Bien configurer ses DNS pour protéger son nom de domaine

La configuration DNS par défaut de votre registrar n'est jamais optimale. TTL trop courts, NS uniques, DNSSEC absent, monitoring oublié : voici les huit bonnes pratiques qui font la différence entre un domaine résilient et un domaine qui tombe au premier incident.

Par Constantin Boulanger
Publié le
Mis à jour le
8 min de lecture
configuration dns bonnes pratiques dnssec ttl monitoring

Une configuration DNS bien pensée repose sur huit décisions techniques : choix de la fréquence TTL adaptée à chaque enregistrement, redondance des nameservers, activation de DNSSEC, mise en place de SPF/DKIM/DMARC pour l'email, documentation de la zone, monitoring continu, contrôle d'accès au registrar, et plan de rollback. Sans ces fondations, votre nom de domaine reste fragile, même si tout fonctionne aujourd'hui.

La majorité des incidents DNS observés en production ne viennent pas d'attaques sophistiquées : ils viennent d'une configuration laissée par défaut, jamais auditée, jamais surveillée. Voici comment configurer vos DNS pour qu'ils restent solides en 2026.

Pourquoi la configuration par défaut ne suffit pas

Quand vous achetez un nom de domaine, votre registrar (OVH, Gandi, Namecheap, Cloudflare, etc.) configure automatiquement un set minimal d'enregistrements DNS : un A vers une page parking, deux NS sur leur infrastructure, parfois un MX par défaut. Cette configuration sert à activer le domaine, pas à protéger votre business.

Trois faiblesses systématiques de la config par défaut :

  • TTL identiques pour tous les enregistrements, souvent à 3600 s (1 heure) — pratique pour le registrar, lent pour vos déploiements.
  • Aucun DNSSEC — pas de signature cryptographique, donc impossible de détecter une falsification en transit.
  • Pas de SPF/DKIM/DMARC actifs — vos emails partent en spam, n'importe qui peut envoyer en se faisant passer pour vous.

Selon ICANN, plus de 60 % des domaines mondiaux n'ont aucun enregistrement DNSSEC actif en 2025. C'est exactement ce que les attaquants ciblent en priorité.

Les 8 bonnes pratiques de configuration DNS

1. Adapter le TTL à chaque enregistrement

Le TTL (Time To Live) détermine combien de temps un résolveur DNS conserve une réponse en cache. Plus le TTL est long, moins votre serveur DNS est sollicité, mais plus vos changements mettent du temps à se propager.

Règle pratique :

  • Enregistrements stables (NS, MX permanents) : 86 400 s (24 h)
  • Enregistrements semi-stables (A, AAAA pour le site principal) : 3 600 s (1 h)
  • Enregistrements en migration : 300 s (5 min) — temporaire pendant la bascule, puis remonter

2. Garantir la redondance des nameservers

Vos NS records doivent pointer vers au moins deux nameservers, idéalement répartis sur des infrastructures différentes (deux régions ou deux fournisseurs). Si votre seul nameserver tombe, votre domaine devient invisible.

Le RFC 2182 recommande quatre nameservers pour les domaines critiques. Cloudflare, AWS Route 53 et Google Cloud DNS proposent par défaut quatre serveurs anycast géographiquement distribués.

3. Activer DNSSEC

DNSSEC (DNS Security Extensions) signe cryptographiquement vos enregistrements DNS. Un résolveur peut alors vérifier qu'une réponse n'a pas été falsifiée en chemin (cache poisoning, MITM). C'est la défense de base contre les attaques DNS, pourtant absente de 6 domaines sur 10.

Activation : depuis votre registrar (case à cocher chez OVH, Cloudflare, Namecheap), ou via la commande dig +dnssec pour vérifier l'état actuel.

4. Configurer SPF, DKIM et DMARC

Trois enregistrements TXT qui authentifient vos emails sortants et empêchent l'usurpation de votre domaine pour du phishing :

  • SPF liste les serveurs autorisés à envoyer des emails depuis votre domaine.
  • DKIM signe cryptographiquement chaque email avec une clé privée stockée chez votre fournisseur d'envoi.
  • DMARC indique aux serveurs de réception quoi faire des emails qui échouent SPF/DKIM (rejeter, mettre en quarantaine, monitorer) et envoie des rapports.

Sans ces trois TXT, vos emails finissent en spam et n'importe qui peut usurper votre adresse.

5. Documenter votre zone DNS

Maintenir un fichier (Notion, wiki interne, dépôt Git) qui décrit chaque enregistrement, son objectif et son propriétaire. Sans documentation, personne ne sait qui a créé tel CNAME il y a deux ans, ni s'il est encore utilisé.

Bonne pratique : exporter périodiquement votre zone DNS au format BIND (dig AXFR si autorisé, ou export depuis l'admin du registrar) et la versionner en Git.

