Dernière mise à jour : juillet 2026
En bref : la sécurité de la couche transport protège tes e-mails contre les attaques de dégradation et de l’homme du milieu. Alors que la quasi-totalité des 25 fournisseurs prend en charge SPF, DKIM et DMARC, DANE n’est disponible que chez 3 fournisseurs (Mailcow, Microsoft 365, Infomaniak) et MTA-STS géré chez seulement 3 fournisseurs (Google Workspace, Mailcow, Microsoft 365). Retrouve ci-dessous le tableau complet des 25 hébergeurs avec les raisons techniques exactes.
Alors que SPF, DKIM et DMARC garantissent l’authenticité de l’expéditeur et l’intégrité des messages, DANE et MTA-STS sécurisent la couche transport (SMTP) entre les serveurs de messagerie. Ils imposent une connexion chiffrée TLS et empêchent les attaques de l’homme du milieu (MitM) et les déclassements de protocole.
Le déploiement de ces normes avancées dépend directement de ton hébergeur et de son architecture technique. Notre répertoire des hébergeurs montre que sur les hébergements mutualisés classiques, l’infrastructure nécessaire fait souvent défaut — qu’il s’agisse d’enregistrements TLSA signés DNSSEC sur les serveurs MX ou d’un certificat HTTPS pour le sous-domaine de politique.
Tableau complet : DANE et MTA-STS chez les 25 fournisseurs
Le tableau ci-dessous détaille le statut exact des 25 fournisseurs de notre matrice technique pour DANE entrant (via les enregistrements TLSA) et MTA-STS géré (via l’hébergement de politique et les enregistrements DNS).
Analyse technique détaillée par catégorie
1. Pourquoi la plupart des hébergeurs mutualisés ne proposent pas DANE
Pour que DANE entrant fonctionne, les serveurs de messagerie officiels de ton hébergeur (comme chez IONOS, Strato, All-Inkl, OVHcloud ou o2switch) doivent être signés avec DNSSEC et publier des enregistrements TLSA valides dans le DNS liant leurs certificats TLS. Comme expliqué dans DANE pour e-mail : qui peut l’utiliser, les grands hébergeurs mutualisés ne publient pas d’enregistrements TLSA sur leurs serveurs de courriel partagés (MX) :
- IONOS, Strato, All-Inkl, checkdomain, domainfactory, united-domains : Les serveurs officiels n’ont pas d’enregistrements TLSA (
MX has no TLSA; see overview). La mise en place de DANE pour un domaine client sur ces infrastructures partagées est techniquement impossible. - Gandi, OVHcloud, GoDaddy, o2switch, LWS, DonDominio, Dinahosting, cdmon, Raiola Networks, Hostinger, webgo : De la même manière, ces fournisseurs ne gèrent pas d’enregistrements TLSA sur leurs MX standards (
MX has no TLSA; see overview). - Hetzner DNS, Netcup, Cloudflare, Amazon Route 53 : En tant que spécialistes DNS (ou en utilisation purement DNS sans boîte mail mutualisée), ces prestataires offrent un support complet de DNSSEC et des enregistrements TLSA dans leur panneau DNS. Cependant, comme ils n’opèrent pas de boîtes de réception gérées pour ton domaine, DANE s’applique uniquement si tu administres ton propre serveur MX (
only via own MX; see overview).
2. Pourquoi Google Workspace et Microsoft 365 adoptent des approches différentes
Les deux grandes suites de messagerie cloud se distinguent nettement sur la sécurité de la couche transport :
- Microsoft 365 (Exchange Online) : Microsoft prend en charge à la fois DANE entrant et MTA-STS. Tu peux activer DANE pour ton domaine personnalisé via DNSSEC et des commandes PowerShell (configurer DANE/DNSSEC chez Microsoft 365). Parallèlement, une configuration MTA-STS gérée est entièrement supportée (MTA-STS chez Microsoft 365).
- Google Workspace : Google ne publie pas d’enregistrements TLSA pour ses serveurs MX standards (
no inbound DANE; uses MTA-STS (see overview)). En revanche, Google mise entièrement sur MTA-STS comme norme standard pour forcer le chiffrement du transport (configurer MTA-STS chez Google Workspace).
3. Pourquoi MTA-STS géré est impraticable chez de nombreux hébergeurs
MTA-STS exige non seulement un enregistrement DNS TXT, mais aussi l’hébergement d’un fichier de politique (mta-sts.txt) exactement sur le sous-domaine mta-sts.tondomaine.fr en HTTPS avec un certificat SSL/TLS valide. Comme expliqué dans MTA-STS en hébergement mutualisé, cela représente un obstacle majeur sur les hébergements mutualisés standards (no managed MTA-STS; see mta-sts-shared-hosting) :
- Des hébergeurs comme IONOS, Strato, All-Inkl, Netcup, OVHcloud ou Hostinger ne fournissent pas de service automatique pour héberger et renouveler le certificat de ce sous-domaine de politique.
- Pour utiliser MTA-STS chez eux, tu dois créer manuellement un sous-domaine dédié avec un espace web et gérer le certificat SSL, ou faire appel à des services tiers d’hébergement de politique.
4. Serveurs auto-hébergés : Le contrôle total avec Mailcow
Si tu as besoin d’une sécurité maximale sur le transport et que tu souhaites faire tourner DANE et MTA-STS en parallèle, administrer ton propre serveur mail reste la solution la plus complète.
Avec Mailcow, tu gères ta propre suite de messagerie conteneurisée. Puisque tu contrôles à la fois la zone DNS et les certificats TLS de ton serveur MX (mail.tondomaine.fr), Mailcow génère automatiquement les enregistrements TLSA exacts pour DANE ainsi que la politique complète pour MTA-STS dans son interface d’administration (configurer MTA-STS avec Mailcow).
Vérifier ta configuration avec MXAudit
Quel que soit le fournisseur ou le standard de transport choisi, vérifie toujours ta configuration de domaine à l’aide du scanner gratuit MXAudit après avoir modifié ton DNS. L’outil effectue une analyse instantanée de toute ta pile de sécurité e-mail — vérifiant SPF, DKIM, DMARC et contrôlant immédiatement si ton domaine dispose d’enregistrements TLSA valides pour DANE et d’une politique MTA-STS fonctionnelle.
Pour aller plus loin
- RFC 6698 — DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA (consulté le 17 juillet 2026)
- RFC 8461 — SMTP MTA Strict Transport Security (MTA-STS) (consulté le 17 juillet 2026)
- DANE pour e-mail : qui peut l’utiliser — Guide complet sur les exigences TLSA et DNSSEC
- MTA-STS en hébergement mutualisé — Analyse technique de l’hébergement HTTPS des politiques
- Guides de sécurité e-mail par hébergeur — Vue d’ensemble des 25 fournisseurs et guides étape par étape