Dernière mise à jour : juillet 2026
⚠️ Risque de réception : Une chaîne DNSSEC mal configurée ou rompue (par exemple lors d’un transfert de domaine ou d’un changement de serveurs de noms sans désactivation préalable) peut amener les serveurs expéditeurs qui valident DANE à refuser la livraison de tes e-mails. Active DNSSEC en premier, vérifie chaque étape avec les commandes ci-dessous, et ne publie jamais ton propre enregistrement TLSA sur l’hébergement mutualisé Infomaniak.
En bref : DANE (DNS-based Authentication of Named Entities) lie le certificat cryptographique TLS de ton serveur de messagerie directement à ta zone DNS grâce à DNSSEC. Chez Infomaniak, le serveur MX principal (
mta-gw.infomaniak.ch) publie déjà son propre enregistrement TLSA, te permettant de bénéficier de DANE dès lors que DNSSEC est actif sur ta zone.
Prérequis
- Un nom de domaine relié à un Service Mail Infomaniak (dont les enregistrements MX pointent vers les serveurs de messagerie d’Infomaniak)
- Accès au Manager Infomaniak (
https://manager.infomaniak.com) - DNSSEC activé sur ta zone DNS dans le Manager ou chez ton bureau d’enregistrement
Qu’est-ce que DANE et DNSSEC ?
DANE est un protocole de sécurité e-mail avancé qui protège tes communications contre les attaques de l’homme du milieu (MitM) et les falsifications de certificats par des autorités de certification compromises.
Lorsqu’un serveur externe souhaite t’envoyer un e-mail, il interroge d’abord ta zone DNS en exigeant une chaîne cryptographique infalsifiable garantie par DNSSEC. Une fois DNSSEC validé, le serveur expéditeur recherche un enregistrement de type TLSA associé au serveur de messagerie entrant (MX). Cette entrée TLSA contient l’empreinte cryptographique exacte du certificat TLS que le serveur MX doit présenter lors de la connexion SMTP sur le port 25.
Si le certificat présenté par le serveur MX ne correspond pas à l’empreinte TLSA signée par DNSSEC, le serveur expéditeur interrompt immédiatement la connexion afin d’éviter toute interception.
Le point de départ chez Infomaniak
Contrairement à de nombreux hébergeurs mutualisés où DANE est indisponible, l’infrastructure d’Infomaniak est pleinement compatible avec ce standard moderne. Le serveur de messagerie entrant (MX) d’Infomaniak (mta-gw.infomaniak.ch) publie en production son propre enregistrement TLSA sur le port 25 :
3 1 1 01BBBC3A65E5F2067AA43DBAB107583E1A14567ED2569C63445D21E1 DE556926
Par conséquent, lorsque tu héberges tes e-mails sur Infomaniak en pointant vers mta-gw.infomaniak.ch, tu n’as pas besoin d’administrer manuellement la rotation de cet enregistrement TLSA sur le nom de l’hôte MX — l’équipe d’ingénierie d’Infomaniak s’en charge directement sur son propre domaine racine.
La seule condition technique pour que les serveurs expéditeurs distants (comme ceux d’organisations gouvernementales ou financières) puissent valider l’authenticité de ton enregistrement MX et de ton TLSA est que ta propre zone DNS soit signée cryptographiquement avec DNSSEC.
La gestion générale des enregistrements dans la zone DNS du Manager suit le parcours habituel :
Cliquez sur Zone DNS dans le menu latéral gauche. Cliquez le bouton pour ajouter un enregistrement: Cliquez sur le bouton radio TXT pour ajouter un enregistrement.
Guide étape par étape
1. Activer DNSSEC sur ton nom de domaine
Pour que DANE soit opérationnel, ta zone DNS doit impérativement être protégée par DNSSEC :
- Connecte-toi à ton Manager Infomaniak.
- Ouvre le menu Domaines puis sélectionne ton nom de domaine.
- Repère l’option DNSSEC dans le tableau de bord ou dans les paramètres du domaine et clique pour l’activer.
- Si ton nom de domaine est enregistré chez un bureau d’enregistrement externe (mais utilise les serveurs DNS d’Infomaniak), récupère les clés DS (Delegation Signer) affichées par le Manager Infomaniak et copie-les dans l’interface de ton bureau d’enregistrement externe pour sceller la chaîne de confiance.
2. Vérifier l’alignement du serveur MX
Vérifie dans l’onglet Zone DNS que tes enregistrements e-mail pointent vers les serveurs officiels d’Infomaniak :
dig MX example.com +short
La commande doit retourner l’hôte MX d’Infomaniak (mta-gw.infomaniak.ch.).
3. Contrôler l’enregistrement TLSA officiel
Tu peux vérifier en ligne de commande que le serveur MX d’Infomaniak présente bien son enregistrement TLSA sur le port standard de réception (port 25) :
dig TLSA _25._tcp.mta-gw.infomaniak.ch +short
La sortie doit retourner l’empreinte cryptographique gérée par Infomaniak :
3 1 1 01BBBC3A65E5F2067AA43DBAB107583E1A14567ED2569C63445D21E1 DE556926
Les composants de l’enregistrement TLSA
| Composant | Signification |
|---|---|
_25._tcp | Préfixe technique : spécifie le port SMTP standard (25) et le protocole (tcp) |
3 (Usage) | DANE-EE (Domain Issued Certificate) : valide le certificat final présenté par le serveur |
1 (Selector) | SPKI : l’empreinte porte sur la clé publique du certificat TLS |
1 (Matching) | SHA-256 : algorithme de hachage cryptographique utilisé pour produire l’empreinte |
01BBBC... | L’empreinte hexadécimale SHA-256 de la clé publique du certificat de messagerie d’Infomaniak |
Vérifier le résultat
Une fois DNSSEC activé et propagé, contrôle l’état de sécurité global de ton nom de domaine avec le scanner MXAudit gratuit — il vérifie instantanément si ta chaîne de signature DNSSEC est valide et confirme que ton serveur MX bénéficie d’une protection DANE active.
Tu peux également vérifier avec la commande delv (si disponible sur ton système) que la chaîne de confiance DNSSEC est bien validée :
delv MX example.com +short
Erreurs fréquentes
- Oublier d’activer DNSSEC : C’est de loin la cause la plus fréquente d’échec d’implémentation DANE sur Infomaniak. Sans DNSSEC actif sur ton domaine, les serveurs expéditeurs considèrent ta zone comme non sécurisée et ignorent les vérifications DANE.
- Créer un enregistrement TLSA personnalisé sur ton domaine : Ne tente jamais de créer un enregistrement
_25._tcp.tondomaine.chdans ta zone DNS lorsque tu utilises l’hébergement mutualisé d’Infomaniak. DANE vérifie le TLSA de l’hôte MX (mta-gw.infomaniak.ch), et c’est Infomaniak qui en assure la publication et la rotation sur son propre domaine. - Désactiver DNSSEC lors d’un transfert : Si tu transfères ton nom de domaine ou modifies tes serveurs de noms sans désactiver proprement DNSSEC au préalable, tu risques une rupture de la chaîne cryptographique qui empêchera la livraison des e-mails.
