Aux débuts d’internet, un chercheur du MIT a essayé d’envoyer un email à un collègue à Stanford. Le message a rebondi. Après des heures de débogage, ils ont découvert le problème : Stanford venait de mettre en place un nouveau serveur de messagerie mais n’avait pas mis à jour ses enregistrements DNS pour le pointer. L’ancien serveur n’existait plus ; le nouveau existait mais était invisible pour le reste du monde.
C’est ce que font les enregistrements MX—ils rendent vos serveurs de messagerie visibles. Ce sont les panneaux indicateurs qui disent au reste d’internet "si vous voulez envoyer un email à ce domaine, acheminez-le ici."
Sans enregistrements MX, les emails vers votre domaine échouent tout simplement. Avec des enregistrements MX incorrects, l’email est routé vers le mauvais endroit ou nulle part. Bien les configurer est fondamental pour que l’email fonctionne tout court.
Ce que sont les enregistrements MX, concrètement
MX signifie Mail Exchanger. Un enregistrement MX est un type d’enregistrement DNS qui précise quels serveurs de messagerie acceptent les emails pour un domaine.
Quand quelqu’un envoie un email à [email protected], son serveur de messagerie doit savoir où le délivrer. Il effectue une requête DNS pour les enregistrements MX de yourdomain.com. La réponse lui indique quels serveurs gèrent l’email pour ce domaine.
Un enregistrement MX contient deux informations : un numéro de priorité et un nom d’hôte. La priorité détermine quel serveur essayer en premier (chiffres plus bas = priorité plus élevée). Le nom d’hôte identifie le serveur de messagerie réel.
Un domaine peut avoir plusieurs enregistrements MX avec des priorités différentes. Cela apporte de la redondance—si le serveur principal est indisponible, les expéditeurs essaient le serveur de secours. Cela permet aussi l’équilibrage de charge entre plusieurs serveurs.
Comment l’acheminement des emails utilise les enregistrements MX
Voyons ce qui se passe quand vous envoyez un email à [email protected].
Votre serveur de messagerie extrait le domaine de l’adresse du destinataire : example.com. Il interroge ensuite le DNS pour les enregistrements MX de ce domaine. Le DNS renvoie un ou plusieurs enregistrements MX, chacun avec une priorité et un nom d’hôte.
Votre serveur trie les enregistrements MX par priorité, du plus bas au plus élevé. Il tente ensuite de se connecter au serveur le plus prioritaire (nombre le plus bas). Si la connexion réussit, il y délivre l’email. Si elle échoue—serveur en panne, connexion refusée, délai dépassé—il essaie le serveur suivant dans l’ordre de priorité.
Si tous les serveurs MX échouent, votre serveur met le message en file d’attente et réessaie plus tard. La plupart des serveurs réessaient pendant plusieurs jours avant d’abandonner et de renvoyer le message à l’expéditeur (bounce).
Ce processus se produit pour chaque email envoyé à chaque domaine. Il est invisible pour les utilisateurs mais fondamental au fonctionnement de l’email. La requête MX est l’une des premières étapes de toute livraison d’email.
Lire les enregistrements MX
Vous pouvez consulter les enregistrements MX de n’importe quel domaine avec des outils en ligne de commande ou des vérificateurs DNS en ligne. La sortie vous montre exactement où les emails de ce domaine sont délivrés.
Un ensemble d’enregistrements MX typique peut afficher plusieurs entrées avec des priorités différentes. La priorité 10 peut pointer vers le serveur de messagerie principal, la priorité 20 vers un secondaire et la priorité 30 vers un serveur de secours tertiaire. Les numéros eux-mêmes importent peu—seul leur ordre relatif compte. 1, 2, 3 fonctionne comme 10, 20, 30.
Quand vous voyez des enregistrements MX pointant vers des services comme Google (aspmx.l.google.com) ou Microsoft (outlook.com), vous savez que le domaine utilise ces fournisseurs pour l’email. Quand vous voyez des noms d’hôte personnalisés (mail.company.com), le domaine exploite ses propres serveurs de messagerie ou utilise un service email dédié.