6. Mettre en place un monitoring continu

Une configuration parfaite aujourd'hui peut être modifiée demain par erreur, par un prestataire ou par une attaque. Le monitoring DNS automatisé alerte au moindre changement non autorisé. Fréquences recommandées :

  • Sites personnels : vérification quotidienne
  • Sites professionnels : toutes les 6 heures
  • Infrastructures critiques : toutes les heures
  • SaaS et services à SLA : toutes les minutes

7. Verrouiller l'accès au registrar

Le compte registrar est la porte d'entrée vers vos DNS. Quatre mesures minimales :

  • Mot de passe fort unique stocké dans un gestionnaire (1Password, Bitwarden).
  • 2FA actif (TOTP de préférence, pas SMS).
  • Registry Lock activé si proposé (verrou côté registry, modifications nécessitent une procédure manuelle).
  • Liste des emails autorisés à recevoir les notifications de changement.

8. Préparer un plan de rollback

Avant chaque modification DNS importante, exporter l'état actuel et noter les valeurs originales. En cas d'incident post-changement, la restauration prend 30 secondes. Sans backup, l'incident dure des heures.

Comment auditer votre configuration actuelle

Cinq vérifications rapides à faire maintenant :

  1. Tester DNSSEC : dig +dnssec votre-domaine.fr ou utiliser notre outil DNS Lookup gratuit.
  2. Vérifier SPF/DKIM/DMARC : tester l'envoi avec mail-tester.com.
  3. Vérifier la redondance NS : dig NS votre-domaine.fr doit retourner au moins deux serveurs distincts.
  4. Tester l'expiration du domaine : WHOIS Lookup pour vérifier la date.
  5. Activer le monitoring : si vous n'êtes pas alerté en cas de changement DNS, vous avez un angle mort.

Cas concret : ce qu'une bonne configuration empêche

Une PME e-commerce subit un changement DNS non autorisé un dimanche soir : le record A de son sous-domaine paiement.boutique.fr passe vers un serveur pirate qui clone le tunnel de paiement. Sans monitoring, elle découvre l'incident le mardi matin via un client appelant pour signaler une carte débitée à tort.

Avec les huit pratiques en place, le scénario change :

  • Le DNSSEC empêche la falsification en transit.
  • Le monitoring détecte le changement A en moins de 5 minutes et envoie une alerte.
  • Le 2FA sur le compte registrar bloque l'accès initial de l'attaquant.
  • Le registry lock force une procédure manuelle pour toute modification.

Coût des huit mesures : ~30 minutes de configuration initiale, quelques euros par mois pour le monitoring. Coût de l'incident sans elles : irréparable côté réputation.

Ce qu'il faut retenir

  • La configuration DNS par défaut du registrar n'est jamais suffisante pour un site professionnel.
  • Les huit bonnes pratiques tiennent en moins d'une heure de mise en place initiale.
  • DNSSEC et SPF/DKIM/DMARC sont absents de la majorité des domaines en 2026 — c'est une opportunité d'écart concurrentiel.
  • Le monitoring DNS continu transforme une vulnérabilité dormante en alerte actionnable.

Questions fréquentes

Combien de nameservers faut-il pour un domaine professionnel ?

Au minimum deux, idéalement quatre nameservers répartis géographiquement. Cloudflare, AWS Route 53 et Google Cloud DNS fournissent par défaut quatre serveurs anycast distribués sur plusieurs continents.

DNSSEC est-il difficile à activer ?

Non, c'est une case à cocher chez la plupart des registrars modernes (Cloudflare, OVH, Namecheap). Le seul cas complexe : si vous changez de registrar avec DNSSEC actif, il faut désactiver puis réactiver après transfert pour éviter une rupture de chaîne de signature.

Quel TTL choisir pour mes enregistrements DNS ?

Pour les enregistrements stables (NS, MX) : 24 h. Pour les enregistrements actifs (A, AAAA, CNAME) : 1 h. Pendant une migration : 5 min temporairement, puis remonter à 1 h après stabilisation. Les TTL trop courts surchargent vos résolveurs DNS.

Comment vérifier si SPF/DKIM/DMARC sont bien configurés ?

Envoyer un email test depuis votre adresse vers une adresse mail-tester.com (gratuit, vous donne un score sur 10 avec détail des points manquants), ou utiliser MXToolbox.com pour un audit complet de votre zone DNS.

Le Registry Lock est-il payant ?

Cela dépend du registrar. Chez certains (Gandi, Cloudflare Registrar) : gratuit. Chez d'autres (OVH Premium, Namecheap WhoisGuard+) : entre 10 et 50 €/an. Pour un domaine critique, c'est une assurance peu coûteuse.

Pourquoi exporter régulièrement sa zone DNS ?

Pour avoir un état de référence en cas d'incident. Si une modification non autorisée corrompt votre zone, l'export récent permet de restaurer en quelques minutes plutôt qu'en plusieurs heures de reconstruction à l'aveugle.

Passer à l'action

Une configuration DNS solide est l'investissement le plus rentable que vous pouvez faire sur votre infrastructure : quelques heures de mise en place, des risques majeurs éliminés pour des années. Si vous gérez un site professionnel ou les domaines de plusieurs clients, le monitoring continu n'est plus un luxe.

Domains Defender vérifie vos enregistrements DNS, alerte au moindre changement, et croise vos sous-domaines avec les bases threat intelligence URLhaus et Google Safe Browsing. Hébergé en France, conforme RGPD, à partir de 4,99€ HT par mois avec essai gratuit 7 jours.

Auditer votre configuration DNS gratuitement — ou démarrer la surveillance continue.

Articles similaires