RFC 7505 : MX Null — Aucun service pour le domaine

Voie de normalisation Routage DNS et messagerie Published March 2026

ELI5: Certaines maisons n'ont pas de boîtes aux lettres parce qu'elles ne veulent pas recevoir de courrier. Avant Null MX, le facteur montait quand même à la porte, frappait, attendait, n'obtenait pas de réponse et repartait — gaspillant du temps pour tout le monde. Null MX est un panneau sur la pelouse qui dit « Pas de boîte aux lettres ici. Ne vous embêtez pas. » Le facteur voit le panneau et continue immédiatement.

Pourquoi ceci existe

Tous les domaines ne reçoivent pas d'e-mail. Un domaine utilisé uniquement pour un site web, une API, un CDN ou une enregistrement de protection de marque n'a pas besoin de courrier entrant. Mais avant la RFC 7505, il n'y avait pas de façon propre de déclarer « ce domaine n'accepte pas d'e-mail » dans DNS.

Sans signal explicite, les serveurs d'envoi rencontrant un courrier adressé à un domaine sans-mail feraient :

Revenir à l'enregistrement A/AAAA. Selon la RFC 5321, s'il n'existe aucun enregistrement MX, l'expéditeur essaie de livrer à l'adresse A ou AAAA du domaine. Cette tentative de connexion échoue (il n'y a pas de serveur SMTP à l'écoute), mais seulement après un délai d'attente — généralement 30+ secondes.
Générer du renvoi de courrier. Si un spammeur falsifie une adresse de retour au domaine sans-mail, la notification de rebond (DSN) est envoyée à l'adresse falsifiée. L'enregistrement A du domaine accepte la connexion TCP (c'est un serveur web), mais la conversation SMTP échoue. Le serveur d'envoi met en file les tentatives pendant des heures ou des jours.
Gaspiller des ressources. Chaque tentative de livraison échouée consomme des requêtes DNS, des connexions TCP et des emplacements de file d'attente sur le serveur d'envoi.

La RFC 7505 introduit l'enregistrement Null MX : une seule entrée MX avec préférence 0 et une cible . (le domaine racine). Cela indique à tout serveur d'envoi : « Ce domaine n'a pas de service de messagerie. N'essayez pas. »

Comment cela fonctionne

L'enregistrement Null MX

; Null MX — déclare que no-mail.example.com n'accepte pas d'e-mail no-mail.example.com. IN MX 0 .

L'enregistrement a deux caractéristiques déterminantes :

Préférence 0 : La priorité la plus basse possible, garantissant que cet enregistrement est traité en premier (et, puisque c'est le seul MX, en dernier).
Cible . (point) : L'étiquette racine DNS. Ce n'est pas un nom d'hôte valide et ne peut pas être résolu à une adresse IP. C'est l'équivalent DNS de /dev/null.

Comportement de l'expéditeur

Quand un serveur d'envoi recherche les enregistrements MX pour un domaine destinataire et trouve un Null MX :

Il reconnaît la cible . comme Null MX.
Il génère immédiatement un échec permanent (5.1.0 — « Autre statut d'adresse ») sans tenter aucune connexion SMTP.
L'expéditeur renvoie un rebond à l'expéditeur d'origine (ou supprime le message s'il s'agissait lui-même d'un rebond).

# Ce qu'un serveur d'envoi fait quand il rencontre Null MX : # 1. Recherche DNS dig MX no-mail.example.com no-mail.example.com. IN MX 0 . # 2. Rejet immédiat — aucune tentative de connexion SMTP # DSN généré avec code de statut 5.1.0 : 550 5.1.0 <user@no-mail.example.com>: Domain does not accept mail

Contraste : sans Null MX

Sans Null MX, voici ce qui se passe quand du courrier est envoyé à un domaine sans enregistrements MX :

# Recherche DNS — aucun enregistrement MX trouvé dig MX web-only.example.com (no answer) # Secours RFC 5321 : essayer l'enregistrement A dig A web-only.example.com web-only.example.com. IN A 93.184.216.34 # Tentative de connexion SMTP au serveur web telnet 93.184.216.34 25 (connection refused or timeout after 30+ seconds) # Mise en file pour nouvelle tentative, réessayer dans 15 minutes, 1 heure, 4 heures... # Finalement abandonner après 1-5 jours et renvoyer

Détails techniques clés

Règles pour Null MX

Le Null MX doit être l'unique enregistrement MX pour le domaine. Vous ne pouvez pas mélanger un Null MX avec des enregistrements MX réels.
La valeur de préférence doit être 0.
La cible doit être exactement . (un seul point, la racine DNS).
Si un expéditeur rencontre un Null MX, il ne doit pas revenir aux enregistrements A/AAAA. Le Null MX est définitif.

