Guide Complet des Types d'Enregistrements DNS : Configuration Pratique du A au CAA

Le système de noms de domaine (DNS) constitue l’infrastructure invisible qui fait fonctionner Internet. Chaque site web, chaque email, chaque service en ligne repose sur des enregistrements DNS correctement configurés. Ce guide vous accompagne à travers les 10 types d’enregistrements DNS essentiels avec une syntaxe de configuration concrète, directement applicable dans votre panneau DNS.

Tableau comparatif rapide : Les 10 types d’enregistrements DNS

1. Enregistrement A (Address Record)

Définition

L’enregistrement A est le type le plus fondamental du DNS. Il associe un nom de domaine à une adresse IPv4, permettant ainsi la résolution de noms de base sur Internet.

Syntaxe

example.com.    IN    A    192.0.2.1
www.example.com.    IN    A    192.0.2.1

Exemple pratique

; Domaine principal pointant vers le serveur web
mondomaine.fr.       300    IN    A    203.0.113.50

; Sous-domaine pour l'environnement de test
staging.mondomaine.fr.    300    IN    A    203.0.113.51

Erreurs fréquentes

• Point final oublié : Dans les fichiers de zone, le FQDN doit se terminer par un point
• Plusieurs enregistrements A sans load balancing : Résulte en round-robin, pas en véritable basculement
• TTL trop élevé lors d’une migration : Réduisez le TTL à 300s avant un changement de serveur

2. Enregistrement AAAA (IPv6 Address Record)

Définition

L’enregistrement AAAA est l’équivalent IPv6 de l’enregistrement A. Avec l’adoption croissante d’IPv6, ce type devient de plus en plus important.

Syntaxe

example.com.    IN    AAAA    2001:0db8:85a3:0000:0000:8a2e:0370:7334

Exemple pratique

; Configuration double pile (Dual-Stack)
mondomaine.fr.    3600    IN    A       203.0.113.50
mondomaine.fr.    3600    IN    AAAA    2001:db8:1::50

Erreurs fréquentes

• AAAA seul sans enregistrement A : Tous les réseaux ne supportent pas pleinement IPv6
• Compression des zéros manquante : Utilisez 2001:db8::1 plutôt que la forme longue
• Règles de pare-feu oubliées : Le pare-feu IPv6 doit être configuré séparément

3. Enregistrement CNAME (Canonical Name)

Définition

Un enregistrement CNAME crée un alias qui pointe vers un autre nom de domaine. Le résolveur DNS suit le CNAME pour déterminer l’adresse IP finale.

Syntaxe

www.example.com.    IN    CNAME    example.com.
blog.example.com.   IN    CNAME    hosting.provider.com.

Exemple pratique

; Connexion CDN
cdn.mondomaine.fr.     3600    IN    CNAME    d1234.cloudfront.net.

; Service SaaS
boutique.mondomaine.fr.    3600    IN    CNAME    shops.myshopify.com.

Erreurs fréquentes

• CNAME sur l’apex (domaine racine) : mondomaine.fr. CNAME ... est interdit par les RFC
• CNAME combiné avec d’autres enregistrements : Un CNAME ne peut pas coexister avec MX, TXT ou A
• Chaînes de CNAME : Plusieurs CNAME en cascade ralentissent la résolution

4. Enregistrement MX (Mail Exchange)

Définition

Les enregistrements MX déterminent quel serveur de messagerie reçoit les emails pour un domaine. La valeur de priorité contrôle l’ordre de livraison.

Syntaxe

example.com.    IN    MX    10    mail1.example.com.
example.com.    IN    MX    20    mail2.example.com.

Exemple pratique

; Google Workspace
mondomaine.fr.    3600    IN    MX    1     aspmx.l.google.com.
mondomaine.fr.    3600    IN    MX    5     alt1.aspmx.l.google.com.
mondomaine.fr.    3600    IN    MX    5     alt2.aspmx.l.google.com.
mondomaine.fr.    3600    IN    MX    10    alt3.aspmx.l.google.com.
mondomaine.fr.    3600    IN    MX    10    alt4.aspmx.l.google.com.

