Dernière mise à jour : juillet 2026
En bref : UCEPROTECT classe ses listes selon trois niveaux distincts : le Niveau 1 cible des adresses IP individuelles pour des abus directs, tandis que les Niveaux 2 et 3 bloquent des sous-réseaux entiers ou des systèmes autonomes (ASN). En raison de son système controversé d’exclusion payante (
whitelisted.org) et de ses dommages collatéraux assumés, les inscriptions de Niveau 2 et de Niveau 3 sont ignorées par les grands fournisseurs de messagerie et ne doivent jamais être payées.
Rencontrer des journaux de rejet faisant référence à dnsbl-1.uceprotect.net, dnsbl-2.uceprotect.net ou dnsbl-3.uceprotect.net alarme fréquemment les administrateurs de serveurs de messagerie. UCEPROTECT est l’une des listes de blocage basées sur le DNS (DNSBL) les plus controversées du secteur. Pour évaluer correctement son impact, les administrateurs doivent distinguer ses trois paliers d’escalade.
Les 3 niveaux de UCEPROTECT expliqués
Niveau 1 — Inscription d’adresse IP individuelle
Le Niveau 1 vise spécifiquement et uniquement l’adresse IP directement responsable de la transmission de trafic malveillant ou d’abus. Dans la documentation officielle, les déclencheurs exacts sont définis :
IP's get listed in Level 1 automatically if they either try to deliver e-mails to spamtraps or if they try to break an SPF Record by forwarding mail that is forbidden by the SPF-Record or if they falsify senders with SRS while no SPF is set for the sender domain or if they are involved in port scans or probes or any kind of attacks against our servers.
Niveau 2 — Escalade au sous-réseau
Lorsque plusieurs adresses IP au sein d’un même bloc réseau déclenchent des alertes de Niveau 1, UCEPROTECT étend le blocage aux adresses IP voisines de l’allocation :
Level 2 escalates within allocation
Niveau 3 — Blocage de systèmes autonomes (ASN)
Le Niveau 3 pénalise l’intégralité du système autonome (ASN) d’un fournisseur d’hébergement ou de cloud, listant souvent des centaines de milliers d’adresses IP n’ayant aucun lien entre elles chez des hébergeurs comme Hetzner, OVHcloud, DigitalOcean ou Linode. UCEPROTECT reconnaît explicitement la nature indiscriminée de ce palier :
Level 3 lists IP Space of the worst ASN's. This blacklist has been created for HARDLINERS. It can, and probably will cause collateral damage to innocent users when used to block email.
Vérification du statut et système d’exclusion payante (whitelisted.org)
Tu peux vérifier gratuitement si ton adresse IP figure sur l’une des zones UCEPROTECT via www.uceprotect.net. Cependant, les procédures de résolution diffèrent radicalement selon le niveau d’inscription :
- Pour le Niveau 1 : Une fois la vulnérabilité sous-jacente ou la boucle de transfert corrigée, l’adresse IP unique expire automatiquement après 7 jours consécutifs de trafic propre. Une option de suppression express payante est également proposée par l’opérateur.
- Pour les Niveaux 2 et 3 : Comme ces paliers bloquent des sous-réseaux et des centres de données entiers sur la base du comportement d’autres clients hébergés chez le même fournisseur, un administrateur individuel ne peut techniquement pas corriger la cause racine. À ce stade, UCEPROTECT redirige les utilisateurs vers sa plateforme commerciale d’exclusion,
whitelisted.org:This means if your Netrange or Provider gets listed in UCEPROTECT Level 2 or 3, then your IP will by excluded and marked as clean, if registered with us. This is done as long as your subscription is valid and your system is NOT listed in UCEPROTECT Level 1 for abuse.
Dans le cadre de ce modèle, il est demandé aux administrateurs de verser des frais d’abonnement récurrents afin d’exempter leurs adresses IP propres des blocages réseau globaux de Niveau 2 et 3 causés par des tiers n’ayant aucun lien avec eux.
Verdict honnête : Dois-tu t’en soucier ?
- Pour le Niveau 1 : OUI. Une inscription de Niveau 1 indique une véritable mauvaise configuration technique ou une compromission de sécurité provenant de ton serveur (comme l’envoi vers des pots de miel, la rupture d’enregistrements SPF lors de transferts sans SRS ou des balayages de ports). Corrige le problème sous-jacent et patiente pendant le délai d’expiration de 7 jours.
- Pour le Niveau 2 & le Niveau 3 : NON — ne paie jamais ! Tu dois totalement ignorer les inscriptions de Niveau 2 et de Niveau 3. Les fournisseurs de messagerie majeurs et réputés — incluant Google Workspace, Microsoft 365, Apple iCloud et Yahoo — n’utilisent pas les Niveaux 2 et 3 d’UCEPROTECT dans leurs pare-feu anti-spam en raison des dommages collatéraux intentionnels (
can, and probably will cause collateral damage to innocent users) et de son modèle d’abonnement payant. Si un serveur récepteur secondaire rejette ton e-mail à cause du Niveau 2 ou du Niveau 3, la mauvaise configuration incombe à son adoption excessive d’une liste de blocage peu fiable. Ne paie jamais les frais d’exclusion surwhitelisted.org.
Vérification de ta configuration
Pour t’assurer que ton serveur de messagerie gère correctement les transferts sans rompre les enregistrements SPF et publie des politiques d’authentification DKIM et DMARC conformes, lance un audit instantané avec le scanner gratuit MXAudit.
Pour aller plus loin
- UCEPROTECT — Level 1 Listing Criteria and Automatic Expiration (consulté le 17 juillet 2026)
- UCEPROTECT — Level 2 Escalation Across Allocations (consulté le 17 juillet 2026)
- UCEPROTECT — Level 3 ASN Blocks and Collateral Damage (consulté le 17 juillet 2026)
- whitelisted.org — Paid Subscription Exclusion Policies for Level 2/3 (consulté le 17 juillet 2026)