Passer au contenu principal
Enregistrements DNS en suspens : suppression des CNAME inutilisés

Enregistrements DNS en suspens : suppression des CNAME inutilisés

5 mars 2026
Informations sur la sécuritéConseils techniques

Notre équipe d'assistance a récemment étudié la faille de sécurité DNS courante consistant à laisser des enregistrements CNAME inutilisés ou suspendus dans le DNS d'un domaine. Dans cet article, nous abordons les meilleures pratiques en matière d'hygiène CNAME, sous la houlette de notre spécialiste de l'assistance Steven Iacoviello.  

Qu'est-ce qu'un enregistrement CNAME (nom canonique) ?

Un enregistrement CNAME est un type d'enregistrement DNS utilisé pour mapper un domaine alias à un nom de domaine canonique/véritable. Les utilisateurs ont souvent recours aux enregistrements CNAME pour déléguer les enregistrements SPF ou DKIM à un fournisseur tiers, tel qu'un fournisseur de services de messagerie électronique, tout en conservant la politique visible alignée sur leur propre domaine pour les correspondances d'authentification. L'avantage est que cela permet au tiers de gérer vos enregistrements SPF ou DKIM à distance, ce qui simplifie la création de rapports et permet des mises à jour sans avoir à modifier les enregistrements DNS.

Comment les CNAME sont-ils utilisés dans le SPF ?

Les CNAME sont utilisés conjointement avec les enregistrements SPF pour déléguer l'autorisation d'envoyer des adresses IP à la politique SPF d'un autre domaine.

Par exemple, supposons que subdomain.example-some-group.com pointe vers le CNAME subdomain.example.com

Ensuite, le sous-domaine CNAME subdomain.example.com est redirigé vers l'enregistrement SPF suivant :
v=spf1 include:myownpersonaldomain.com include:example-pet-store.com -all enregistrement SPF. 

Par défaut, le propriétaire du sous-domaine CNAME .example.com peut ajouter n'importe quelle adresse IP dans le SPF, car il contrôle le domaine dans le CNAME.

Les dangers potentiels des enregistrements CNAME inutilisés

Un enregistrement CNAME suspendu se produit lorsqu'une organisation continue de pointer un CNAME vers un domaine, un service tiers ou une ressource cloud qu'elle n'utilise plus ou dont elle n'a plus besoin. 

Ces enregistrements peuvent être utilisés à des fins malveillantes lorsque le propriétaire du domaine CNAME change et qu'un nouvel acquéreur achète le domaine dans le but de mener des activités malveillantes.

Supposons que dans l'exemple ci-dessus, l'organisation n'utilise plus le service, mais n'ait pas supprimé le CNAME subdomain.example.com dans son DNS. Le CNAME pointe vers une ressource qui n'existe pas, la laissant en suspens. Le domaine CNAME est alors vendu à un acteur malveillant, qui peut désormais l'utiliser à des fins malveillantes. En manipulant ces enregistrements DNS, les attaquants peuvent héberger des sites malveillants, lancer des attaques de phishing et diffuser des logiciels malveillants.

Nous avons observé que le nouveau propriétaire du domaine du CNAME pointe vers un enregistrement SPF qu'il a créé et envoie des e-mails abusifs à partir de ces adresses IP. Étant donné que l'organisation pointe vers le CNAME, toutes ces adresses IP sont autorisées à envoyer des e-mails en son nom. 

Même si l'organisation a une politique DMARC de p=reject, ces e-mails abusifs envoyés sont conformes à DMARC et passeront DMARC par alignement SPF, car l'auteur des abus envoie les e-mails à partir des adresses IP qu'il a choisies.

Meilleures pratiques CNAME pour l'hygiène DNS

Une bonne hygiène DNS est importante pour surveiller les CNAME sans qu'ils ne deviennent une faille de sécurité. Voici quelques mesures à prendre pour minimiser les risques liés aux CNAME suspendus :

  1. Prévoyez des examens réguliers des fournisseurs tiers qui exploitent votre domaine afin de vous assurer qu'ils sont toujours utilisés. Lorsque vous supprimez un service, supprimez les enregistrements DNS associés afin qu'ils ne puissent pas être utilisés à des fins abusives.
  2. Vérifiez les CNAME pour vous assurer qu'ils pointent vers des domaines légitimes ; si ce n'est pas le cas, vous pouvez supprimer les CNAME superflus.
  3. Vérifiez vos enregistrements SPF et supprimez tout ce qui encombre.
  4. Déployez l'authentification des e-mails DMARC et DKIM comme mesure de sécurité essentielle. Utilisez notre vérificateur de domaine DMARC pour commencer.

Il est également judicieux de vérifier si le sous-domaine MAIL FROM obtient l'enregistrement SPF à partir d'un CNAME. Si vous constatez que l'enregistrement SPF provient d'un CNAME, vous devez examiner ce CNAME et le supprimer de votre DNS si vous apprenez que votre organisation n'utilise plus le service du CNAME. 

Gagnez en visibilité grâce à DMARC et dmarcian 

DMARC vous aide à découvrir de nouvelles sources d'e-mails et des tendances de données provenant de sources d'e-mails afin d'obtenir des informations exploitables. Utilisez notre plateforme de gestion DMARC pour vous aider à identifier les nouvelles sources inconnues. En cas d'abus DNS, vous commencerez à voir plusieurs noms PTR/serveurs et de nouvelles sources inconnues dans la vue détaillée avec un alignement SPF à 100 %, un alignement DKIM à 0 % et un sous-domaine MAIL FROM. De plus, notre plateforme détecte et surveille automatiquement les nouveaux sous-domaines afin de garantir une visibilité complète et d'identifier les risques, tels que les tentatives de phishing ou les services légitimes mal configurés.

Centre d'alertes

Basée sur les événements de domaine qui déclenchent l'envoi d'alertes, notre fonctionnalité personnalisable Alert Central vous permet de surveiller vos domaines sans avoir à vous connecter à votre compte dmarcian. Les événements peuvent inclure des enregistrements DNS nouveaux ou modifiés, ainsi que des fluctuations de volume dans les différentes catégories de trafic pour vos domaines. Il est également important de créer une alerte pour surveiller les sous-domaines inconnus, car cela pourrait signaler une utilisation abusive du CNAME.    

Les canaux de communication courants pour les alertes, tels que les e-mails, Slack, Teams ou Webhook, sont disponibles. Les alertes vous fournissent les détails de l'événement et un lien vers votre chronologie dmarcian afin que vous puissiez obtenir encore plus d'informations.

Vous pouvez configurer Alert Central pour aider à détecter les abus potentiels de domaine causés par des CNAME suspendus et d'autres failles de sécurité. Quel que soit le type d'alerte, il est important de détecter rapidement les changements et de prendre les mesures correctives nécessaires.

Nous sommes là pour aider les gens à comprendre et à déployer DMARC en toute sécurité, alors n'hésitez pas à nous contacter si vous avez des questions sur les CNAME ou nos services d'assistance.

Commencez avec notre essai de 30 jours

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.

cybersécuritéDMARCSPF

Articles connexes