Erreurs fréquentes

• MX pointant vers une adresse IP : Le MX doit pointer vers un nom d’hôte, jamais une IP
• MX pointant vers un CNAME : Interdit selon RFC 2181
• Confusion de priorité : Priorité basse = préférence haute (1 est traité avant 10)

5. Enregistrement TXT (Text Record)

Définition

Les enregistrements TXT stockent des informations textuelles arbitraires. Ils sont principalement utilisés pour la vérification de domaine, SPF, DKIM et DMARC.

Syntaxe

example.com.    IN    TXT    "v=spf1 include:_spf.google.com ~all"

Exemple pratique

; Vérification de domaine
mondomaine.fr.    3600    IN    TXT    "google-site-verification=abc123xyz"

; Enregistrement SPF
mondomaine.fr.    3600    IN    TXT    "v=spf1 include:_spf.google.com include:sendgrid.net -all"

Erreurs fréquentes

• Plusieurs enregistrements SPF : Un seul enregistrement TXT SPF par domaine est autorisé
• Dépassement de la limite de caractères : Une chaîne TXT individuelle est limitée à 255 caractères (concaténez plusieurs chaînes)
• Guillemets oubliés : La valeur doit être encadrée de guillemets

6. Enregistrement NS (Name Server)

Définition

Les enregistrements NS délèguent une zone DNS à des serveurs de noms spécifiques. Ils déterminent quels serveurs font autorité pour un domaine.

Syntaxe

example.com.    IN    NS    ns1.example.com.
example.com.    IN    NS    ns2.example.com.

Exemple pratique

; Délégation vers Cloudflare
mondomaine.fr.    86400    IN    NS    ada.ns.cloudflare.com.
mondomaine.fr.    86400    IN    NS    bob.ns.cloudflare.com.

; Délégation de sous-domaine
api.mondomaine.fr.    86400    IN    NS    ns1.api-provider.com.

Erreurs fréquentes

• Un seul enregistrement NS : Au moins deux NS sont nécessaires pour la redondance
• Glue Records oubliés : Si le NS pointe vers un sous-domaine propre, des Glue Records sont requis chez le registrar
• NS au mauvais niveau : La délégation s’effectue dans la zone parente

7. Enregistrement SOA (Start of Authority)

Définition

L’enregistrement SOA définit les informations d’autorité d’une zone DNS, incluant le serveur de noms primaire, l’email de contact et les paramètres de timing de la zone.

Syntaxe

example.com.    IN    SOA    ns1.example.com. admin.example.com. (
                    2026052201  ; Numéro de série (AAAAMMJJNN)
                    7200        ; Refresh (2 heures)
                    3600        ; Retry (1 heure)
                    1209600     ; Expire (14 jours)
                    86400       ; TTL minimum (1 jour)
)

Erreurs fréquentes

• Numéro de série non incrémenté : Les serveurs secondaires ne détectent pas les modifications
• Format d’email incorrect : admin@example.com devient admin.example.com. (point au lieu de @)
• Expire trop court : Si le serveur primaire tombe, les secondaires abandonneront la zone

8. Enregistrement PTR (Pointer Record)

Définition

Les enregistrements PTR permettent les résolutions DNS inverses : ils associent une adresse IP à un nom de domaine. C’est essentiel pour la délivrabilité des emails.

Syntaxe

1.2.0.192.in-addr.arpa.    IN    PTR    mail.example.com.

Exemple pratique

; DNS inverse IPv4
50.113.0.203.in-addr.arpa.    3600    IN    PTR    mail.mondomaine.fr.

; DNS inverse IPv6
0.5.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa.    IN    PTR    mail.mondomaine.fr.

Erreurs fréquentes

• PTR incohérent avec l’enregistrement A : La résolution directe et inverse doivent correspondre
• PTR configuré chez le mauvais fournisseur : Le PTR se configure chez le propriétaire de l’IP (hébergeur/FAI), pas chez le registrar
• PTR manquant pour le serveur mail : Les emails sans PTR sont souvent marqués comme spam

9. Enregistrement SRV (Service Record)

Définition

Les enregistrements SRV permettent de localiser des services dans un domaine. Ils définissent l’hôte, le port, la priorité et le poids pour des services spécifiques.

