La présence de plusieurs centaines, voire milliers d’enregistrements DNS dans une même zone DNS ne pose pas de problème, au vu de la manière dont le DNS fonctionne. En effet, ces enregistrements DNS sont répartis de nombreux sous-domaines et types d’enregistrement différents (A, CNAME, AAAA, MX, TXT…).
Ainsi, au quotidien, les serveurs de résolution n’envoient jamais de requête portant sur l’intégralité d’une zone DNS, ils interrogent seulement l’enregistrement DNS qui les intéresse et qui a été « appelé » par le demandeur.
A côté des enregistrements DNS utilisés pour des sites web ou d’autres services, il est également courant de trouver dans une zone des enregistrements DNS dits « de validation ».
Ces enregistrements DNS, en général de CNAME ou TXT, sont demandés par des prestataires de services tiers, qui testent leur installation afin de vérifier que leur client a bien la maîtrise du nom de domaine concerné.
Si ces enregistrements ne sont utilisés qu’une seule fois, en pratique ils sont souvent laissés sur la zone DNS.
Or, le cumul progressif d’enregistrements DNS du même type sur le même domaine ou sous-domaine peut entrainer, à terme, des effets indésirables.
En effet, prenons un enregistrement aussi courant que sensible : le SPF (Sender Policy Framework). Il prend la forme d’un TXT, souvent placé sur la racine d’un nom de domaine, et permet entre autres une protection contre l’usurpation d’identité, la réduction du spam et une amélioration de la délivrabilité des emails.
Or, au fil des ans, de nombreux TXT de vérifications peuvent également être ajoutés sur la racine du nom de domaine, au fur et à mesure des demandes de prestataires tiers. Si ces TXT sont laissés sur la zone, la taille des réponses renvoyées par les serveurs de nom autoritaires aux résolveurs -lorsqu’on les interroge sur le TXT racine dans notre exemple- va également croissant.
La conséquence, passé un certain point, peut être une augmentation du nombre de « timeout » rencontrés par les résolveurs. La taille de la réponse des serveurs de noms autoritaires étant trop élevée, la réponse n’arrive pas. Par conséquent, le TXT sollicité n’est pas détecté, bien que la zone soit parfaitement fonctionnelle et les serveurs de nom opérationnels.
Si le résolveur ne peut obtenir de réponse sur le TXT du SPF, les conséquences sur l’envoi d’emails utilisant le nom de domaine dans l’adresse de l’expéditeur sont réelles.
A l’inverse, régulièrement supprimer les enregistrements DNS obsolètes d’une zone DNS permet de significativement améliorer les temps de réponse aux requêtes DNS.
Ci-dessous, nous avons observons un exemple d’avant-après constaté sur la zone DNS du nom de domaine principal d’un client. Le 21 novembre 2024, la zone DNS a été
expurgée de l’ensemble des TXT de vérification obsolètes qui étaient restés sur la racine du nom de domaine.
Le graphique ci-dessous recense le temps de réponse observés. Les lignes rouges correspondent à des « Timeout » obtenus par les sondes. Le délai de réponse peut varier selon la configuration des équipements ou services réseau qui réalisent les interrogations :
Verdict : On constate une nette amélioration des temps de réponse une fois la zone DNS « nettoyée ».
Bien que spécifique, le cas pratique ci-dessus est susceptible de se poser pour tout nom de domaine dont la zone DNS contient un trop grand nombre d’enregistrements DNS TXT obsolètes sur un même domaine.
Il semble toutefois assez facile de s’en prémunir : une suppression des enregistrements DNS obsolètes environ une fois par an semble largement suffisante à cet effet.
IP Twins vous accompagne dans la gestion de vos portefeuilles de noms de domaine et des zones y afférentes. Nos équipes sont à votre disposition pour toute question sur vos zones DNS et leur administration.