Dernière mise à jour : juillet 2026

En bref : la sécurité de la couche transport protège tes e-mails contre les attaques de dégradation et de l’homme du milieu. Alors que la quasi-totalité des 25 fournisseurs prend en charge SPF, DKIM et DMARC, DANE n’est disponible que chez 3 fournisseurs (Mailcow, Microsoft 365, Infomaniak) et MTA-STS géré chez seulement 3 fournisseurs (Google Workspace, Mailcow, Microsoft 365). Retrouve ci-dessous le tableau complet des 25 hébergeurs avec les raisons techniques exactes.

Alors que SPF, DKIM et DMARC garantissent l’authenticité de l’expéditeur et l’intégrité des messages, DANE et MTA-STS sécurisent la couche transport (SMTP) entre les serveurs de messagerie. Ils imposent une connexion chiffrée TLS et empêchent les attaques de l’homme du milieu (MitM) et les déclassements de protocole.

Le déploiement de ces normes avancées dépend directement de ton hébergeur et de son architecture technique. Notre répertoire des hébergeurs montre que sur les hébergements mutualisés classiques, l’infrastructure nécessaire fait souvent défaut — qu’il s’agisse d’enregistrements TLSA signés DNSSEC sur les serveurs MX ou d’un certificat HTTPS pour le sous-domaine de politique.

Tableau complet : DANE et MTA-STS chez les 25 fournisseurs

Le tableau ci-dessous détaille le statut exact des 25 fournisseurs de notre matrice technique pour DANE entrant (via les enregistrements TLSA) et MTA-STS géré (via l’hébergement de politique et les enregistrements DNS).

FournisseurPrise en charge DANEPrise en charge MTA-STSGuides et vue d’ensemble
All-InklNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
checkdomainNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
domainfactoryNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
Google WorkspaceNon (pas de DANE entrant ; utilise MTA-STS)Oui (configurer MTA-STS)Guide MTA-STS
Hetzner DNSNon (uniquement via propre MX ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
IONOSNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
MailcowOui (configurer DANE/DNSSEC)Oui (configurer MTA-STS)DANE · MTA-STS
Microsoft 365Oui (configurer DANE/DNSSEC)Oui (configurer MTA-STS)DANE · MTA-STS
NetcupNon (uniquement via propre MX ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
StratoNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
united-domainsNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
CloudflareNon (uniquement via propre MX ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
Amazon Route 53Non (uniquement via propre MX ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
GandiNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
OVHcloudNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
GoDaddyNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
o2switchNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
LWSNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
InfomaniakOui (configurer DANE/DNSSEC)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Guide DANE
DonDominioNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
DinahostingNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
cdmonNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
Raiola NetworksNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
HostingerNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs
webgoNon (le MX n’a pas de TLSA ; vois l’aperçu)Non (pas de MTA-STS géré ; vois l’hébergement mutualisé)Aperçu des fournisseurs

Analyse technique détaillée par catégorie

1. Pourquoi la plupart des hébergeurs mutualisés ne proposent pas DANE

Pour que DANE entrant fonctionne, les serveurs de messagerie officiels de ton hébergeur (comme chez IONOS, Strato, All-Inkl, OVHcloud ou o2switch) doivent être signés avec DNSSEC et publier des enregistrements TLSA valides dans le DNS liant leurs certificats TLS. Comme expliqué dans DANE pour e-mail : qui peut l’utiliser, les grands hébergeurs mutualisés ne publient pas d’enregistrements TLSA sur leurs serveurs de courriel partagés (MX) :

  • IONOS, Strato, All-Inkl, checkdomain, domainfactory, united-domains : Les serveurs officiels n’ont pas d’enregistrements TLSA (MX has no TLSA; see overview). La mise en place de DANE pour un domaine client sur ces infrastructures partagées est techniquement impossible.
  • Gandi, OVHcloud, GoDaddy, o2switch, LWS, DonDominio, Dinahosting, cdmon, Raiola Networks, Hostinger, webgo : De la même manière, ces fournisseurs ne gèrent pas d’enregistrements TLSA sur leurs MX standards (MX has no TLSA; see overview).
  • Hetzner DNS, Netcup, Cloudflare, Amazon Route 53 : En tant que spécialistes DNS (ou en utilisation purement DNS sans boîte mail mutualisée), ces prestataires offrent un support complet de DNSSEC et des enregistrements TLSA dans leur panneau DNS. Cependant, comme ils n’opèrent pas de boîtes de réception gérées pour ton domaine, DANE s’applique uniquement si tu administres ton propre serveur MX (only via own MX; see overview).

2. Pourquoi Google Workspace et Microsoft 365 adoptent des approches différentes

Les deux grandes suites de messagerie cloud se distinguent nettement sur la sécurité de la couche transport :

  • Microsoft 365 (Exchange Online) : Microsoft prend en charge à la fois DANE entrant et MTA-STS. Tu peux activer DANE pour ton domaine personnalisé via DNSSEC et des commandes PowerShell (configurer DANE/DNSSEC chez Microsoft 365). Parallèlement, une configuration MTA-STS gérée est entièrement supportée (MTA-STS chez Microsoft 365).
  • Google Workspace : Google ne publie pas d’enregistrements TLSA pour ses serveurs MX standards (no inbound DANE; uses MTA-STS (see overview)). En revanche, Google mise entièrement sur MTA-STS comme norme standard pour forcer le chiffrement du transport (configurer MTA-STS chez Google Workspace).

3. Pourquoi MTA-STS géré est impraticable chez de nombreux hébergeurs

MTA-STS exige non seulement un enregistrement DNS TXT, mais aussi l’hébergement d’un fichier de politique (mta-sts.txt) exactement sur le sous-domaine mta-sts.tondomaine.fr en HTTPS avec un certificat SSL/TLS valide. Comme expliqué dans MTA-STS en hébergement mutualisé, cela représente un obstacle majeur sur les hébergements mutualisés standards (no managed MTA-STS; see mta-sts-shared-hosting) :

  • Des hébergeurs comme IONOS, Strato, All-Inkl, Netcup, OVHcloud ou Hostinger ne fournissent pas de service automatique pour héberger et renouveler le certificat de ce sous-domaine de politique.
  • Pour utiliser MTA-STS chez eux, tu dois créer manuellement un sous-domaine dédié avec un espace web et gérer le certificat SSL, ou faire appel à des services tiers d’hébergement de politique.

4. Serveurs auto-hébergés : Le contrôle total avec Mailcow

Si tu as besoin d’une sécurité maximale sur le transport et que tu souhaites faire tourner DANE et MTA-STS en parallèle, administrer ton propre serveur mail reste la solution la plus complète.

Avec Mailcow, tu gères ta propre suite de messagerie conteneurisée. Puisque tu contrôles à la fois la zone DNS et les certificats TLS de ton serveur MX (mail.tondomaine.fr), Mailcow génère automatiquement les enregistrements TLSA exacts pour DANE ainsi que la politique complète pour MTA-STS dans son interface d’administration (configurer MTA-STS avec Mailcow).

Vérifier ta configuration avec MXAudit

Quel que soit le fournisseur ou le standard de transport choisi, vérifie toujours ta configuration de domaine à l’aide du scanner gratuit MXAudit après avoir modifié ton DNS. L’outil effectue une analyse instantanée de toute ta pile de sécurité e-mail — vérifiant SPF, DKIM, DMARC et contrôlant immédiatement si ton domaine dispose d’enregistrements TLSA valides pour DANE et d’une politique MTA-STS fonctionnelle.

Pour aller plus loin