Syntaxe

_service._proto.example.com.    IN    SRV    priorité    poids    port    cible

Exemple pratique

; Microsoft 365 Skype for Business
_sip._tls.mondomaine.fr.          3600    IN    SRV    100    1    443    sipdir.online.lync.com.
_sipfederationtls._tcp.mondomaine.fr.    3600    IN    SRV    100    1    5061    sipfed.online.lync.com.

; XMPP/Jabber
_xmpp-server._tcp.mondomaine.fr.    3600    IN    SRV    5    0    5269    xmpp.mondomaine.fr.

Erreurs fréquentes

• Underscore oublié : Le service et le protocole commencent par _
• Mauvaise compréhension du poids : A priorité égale, le poids distribue le trafic
• Port 0 = service désactivé : SRV 0 0 0 . désactive explicitement un service

10. Enregistrement CAA (Certificate Authority Authorization)

Définition

Les enregistrements CAA spécifient quelles autorités de certification (CA) sont autorisées à émettre des certificats SSL/TLS pour un domaine. Depuis 2017, les CA doivent vérifier les enregistrements CAA.

Syntaxe

example.com.    IN    CAA    0    issue    "letsencrypt.org"
example.com.    IN    CAA    0    issuewild    "letsencrypt.org"
example.com.    IN    CAA    0    iodef    "mailto:ssl-admin@example.com"

Exemple pratique

; Autoriser uniquement Let's Encrypt et DigiCert
mondomaine.fr.    3600    IN    CAA    0    issue       "letsencrypt.org"
mondomaine.fr.    3600    IN    CAA    0    issue       "digicert.com"
mondomaine.fr.    3600    IN    CAA    0    issuewild   "letsencrypt.org"
mondomaine.fr.    3600    IN    CAA    0    iodef       "mailto:securite@mondomaine.fr"

CA/B Forum Ballot SC-081v3 : Le nouveau calendrier des certificats

En avril 2025, le CA/Browser Forum a adopté le Ballot SC-081v3, instaurant une réduction progressive de la durée maximale des certificats :

Ce que cela signifie pour vous :

• L’automatisation devient obligatoire : le renouvellement manuel n’est plus viable avec 47 jours
• Le protocole ACME (Certbot, acme.sh) devient la norme
• Les enregistrements CAA gagnent en importance avec des émissions plus fréquentes
• La validation DNS doit fonctionner de manière fiable et rapide

# Certbot avec renouvellement automatique
certbot certonly --dns-cloudflare \
  --dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \
  -d mondomaine.fr -d *.mondomaine.fr

# Tâche cron pour vérification quotidienne
0 3 * * * certbot renew --quiet --post-hook "systemctl reload nginx"

Authentification email : SPF, DKIM et DMARC

Les exigences Google/Yahoo 2024

Depuis février 2024, Google et Yahoo exigent de tous les expéditeurs en masse (>5 000 emails/jour) :

1. SPF ou DKIM doit être validé (les deux sont recommandés)
2. Une politique DMARC doit être publiée (au minimum p=none)
3. Alignement entre l’en-tête From et le domaine authentifié
4. Désabonnement en un clic (en-tête List-Unsubscribe)

Configuration SPF

; SPF de base pour Google Workspace + emails transactionnels
mondomaine.fr.    3600    IN    TXT    "v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 -all"

Mécanismes SPF :

• include: — Inclure d’autres enregistrements SPF
• ip4: / ip6: — Autoriser des adresses IP spécifiques
• a — Autoriser l’enregistrement A du domaine
• mx — Autoriser les serveurs MX
• -all — Rejeter tout le reste (Hard Fail)
• ~all — Marquer tout le reste comme suspect (Soft Fail)

Important : Maximum 10 résolutions DNS par évaluation SPF. Chaque include: et mécanisme a/mx compte comme une résolution.

Configuration DKIM

; Sélecteur DKIM pour Google Workspace
google._domainkey.mondomaine.fr.    3600    IN    TXT    "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..."

; DKIM pour SendGrid
s1._domainkey.mondomaine.fr.    3600    IN    CNAME    s1.domainkey.u12345.wl.sendgrid.net.

