RFC 5782 : Listes noires et blanches basées sur le DNS

Informatif Routage DNS et messagerie Published March 2026

ELI5: Imaginez un annuaire téléphonique partagé qui signale quels numéros de téléphone sont des démarcheurs connus. Quand vous recevez un appel, vous consultez le numéro. Les DNSBL fonctionnent de la même manière — les serveurs de messagerie recherchent l'adresse IP d'un expéditeur dans une liste basée sur le DNS pour décider si le message est probablement du spam ou légitime, tout cela en millisecondes en utilisant des requêtes DNS normales.

Pourquoi cela existe

Le filtrage des spams nécessite des données de réputation en temps réel sur les adresses IP et domaines expéditeurs. Avant les DNSBLs, chaque organisation devait maintenir sa propre liste de blocage. Cela ne s'adapte pas — il y a des milliards d'adresses IP et des milliers de serveurs de messagerie qui ont besoin des mêmes informations.

Les listes basées sur DNS résolvent ce problème en publiant les données de réputation comme enregistrements DNS. N'importe quel serveur de messagerie peut les interroger pendant une transaction SMTP avec une latence quasi nulle, en utilisant l'infrastructure DNS sur laquelle il repose déjà. RFC 5782 documente le fonctionnement de ces listes, couvrant :

Le format de requête DNS pour rechercher des adresses IP et des domaines
Comment les codes de retour codent les raisons du listage
La différence entre les listes noires (DNSBLs) et les listes blanches (DNSWLs)
Les attentes opérationnelles pour les opérateurs de listes

Comment ça marche

Pour interroger un DNSBL, le serveur de messagerie récepteur inverse les octets de l'adresse IP de l'expéditeur et ajoute le nom de zone de la liste, puis effectue une recherche d'enregistrement DNS A.

Recherche d'adresse IP

Pour vérifier si 203.0.113.42 est listé sur zen.spamhaus.org :

Requête :   42.113.0.203.zen.spamhaus.org  A
Réponse :  127.0.0.2

Les octets sont inversés (comme les enregistrements PTR in-addr.arpa). Une réponse dans la plage 127.0.0.0/8 signifie que l'IP est listée. La valeur de retour spécifique code la raison du listage. Une réponse NXDOMAIN signifie que l'IP n'est pas listée.

Significations des codes de retour (exemple Spamhaus)

Code de retour	Liste Spamhaus	Signification
`127.0.0.2`	SBL	Source de spam directe, vérifiée
`127.0.0.3`	SBL CSS	Source de spam identifiée par des systèmes automatisés
`127.0.0.4`	XBL (CBL)	Hôte compromis (malware, botnet, proxy ouvert)
`127.0.0.10`	PBL	Plage d'adresses IP d'utilisateur final, ne devrait pas envoyer de courrier directement

Enregistrement TXT pour les détails

Une recherche TXT correspondante retourne une explication lisible par l'homme et souvent une URL pour le retrait de la liste :

Requête :   42.113.0.203.zen.spamhaus.org  TXT
Réponse :  "Listed at https://www.spamhaus.org/query/ip/203.0.113.42"

Recherches basées sur le domaine

Certaines listes (comme Spamhaus DBL ou SURBL) listent les noms de domaine plutôt que les IP. Le domaine est ajouté directement à la zone de liste :

Requête :   baddomain.example.dbl.spamhaus.org  A
Réponse :  127.0.1.2  (domaine de spam)

Détails techniques clés

Principaux DNSBLs utilisés dans la messagerie

Liste	Type	Ce qu'elle liste
Spamhaus ZEN	Liste noire d'IP	SBL + XBL + PBL combiné (le plus largement utilisé)
Spamhaus DBL	Liste noire de domaine	Domaines trouvés dans le contenu et les en-têtes de spam
Barracuda BRBL	Liste noire d'IP	IPs envoyant du spam aux honeypots Barracuda
SpamCop	Liste noire d'IP	IPs signalées par les utilisateurs de SpamCop (expire automatiquement)
SURBL	Liste noire d'URI	Domaines trouvés dans le corps des messages de spam
dnswl.org	Liste blanche d'IP	Expéditeurs de messagerie légitimes vérifiés (DNSWL)

