic SMTP entrant. Lorsqu'un Mail Transfer Agent (MTA) externe — comme Google Workspace ou Microsoft Exchange — doit livrer un e-mail à user@example.com, il effectue une recherche DNS sur la zone de example.com en demandant spécifiquement les enregistrements MX. Le payload résultant fournit une liste de noms d'hôtes autorisés à accepter du courrier pour le compte de cette organisation.
Entiers de priorité et Failover SMTP
Contrairement aux enregistrements A standards, les enregistrements MX implémentent une hiérarchie native utilisant des entiers de priorité (par exemple, 10, 20, 50). Cet entier dicte la préférence de connexion. Le MTA expéditeur tentera toujours d'établir un TCP handshake sur le port 25 avec le serveur possédant la valeur numérique la plus basse. Si ce serveur principal refuse la connexion, expire (timeout) ou renvoie une erreur 4xx temporaire, le MTA se rabat automatiquement sur l'enregistrement avec le numéro le plus bas suivant. Configurer plusieurs enregistrements MX avec exactement le même entier de priorité permet un load balancing Round Robin rudimentaire pour les flux de messagerie entrants.
La violation de l'IP nue (RFC 1035)
L'une des erreurs de configuration les plus courantes commises par les sysadmins juniors est de faire pointer un enregistrement MX directement vers une adresse IPv4. Selon les normes DNS strictes (RFC 1035), la cible d'un enregistrement MX doit être un nom d'hôte canonique, jamais une IP. Par exemple, faire pointer un MX vers 192.168.1.50 viole le protocole. Il doit pointer vers un nom d'hôte comme mail.example.com, qui se résout ensuite en IP via un enregistrement A. Les filtres anti-spam d'entreprise stricts et les systèmes de détection d'intrusion (IDS) supprimeront agressivement les e-mails provenant de ou routés vers des domaines avec des cibles MX basées sur des IP.
Enregistrements Null MX (RFC 7505) et atténuation du spam
Si un domaine est strictement utilisé pour le trafic web et n'est jamais destiné à recevoir des e-mails, il est très vulnérable au backscatter spam. Les attaquants usurperont (spoof) le domaine dans le spam sortant, provoquant l'afflux de milliers de messages de rebond automatisés vers le domaine. Pour atténuer cela, les administrateurs déploient un enregistrement "Null MX". En configurant un seul enregistrement MX avec une priorité de 0 et une cible de . (la racine), vous indiquez mathématiquement à tous les serveurs de messagerie mondiaux que le domaine n'accepte pas les e-mails, les forçant à abandonner les messages instantanément sans tenter de livraison.