Certains domaines n’ont qu’un seul enregistrement MX. Cela fonctionne mais n’offre aucune redondance—si ce serveur tombe, toute la réception d’email échoue jusqu’à sa récupération. Les systèmes email de production ont généralement au moins deux enregistrements MX pour la fiabilité.
Configurer les enregistrements MX
Lorsque vous configurez l’email pour un domaine, la configuration des enregistrements MX est l’une des premières étapes.
Si vous utilisez un fournisseur d’email comme Google Workspace, Microsoft 365 ou un service email dédié, il vous donnera les enregistrements MX exacts à créer. Vous ajoutez ces enregistrements dans votre interface de gestion DNS (là où vous gérez le DNS de votre domaine).
Les enregistrements incluent généralement les noms d’hôte des serveurs de messagerie du fournisseur et des valeurs de priorité recommandées. Vous créez un enregistrement MX pour chaque nom d’hôte qu’ils spécifient, avec les priorités qu’ils recommandent.
Après avoir ajouté les enregistrements, la propagation DNS prend du temps—de quelques minutes à 48 heures, selon les paramètres de TTL et l’infrastructure DNS. Pendant cette période, certains expéditeurs peuvent encore utiliser les anciens enregistrements. Planifiez vos migrations email en conséquence.
Si vous gérez votre propre serveur de messagerie, créez des enregistrements MX pointant vers le nom d’hôte de votre serveur. Assurez-vous que ce nom d’hôte possède un enregistrement A (ou AAAA pour IPv6) pointant vers l’adresse IP du serveur. Les enregistrements MX pointent vers des noms d’hôte, pas directement vers des adresses IP.
Priorité et bascule
Le système de priorité des enregistrements MX permet un routage de mail sophistiqué.
Des priorités égales signifient un équilibrage de charge. Si vous avez deux enregistrements MX tous deux avec la priorité 10, les serveurs expéditeurs répartiront les connexions entre eux de manière approximativement équitable. Cela répartit la charge sur plusieurs serveurs.
Des priorités différentes signifient une bascule (failover). La priorité 10 est tentée en premier ; la priorité 20 seulement si la 10 échoue. Cela vous permet de désigner des serveurs principaux et de secours. Le serveur de secours peut être un serveur moins puissant, un autre data center, ou même un service de secours tiers.
Certaines organisations utilisent la priorité pour un routage géographique. Des serveurs de priorité plus basse (numéros plus petits) dans la région de l’expéditeur, des serveurs de priorité plus élevée ailleurs. Cela peut réduire la latence, même si c’est moins courant aujourd’hui car les services email cloud gèrent cela automatiquement.
Les serveurs MX de secours nécessitent une configuration soignée. Ils doivent pouvoir accepter et mettre en file d’attente le mail pour votre domaine, puis le transférer vers votre serveur principal lorsqu’il se rétablit. Des sauvegardes mal configurées peuvent devenir des aimants à spam ou créer des boucles de mail.
Erreurs courantes avec les enregistrements MX
Plusieurs erreurs de configuration MX provoquent des problèmes d’email.
Pointer des enregistrements MX vers des adresses IP au lieu de noms d’hôte ne fonctionne pas. Les enregistrements MX doivent contenir des noms d’hôte. Ces noms d’hôte ont ensuite besoin d’enregistrements A pointant vers des adresses IP. Cette résolution en deux étapes est le fonctionnement prévu du protocole.
Pointer des enregistrements MX vers des CNAME est techniquement invalide, même si certains serveurs DNS le tolèrent. Le nom d’hôte de l’MX devrait avoir un enregistrement A, pas un CNAME. Cela peut causer des problèmes de livraison subtils avec des serveurs de messagerie stricts.
Oublier de créer l’enregistrement A pour le nom d’hôte de votre serveur de messagerie casse la livraison. L’enregistrement MX pointe vers mail.yourdomain.com, mais si mail.yourdomain.com ne résout pas vers une adresse IP, les expéditeurs ne peuvent pas se connecter.