Combiné avec SPF et DMARC

Pour les domaines qui n'envoient ni ne reçoivent d'e-mail, Null MX doit faire partie d'une configuration DNS « sans e-mail » complète :

; Configuration DNS complète « pas d'e-mail » pour un domaine ; 1. Null MX — rejeter le courrier entrant immédiatement no-mail.example.com. IN MX 0 . ; 2. SPF — aucun serveur n'est autorisé à envoyer no-mail.example.com. IN TXT "v=spf1 -all" ; 3. DMARC — rejeter tout ce qui prétend être de ce domaine _dmarc.no-mail.example.com. IN TXT "v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@example.com" ; 4. Clé DKIM vide (optionnel, signale pas de signature) *._domainkey.no-mail.example.com. IN TXT "v=DKIM1; p="

Cette combinaison offre une protection complète : Null MX arrête les tentatives de livraison entrante, SPF -all indique aux récepteurs de rejeter le courrier usurpé sortant, et DMARC p=reject applique la politique avec rapport.

Codes de réponse SMTP

Statut	Code	Signification
`5.1.0`	550	Autre statut d'adresse — le domaine n'accepte pas de courrier (Null MX)
`5.1.2`	550	Mauvaise adresse du système de destination — code alternatif que certaines implémentations utilisent
`5.1.10`	550	L'adresse destinataire a null MX (défini dans la RFC 7505 spécifiquement)

Impact sur SMTP VRFY et EXPN

Si un serveur est invité à vérifier ou développer une adresse au domaine Null MX, il doit renvoyer un échec permanent. Il n'y a pas d'adresses destinataires valides au domaine qui n'accepte pas le courrier.

Erreurs courantes

Mélanger Null MX avec des enregistrements MX réels. Un Null MX doit être le seul enregistrement MX. Ajouter MX 0 . à côté de MX 10 mail.example.com crée une configuration invalide. Certains résolveurs peuvent ignorer le Null MX ; d'autres peuvent rejeter tout le courrier.
Utiliser Null MX sur un domaine qui envoie du courrier. Null MX affecte uniquement le courrier entrant. Mais de nombreux services utilisent le même domaine pour envoyer et recevoir. Si vous définissez Null MX sur votre domaine d'envoi, vous ne recevrez pas de rebonds, de notifications de statut de livraison ou de réponses à vos messages.
Oublier SPF et DMARC. Null MX empêche la livraison entrante, mais ne fait rien pour arrêter quelqu'un d'usurper le domaine en tant qu'expéditeur. Associez toujours Null MX avec v=spf1 -all et v=DMARC1; p=reject.
Utiliser MX 0 localhost au lieu de Null MX. Certains administrateurs utilisent un nom d'hôte bidon au lieu de .. Cela ne fonctionne pas comme un Null MX. Les expéditeurs essayeront de résoudre « localhost » et peuvent se connecter à leur propre interface loopback, créant des boucles de courrier.
Ne pas appliquer aux sous-domaines. Si example.com a des enregistrements MX appropriés mais unused.example.com ne les a pas, définissez Null MX sur le sous-domaine explicitement. Les sous-domaines n'héritent pas des enregistrements MX des domaines parents.
Supposer que tous les expéditeurs prennent en charge Null MX. La RFC 7505 est bien prise en charge par les MTA majeurs (Postfix, Exim, sendmail, Exchange), mais certains systèmes plus anciens ou de niche peuvent ne pas la reconnaître et reviendront aux recherches A/AAAA de toute façon.

Impact sur la délivrabilité

Traitement des rebonds plus rapide. Quand un expéditeur rencontre Null MX, il rebondit immédiatement au lieu de mettre en file d'attente pour des heures ou des jours. Cela réduit la pression sur la file d'attente de l'infrastructure d'envoi et donne à l'expéditeur d'origine des commentaires plus rapides.
Élimine le renvoi de courrier. Les spammeurs qui falsifient les adresses de chemin de retour au domaine Null MX ne déclencheront pas de tentatives de livraison. Cela protège le domaine d'être submergé par des rebonds mal adressés et protège les serveurs d'envoi de gaspiller des ressources sur du renvoi de courrier non livrable.
Protection de marque pour domaines garés. Les organisations qui enregistrent plusieurs domaines pour la protection de marque peuvent définir Null MX + SPF + DMARC sur chaque domaine inutilisé, les empêchant d'être exploités pour le phishing.
Réduit la charge DNS et réseau. Sans Null MX, un serveur d'envoi peut effectuer plusieurs tentatives de connexion sur des heures avant d'abandonner. Null MX élimine toutes ces tentatives avec une seule requête DNS.
Infrastructure d'envoi propre. Pour les fournisseurs de services de messagerie, Null MX réduit le volume de courrier non livrable dans les files d'attente sortantes, libérant des ressources pour la livraison légitime et améliorant le débit global.