L'enregistrement DNS de type TXT permet d'ajouter des informations texte et des notes à la configuration DNS d'un domaine.
Qu'est-ce qu'un enregistrement DNS TXT ?
L'enregistrement TXT pour « texte » (Descriptive text / Texte descriptif) permet d'ajouter des informations de texte destinées à des sources extérieures, humains et.ou machines.
Il permet de stocker des notes dans l'enregistrement et sur la configuration DNS d'un domaine.
Un domaine peut avoir plusieurs enregistrements TXT.
Ces enregistrements sont souvent utilisés pour la sécurité des emails, la prévention du spam, et pour la vérification et la validation de la propriété d'un domaine.
Le champ « valeur » d'un enregistrement TXT n'accepte que du texte et des « chaînes de caractères ». Il peut s'agir de n'importe quel texte à associer à un domaine. Généralement, les serveurs DNS imposent une limite à la taille des enregistrements TXT et au nombre de caractères qu'ils peuvent stocker. Plus d'infos ici (RFC 1035).
Exemple d'enregistrement TXT :
| exemple.com | type d'enregistrement | valeur | TTL |
|---|---|---|---|
| @ | TXT | Ce domaine est super ! 5 étoiles | 33200 |
Quel type de données peut-on ajouter dans un enregistrement TXT ?
La RFC 1035 indique que le champ « valeur » d'un enregistrement TXT n'accepte que du texte et des « chaînes de caractères ». Il peut s'agir de n'importe quel texte à associer à un domaine.
Généralement, les serveurs DNS imposent une limite à la taille des enregistrements TXT et au nombre de caractères qu'ils peuvent stocker (souvent 255 caractères).
Comment les enregistrements TXT sont utilisés pour la sécurité des emails et la prévention du spam ?
Les pirates et spammeurs essaient souvent d'usurper l'identité d'un domaine et de falsifier les adresses de messagerie et.ou les domaines à partir desquels ils envoient leurs spams. Les enregistrements TXT constituent un élément clé de plusieurs méthodes d'authentification (voir ci-dessous) de la messagerie électronique qui aident à authentifier les emails, et permettent à un serveur de messagerie de déterminer si un message est légitime ou non, et provient bien d'une source (serveur) fiable et autorisée pour le domaine concerné.
Les méthodes courantes d'authentification des e-mails sont le SPF (Sender Policy Framework), le DKIM (Domain Keys Identified Mail), et le DMARC (Domain-based Message Authentication, Reporting & Conformance). La mise en place et la bonne configuration de ces enregistrements de sécurité, permettent aux gestionnaires de domaines d'empêcher l'usurpation de leur messagerie et de leurs domaines, et d'avoir un suivi des éventuelles tentatives d'usurpation.
Enregistrement SPF : Un enregistrement SPF (TXT) répertorie tous les serveurs autorisés à envoyer des e-mails à partir d'un domaine.
Enregistrement DKIM : DKIM fonctionne en signant numériquement chaque e-mail à l'aide d'une paire de clés publique-privée. Cela permet de vérifier que l'e-mail est légitime, et provient bien du domaine qu'il prétend être et du serveur associé. La clé publique est hébergée dans un enregistrement TXT associé au domaine. La clé privée correspondante étant sur le serveur de messagerie (en savoir plus sur le chiffrement à clé publique).
Enregistrement DMARC : DMARC est un protocole d’authentification des emails, de stratégie de messagerie et de compte rendu de messagerie pour une meilleure sécurisation de l’internet et des échanges. La mise en place d’un enregistrement DMARC nécessite la mise en place préalable des enregistrements SPF et DKIM. Un enregistrement DMARC (TXT) fait référence aux politiques SPF et DKIM du domaine. La « valeur » de l'enregistrement correspond à la politique DMARC du domaine, c'est-à-dire la politique d'authentification des emails et de traitement des emails non-alignés ou "contrevenant" à ce qui est défini dans le SPF et le DKIM (vous pouvez consulter un guide pour créer une politique DMARC ici).
Comment les enregistrements TXT permettent de vérifier la propriété d'un domaine ?
De nombreux outils, applications et services connectés à votre domaine nécessitent aujourd'hui de valider et prouver la propriété d'un nom de domaine pour fonctionner, comme par exemple des services de messagerie ou bien d'emailing qui demandent une configuration DNS particulière.
En ajoutant un enregistrement TXT qui contient une valeur et des informations spécifiques à la configuration DNS de votre domaine, vous pouvez ainsi prouver que vous administrez et contrôlez le domaine concerné, et que vous en avez donc la propriété. L'outil, l'application ou le fournisseur de services peut alors interroger la zone DNS de votre domaine et vérifier la présence (ou parfois la modification) de l'enregistrement TXT demandé. C'est une procédure identique à la confirmation d'une adresse e-mail, qui consiste à recevoir un e-mail de validation et à cliquer sur un lien contenu envoyé à l'adresse e-mail à valider, pour prouver la propriété de l'adresse.