Audit DNS PME 2026 : sécuriser sa zone DNS en 1 heure

Le DNS est le point d'entrée invisible de votre IT. Mal configuré = email en spam, domaine usurpé en phishing. Audit en 1h pour PME.

1. SPF

• Quels serveurs ont droit d'envoyer pour votre domaine
• Sans SPF : n'importe qui peut spoofer votre adresse
• TXT racine : v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all
• Tester : mxtoolbox.com/SPFRecordCheck

2. DKIM

• Signe vos emails avec clé privée, récepteur vérifie via clé publique DNS
• Configuration côté provider : Google Workspace, M365, SendGrid, Resend
• Record CNAME ou TXT type : selector1._domainkey.votredomaine.com

3. DMARC

• Politique : que faire si SPF ou DKIM échoue
• TXT : _dmarc.votredomaine.com
• Démarrage : v=DMARC1; p=none; rua=mailto:dmarc@votredomaine.com
• Après 30 j observation : passer à p=quarantine puis p=reject
• Parser rapports : dmarcian.com (free tier)

4. MTA-STS

• Force TLS entre serveurs mail (équivalent HSTS pour SMTP)
• TXT _mta-sts.votredomaine.com + fichier policy HTTPS
• Optionnel mais recommandé secteurs sensibles

5. DNSSEC

• Signe records DNS pour empêcher poisoning
• Activable chez registrar (OVH, Gandi, Cloudflare)
• Attention : casser DNSSEC casse votre domaine entièrement

6. CAA

• Restreint quelle CA peut émettre certificat SSL
• Record CAA : 0 issue "letsencrypt.org"

7. Outils audit gratuits

• internet.nl — référence ANSSI
• mxtoolbox.com — SPF/DKIM/DMARC checks
• dmarcian.com — rapports DMARC
• hardenize.com — DNS + sécurité web

Conclusion

Audit DNS PME = 1h investie qui ferme 80% des vecteurs d'attaque email. SPF + DKIM + DMARC sont obligatoires (Google et Yahoo refusent emails sans depuis 2024). KOLOSALTech audite + configure votre zone DNS.