Connectez-vous à un serveur de messagerie et vérifiez STARTTLS
DNS et enregistrements
Lookup DNS Tous les enregistrements DNS d'un domaine Lookup d'enregistrement A Adresses IPv4 d'un domaine Lookup d'enregistrement AAAA Adresses IPv6 d'un domaine Lookup MX Serveurs de messagerie d'un domaine Lookup NS Serveurs de noms faisant autorité Lookup TXT Enregistrements TXT, SPF, vérification Lookup CNAME Enregistrements de nom canonique (alias) Lookup SOA Enregistrement Start of Authority Lookup SRV Enregistrements de localisation de service Lookup CAA Quelles CA peuvent émettre des certificats DNS inversé (PTR) Adresse IP vers nom d'hôte Vérification DNSSEC Le domaine est-il signé et validé ? Diagnostic DNS Un bilan complet de délégation et de DNSDélivrabilité des e-mails
Vérification SPF Validez votre enregistrement Sender Policy Framework Vérification DMARC Inspectez et évaluez votre politique DMARC Vérification DKIM Trouvez et validez votre clé publique DKIM Vérification de liste noire Vérifiez une IP face aux listes de blocage e-mail (DNSBL) Test SMTP Connectez-vous à un serveur de messagerie et vérifiez STARTTLS Vérification MTA-STS Politique TLS imposée pour le courrier entrant Vérification BIMI Enregistrement de logo de marque pour l'e-mail Vérification TLS-RPT Politique de rapport TLS SMTPRéseau et web
Vérification de certificat SSL Inspectez le certificat TLS d'un site et son expiration Vérification des en-têtes HTTP Inspectez les en-têtes de réponse, redirections et sécurité Ping (TCP) Accessibilité et latence via TCP Vérification de ports Quels ports courants sont ouvertsDomaine
Lookup WHOIS Données d'enregistrement pour domaines, IP et ASNCe test SMTP résout le MX principal d'un domaine, ouvre une connexion sur le port 25, lit la bannière d'accueil et la liste de capacités EHLO, et indique si le serveur propose STARTTLS pour une remise chiffrée. C'est un moyen rapide de confirmer qu'un serveur de messagerie est joignable et compatible TLS.
Lorsque vous soumettez un domaine, IPeek recherche ses enregistrements MX, sélectionne l'hôte de priorité la plus élevée, et ouvre une connexion TCP sur le port 25. Le serveur répond par une bannière d'accueil 220 qui nomme le logiciel, généralement Postfix, Exim ou Microsoft. IPeek envoie ensuite EHLO et analyse la réponse 250 multiligne énumérant les extensions prises en charge. Recherchez STARTTLS dans cette liste : il indique que le serveur peut faire passer la session en clair vers un canal TLS chiffré avant tout échange de données de messagerie. SIZE, PIPELINING et 8BITMIME apparaissent couramment à ses côtés.
Commencez par la bannière. Une réponse 220 signifie que le serveur a accepté la connexion et est prêt. Si STARTTLS apparaît dans la liste de capacités EHLO, le serveur peut chiffrer la remise entrante ; son absence signifie que le courrier peut être relayé en clair. Une expiration ou une connexion refusée pointe généralement vers un pare-feu, une cible MX erronée ou un hôte hors service. Notez que le port 25 sert à la remise de serveur à serveur, et non à la soumission depuis un client, qui utilise le 587 ou le 465. Le nom d'hôte de la bannière devrait correspondre à votre enregistrement PTR pour satisfaire les destinataires qui le vérifient.
Une connexion refusée ou expirée est la panne la plus fréquente, généralement un pare-feu bloquant le port 25 ou un enregistrement MX pointant vers le mauvais hôte. Une ligne STARTTLS manquante signifie que le serveur destinataire ne peut pas négocier TLS : ajoutez alors un certificat et activez-le dans votre MTA. Un certificat auto-signé ou expiré annonce toujours STARTTLS mais rompt les politiques TLS strictes comme MTA-STS et DANE. Si la bannière indique un nom d'hôte générique différent de votre DNS inverse, corrigez l'enregistrement PTR, car de nombreux destinataires rejettent le courrier lorsque la bannière et le PTR divergent.
La remise de courrier de serveur à serveur utilise le port 25, c'est celui auquel ce test se connecte. Les ports 587 et 465 sont réservés à la soumission de courrier depuis les clients et les applications, le 587 utilisant STARTTLS et le 465 le TLS implicite. IPeek vérifie le port 25 car c'est là que les serveurs MX destinataires acceptent le courrier entrant depuis internet.
STARTTLS fait passer une session SMTP en clair vers une connexion TLS chiffrée. Le serveur annonce STARTTLS dans sa réponse EHLO, et le serveur expéditeur émet la commande pour négocier TLS avant de transmettre la moindre donnée de message. Sans lui, le courrier traverse le réseau en clair et peut être lu ou modifié en transit. STARTTLS est opportuniste, sauf s'il est imposé par MTA-STS ou DANE.
Une expiration signifie presque toujours qu'un pare-feu bloque le port 25 ou que l'enregistrement MX pointe vers un hôte hors service ou injoignable. De nombreux réseaux résidentiels et cloud bloquent le port 25 sortant par défaut. Vérifiez que la cible MX se résout correctement, assurez-vous que le serveur de messagerie est à l'écoute, et contrôlez qu'aucun groupe de sécurité ni règle de pare-feu n'abandonne la connexion.
Cela signifie que le courrier entrant vers ce serveur peut être remis sans chiffrement, l'exposant à une interception sur le réseau. La plupart des destinataires modernes acceptent toujours le courrier, mais ils ne peuvent pas chiffrer la session. Pour corriger cela, installez un certificat TLS valide et activez STARTTLS dans la configuration de votre MTA, puis relancez le test pour confirmer que la capacité apparaît désormais.
La bannière d'accueil est la première ligne qu'un serveur de messagerie envoie après votre connexion, commençant par le code de réponse 220. Elle identifie le logiciel et le nom d'hôte du serveur et confirme que celui-ci est prêt à accepter des commandes. Les destinataires comparent souvent le nom d'hôte de la bannière à l'enregistrement PTR de l'IP qui se connecte, de sorte qu'une divergence peut déclencher un filtrage antispam ou un rejet pur et simple.