Laisser d’anciens enregistrements MX après une migration provoque une réception scindée. Certains emails vont vers votre nouveau fournisseur, d’autres vers l’ancien. Supprimez rapidement les anciens enregistrements MX lors de la migration des services email.
Définir tous les enregistrements MX avec la même priorité alors que vous voulez une bascule signifie que les serveurs sont essayés aléatoirement plutôt que dans l’ordre. Utilisez des priorités différentes si vous avez des serveurs principaux et de secours.
Enregistrements MX et sécurité email
Les enregistrements MX interagissent avec plusieurs mécanismes de sécurité de l’email.
Les enregistrements SPF référencent souvent les enregistrements MX via le mécanisme "mx". Cela autorise automatiquement vos serveurs MX à envoyer des emails pour votre domaine. Si vous changez vos enregistrements MX, votre SPF pourrait devoir être mis à jour aussi.
Les politiques MTA-STS spécifient quels noms d’hôte MX sont valides. Si votre politique MTA-STS liste des noms d’hôte spécifiques et que vos enregistrements MX pointent ailleurs, il y a un décalage qui peut provoquer des échecs de livraison.
Les enregistrements DANE/TLSA sont publiés sur des noms d’hôte dérivés des enregistrements MX. Si vous utilisez DANE pour la sécurité email, modifier les enregistrements MX implique de mettre à jour les enregistrements TLSA également.
Des attaquants essaient parfois d’exploiter les serveurs MX de secours, qui peuvent avoir une sécurité plus faible que les serveurs primaires. Assurez-vous que tous vos serveurs MX ont des configurations de sécurité équivalentes.
Enregistrements MX pour les sous-domaines
Les sous-domaines peuvent avoir leurs propres enregistrements MX, distincts du domaine parent.
Les emails envoyés à [email protected] recherchent les enregistrements MX de mail.company.com, pas de company.com. Si mail.company.com n’a pas d’enregistrements MX, l’email échoue—il ne bascule pas vers les enregistrements MX du domaine parent.
Cela permet de router différents sous-domaines vers différents systèmes de mail. Les emails marketing peuvent utiliser marketing.company.com avec un fournisseur ; les emails transactionnels peuvent utiliser notifications.company.com avec un autre.
Si vous voulez qu’un sous-domaine utilise les mêmes serveurs de mail que le domaine parent, vous devez créer explicitement des enregistrements MX pour ce sous-domaine pointant vers les mêmes serveurs. Il n’y a pas d’héritage automatique.
Certaines organisations créent des enregistrements MX pour des sous-domaines qui pointent vers des serveurs nuls ou invalides, ce qui désactive effectivement l’email pour ces sous-domaines.
Frequently asked questions
Que se passe-t-il si un domaine n’a pas d’enregistrements MX ?
Les serveurs d’envoi basculent vers l’enregistrement A du domaine et tentent de livrer directement à cette adresse IP. C’est un comportement hérité et peu fiable. Configurez toujours des enregistrements MX explicites pour les domaines qui reçoivent des emails.
Combien de temps les modifications d’enregistrements MX mettent-elles à se propager ?
Cela dépend des paramètres de TTL (Time To Live). Les changements peuvent se propager en quelques minutes ou prendre jusqu’à 48 heures. Pendant une migration, certains expéditeurs peuvent utiliser les anciens enregistrements tandis que d’autres utilisent les nouveaux. Prévoyez un chevauchement.
Puis-je avoir des enregistrements MX pointant vers différents fournisseurs ?
Techniquement oui, mais c’est inhabituel et peut prêter à confusion. Tous vos serveurs MX devraient pouvoir traiter le mail pour votre domaine de manière cohérente. Le routage scindé entre fournisseurs est complexe à gérer.
Ai-je besoin d’enregistrements MX si j’envoie uniquement des emails et n’en reçois jamais ?
Strictement parlant, non—les enregistrements MX servent à la réception. Mais avoir des enregistrements MX valides améliore votre réputation d’envoi. Certains filtres anti-spam vérifient si les expéditeurs peuvent recevoir des réponses. Envisagez de mettre en place une capacité de réception basique même pour les domaines en envoi uniquement.