Mécanique des requêtes

Réponse dans 127.0.0.0/8 — L'IP est listée. L'adresse spécifique code la raison.
NXDOMAIN — L'IP n'est pas listée. C'est la réponse attendue pour les IPs propres.
SERVFAIL / délai d'attente — La liste est inaccessible. Doit être traitée comme « non listée » pour éviter de bloquer tout le courrier en cas de panne.
127.255.255.254 — Certaines listes retournent ceci pour les requêtes de test afin de confirmer que votre DNS fonctionne.

Support IPv6

Les adresses IPv6 sont développées en forme complète de 32 nibbles, inversées nibble par nibble, et ajoutées à la zone. Par exemple, 2001:db8::1 devient :

Requête :   1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.zen.spamhaus.org  A

Erreurs courantes

Bloquer la messagerie en cas d'échec DNS. Si une requête DNSBL expire ou retourne SERVFAIL, l'action correcte est de traiter l'IP comme non listée. Bloquer la messagerie parce que la liste est inaccessible causera des faux positifs massifs en cas de panne de la liste.
Ne pas vérifier vos propres IPs de manière proactive. Si votre IP d'envoi se retrouve sur Spamhaus ou Barracuda, vous ne recevrez pas de notification. Surveillez vos IPs régulièrement avec des vérifications automatisées.
Ignorer les listes PBL. La PBL Spamhaus liste les plages d'adresses IP désignées pour l'accès des utilisateurs finaux (haut débit résidentiel, mobile). Être sur la PBL ne signifie pas que vous êtes un spammeur — cela signifie que vous devriez envoyer via un relais de courrier autorisé, pas directement.
Utiliser trop de DNSBLs simultanément. Chaque liste a des politiques, une précision et des taux de faux positifs différents. Utiliser des listes obscures ou mal entretenues augmente les faux positifs. Tenez-vous aux listes bien établies.
Ne pas demander le retrait après résolution du problème. La plupart des DNSBLs vous demandent de soumettre une demande de retrait après avoir résolu le problème sous-jacent. Certains (comme SpamCop) expirent automatiquement, mais d'autres (comme Spamhaus SBL) nécessitent une action manuelle.

Impact sur la délivrabilité

Les listes DNSBL sont des urgences de délivrabilité. Un listage Spamhaus SBL entraînera un rejet immédiat chez la plupart des grands fournisseurs de messagerie et des passerelles d'entreprise. Un listage sur un DNSBL majeur est l'événement négatif le plus impactant pour votre infrastructure d'envoi.
Plusieurs listes composent l'effet. De nombreux filtres anti-spam utilisent un système de notation : un listage sur un DNSBL ajoute des points, un listage sur deux ou trois peut vous faire dépasser le seuil de spam même si un seul listage ne vous bloquerait pas.
Les DNSWLs fournissent une réputation positive. Être listé sur dnswl.org ou des listes blanches similaires vous donne un signal de réputation positive. Certains systèmes récepteurs utilisent ceux-ci pour accélérer la livraison pour les expéditeurs connus comme bons.
Les IPs partagées amplifient le risque. Si vous envoyez à partir d'adresses IP partagées, le mauvais comportement d'un autre expéditeur peut faire lister l'IP, affectant votre délivrabilité. C'est un avantage clé des IPs d'envoi dédiées pour les expéditeurs à haut volume.
La surveillance est non-négociable. Vérifiez vos IPs d'envoi par rapport aux DNSBLs majeurs quotidiennement. De nombreux services de surveillance de délivrabilité automatisent ceci. Détecter un listage rapidement — en quelques heures — limite les dégâts.