Configuration DMARC

; DMARC avec reporting
_dmarc.mondomaine.fr.    3600    IN    TXT    "v=DMARC1; p=reject; rua=mailto:dmarc-rapports@mondomaine.fr; ruf=mailto:dmarc-forensics@mondomaine.fr; adkim=s; aspf=s; pct=100"

Stratégie de déploiement DMARC :

; Phase 1 : Surveillance uniquement
_dmarc.mondomaine.fr.    IN    TXT    "v=DMARC1; p=none; rua=mailto:dmarc@mondomaine.fr"

; Phase 2 : Quarantaine pour 50%
_dmarc.mondomaine.fr.    IN    TXT    "v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc@mondomaine.fr"

; Phase 3 : Rejet complet
_dmarc.mondomaine.fr.    IN    TXT    "v=DMARC1; p=reject; rua=mailto:dmarc@mondomaine.fr; adkim=s; aspf=s"

Arbre de décision : Quel type d’enregistrement utiliser ?

Vous voulez pointer un domaine vers une adresse IP ?
├── IPv4 ? → Enregistrement A
└── IPv6 ? → Enregistrement AAAA

Vous voulez pointer un domaine vers un autre domaine ?
├── Sous-domaine ? → Enregistrement CNAME
└── Domaine racine ? → Enregistrement A (ou ALIAS/ANAME selon le fournisseur)

Vous voulez recevoir des emails ?
└── Enregistrement MX + SPF (TXT) + DKIM (TXT/CNAME) + DMARC (TXT)

Vous voulez vérifier la propriété du domaine ?
└── Enregistrement TXT

Vous voulez déléguer la zone DNS ?
└── Enregistrement NS

Vous voulez publier un service avec port et priorité ?
└── Enregistrement SRV

Vous voulez contrôler l'émission de certificats SSL ?
└── Enregistrement CAA

Vous voulez configurer le DNS inverse ?
└── Enregistrement PTR (chez le fournisseur d'IP)

Exemple de configuration complète

Voici une configuration DNS complète pour un domaine professionnel avec site web, messagerie et politiques de sécurité :

; === Zone : monentreprise.fr ===
; SOA
monentreprise.fr.    86400    IN    SOA    ns1.dnshost.com. admin.monentreprise.fr. (
    2026052201 7200 3600 1209600 86400
)

; Serveurs de noms
monentreprise.fr.    86400    IN    NS     ns1.dnshost.com.
monentreprise.fr.    86400    IN    NS     ns2.dnshost.com.

; Site web (A + AAAA)
monentreprise.fr.        300     IN    A       203.0.113.10
monentreprise.fr.        300     IN    AAAA    2001:db8:1::10
www.monentreprise.fr.    300     IN    CNAME   monentreprise.fr.

; Messagerie (MX)
monentreprise.fr.    3600    IN    MX    1     aspmx.l.google.com.
monentreprise.fr.    3600    IN    MX    5     alt1.aspmx.l.google.com.
monentreprise.fr.    3600    IN    MX    5     alt2.aspmx.l.google.com.

; SPF
monentreprise.fr.    3600    IN    TXT    "v=spf1 include:_spf.google.com include:sendgrid.net -all"

; DKIM
google._domainkey.monentreprise.fr.    3600    IN    TXT    "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3..."

; DMARC
_dmarc.monentreprise.fr.    3600    IN    TXT    "v=DMARC1; p=reject; rua=mailto:dmarc@monentreprise.fr; adkim=s; aspf=s"

; CAA
monentreprise.fr.    3600    IN    CAA    0    issue       "letsencrypt.org"
monentreprise.fr.    3600    IN    CAA    0    issuewild   "letsencrypt.org"
monentreprise.fr.    3600    IN    CAA    0    iodef       "mailto:securite@monentreprise.fr"

; Services
_sip._tls.monentreprise.fr.    3600    IN    SRV    10    1    443    sip.monentreprise.fr.

Avant de configurer vos enregistrements DNS, assurez-vous que votre domaine idéal est disponible. Le vérificateur de domaines Nameslink vous permet de vérifier instantanément la disponibilité et de procéder directement à l’enregistrement.

Dépannage et outils de diagnostic

Ligne de commande

# Interroger un enregistrement A
dig example.com A +short

# Interroger tous les enregistrements d'un domaine
dig example.com ANY

# Interroger un serveur de noms spécifique
dig @8.8.8.8 example.com MX

# Vérifier la validation DNSSEC
dig example.com +dnssec

# Vérifier la propagation DNS
dig example.com A @ns1.dnshost.com
dig example.com A @8.8.8.8
dig example.com A @1.1.1.1

# Vérifier l'enregistrement SPF
dig example.com TXT | grep spf

# Interroger les enregistrements CAA
dig example.com CAA

# Vérifier le DNS inverse
dig -x 203.0.113.50

Outils en ligne

• DNS Checker : Vérifier la propagation mondiale
• MXToolbox : Valider MX, SPF, DKIM, DMARC
• Google Admin Toolbox : Analyser les enregistrements DNS
• SSL Labs : Tester la configuration des certificats

Problèmes courants et solutions

Bonnes pratiques TTL

Le Time-to-Live (TTL) détermine la durée de mise en cache des réponses DNS :

Conseil d’expert : Abaissez le TTL au moins 48 heures avant un changement DNS planifié. Le nouveau TTL bas ne prend effet qu’après l’expiration de l’ancien.

FAQ

1. Peut-on utiliser un enregistrement CNAME sur le domaine racine ?

Non, selon RFC 1034, un CNAME ne peut pas coexister avec d’autres enregistrements. Puisque le domaine racine possède toujours des enregistrements SOA et NS, un CNAME y est impossible. Certains fournisseurs DNS proposent des solutions propriétaires comme ALIAS, ANAME ou Flattening pour contourner cette limitation.

2. Que se passe-t-il sans enregistrement DMARC ?

Depuis les exigences Google/Yahoo 2024, l’absence de DMARC risque de faire rejeter vos emails ou de les faire atterrir dans le dossier spam des grands fournisseurs. Commencez au minimum avec p=none pour la surveillance et progressez vers p=reject.

3. Combien de résolutions DNS sont autorisées pour SPF ?

Maximum 10 résolutions DNS par évaluation SPF (RFC 7208). Chaque include:, a, mx et redirect compte comme une résolution. Si vous dépassez la limite, la vérification SPF échoue avec un PermError. Utilisez des outils de SPF Flattening pour résoudre les inclusions.

4. Pourquoi mes changements DNS ne sont-ils pas immédiatement visibles ?

La propagation DNS dépend du TTL de l’ancien enregistrement. Les résolveurs locaux, les caches des FAI et les caches du système d’exploitation conservent les réponses. Utilisez dig @8.8.8.8 pour des requêtes directes ou videz le cache local avec sudo dscacheutil -flushcache (macOS) ou ipconfig /flushdns (Windows).

5. Faut-il agir dès maintenant pour la politique de certificats de 47 jours ?

La transition est progressive : 200 jours à partir de mars 2026, 100 jours à partir de mars 2027, et 47 jours seulement à partir de mars 2029. Néanmoins, mettez dès maintenant en place le renouvellement automatique des certificats (par exemple avec Certbot ou acme.sh) et configurez vos enregistrements CAA. Vous serez ainsi prêt lorsque les durées courtes entreront en vigueur.

Choisir le bon domaine pour votre projet

Une configuration DNS professionnelle commence par le choix du bon nom de domaine. Que vous construisiez une nouvelle marque ou évaluiez un domaine existant :

• Rechercher et enregistrer un domaine : Avec Nameslink Quick-Buy, trouvez des domaines disponibles instantanément
• Vérifier la disponibilité : Le vérificateur de domaines affiche en temps réel quels domaines sont libres
• Estimer la valeur d’un domaine : L’évaluation de domaine aide aux décisions d’achat ou de vente

Références

• RFC 1035 – Domain Names: Implementation and Specification
• RFC 7208 – Sender Policy Framework (SPF)
• RFC 6376 – DomainKeys Identified Mail (DKIM)
• RFC 7489 – DMARC
• RFC 8659 – DNS Certification Authority Authorization (CAA)
• CA/B Forum Ballot SC-081v3
• Google Email Sender Guidelines 2024
• RFC 2782 – DNS SRV Records