NsTools, l’outil pour contrôler la configuration de votre domaine

par Altospam
nstools

Outil d'analyse de nom de domaine: Ns.Tools

Basé sur l’analyse des champs DNS du domaine, NsTools, grâce à 93 tests répartis sur les thèmes DNS, DOMAINE/IP, MAIL et WEB, classe les résultats en 3 catégories : Critique, Avertissement et Info. Ce qui permet de voir rapidement les points forts et les points faibles du domaine. Les tests et leurs résultats sont accessibles plus explicitement dans la partie « Tests » de chaque thème.

L’analyse du DNS

NsTools reconstitue la zone DNS en se basant sur les champs NS, A, AAAA, MX, CNAME, PTR et TXT et en effectuant un contrôle global des configurations depuis les serveurs racines (DNS root server) jusqu’au serveur DNS du domaine. Il s’assure qu’aucun problème de synchronisation n’est présent dans l’arbre DNS, qu’il y ait deux serveurs de noms joignables, que ces derniers soient bien sur deux réseaux différents, tout cela pour assurer un haut niveau de disponibilité.

NsTools affiche de façon claire et précise les informations de chaque champ incluant les TTL, les IPv4 ou IPv6, les données des includes et le contenu du SOA. Les adresses emails présentes doivent être valides au sens de la RFC 5322. Les durées de validité d’une zone doivent avoir ses « refresh », « retry » et « expire » compris entre certaines valeurs.

Enfin NsTools teste si le transfert de zone, les requêtes récursives et les enregistrements GLUE sont correctement configurés pour éviter la récupération facile d’informations, les attaques DDoS sur les DNS ou les problèmes de paramétrages circulaires des DNS. Ce service d’analyse de DNS en ligne fait remonter une alerte Critique si un champ peut induire une faille de sécurité.

L’analyse du Domaine

Hormis les informations classiques du whois du domaine dont la cohérence par rapport à l’arbre DNS est vérifiée, NsTools analyse la réputation du domaine et de son IP. Pour ce faire, l’analyseur en ligne requête les serveurs de DNSBL, de Google Safe Browsing, Web of Trust et VirusTotal (66 antivirus) pour savoir si le domaine testé y est listé ou bien s’il dispose d’un bon taux de confiance. Une société française sur deux se voit blacklistée au moins une fois par an. L’analyse peut aussi bien être faite sur un nom de domaine racine ou sur un sous-domaine, ou sur un host.

L’analyse du MAIL

Le mail étant devenu un moyen de communication primordial de nos jours, NsTools analyse si vos MX sont bien configurés, qu’ils ont un nom de serveur FQDN et non pas une IP (RFC 1035) ou des CNAME (RFC 1034 et 2181) et qu’un reverse soit possible.

La présence d’au moins deux serveurs SMTP, dont les adresses IP sont dans deux réseaux de classe C différents, fait aussi partie des retours d’analyse. Le service mail doit respecter les RFC 2142, 5321 pour les destinataires abuse et postmaster. L’outil vérifie si le champ SPF présent est correctement configuré. Par exemple, s’il ne possède pas de champs PTR (obsolète), si la syntaxe des adresses IPv4 ou IPv6 est correcte ou bien la présence du paramètre « all » en dernier. DKIM (RFC 6376) et DMARC (RFC 7489) sont également contrôlés. Ces trois champs ont une très grande importance pour éviter les usurpations d’identités dans l’envoi de mail.

NsTools évalue aussi le protocole SMTP et sa sécurisation au travers des différents tests comme : contrôler que le serveur ne soit pas open-relay, permettre le StartTLS, refuser les commandes EXPN et VRFY utilisées par les spammeurs pour récupérer des adresses mail valides, et accepter le HELO ou EHLO (RFC 2181). D’autres tests SMTP sont effectués afin de vérifier également la qualité de la sécurisation des serveurs de messagerie électronique.

L’analyse WEB

NsTools analyse les ports 80 et 443 pour vérifier si un site web est présent. Auquel cas, NsTools récupère automatiquement l’URL, la redirection et son code, les entêtes et la technologie utilisée. À partir de ces informations, ce service en ligne met en avant les problèmes détectés, comme la non-présence des paramètres Httponly ou Secure pour les cookies ou les entêtes manquantes comme : « X-XSS-Protection », « Content Security Policy » ou encore « Content Type Option » : il en donne une explication et un lien vers une documentation de référence.

Comment tester son domaine avec NsTools ?

Pour tester un domaine grâce ce service d’analyse en ligne, vous pouvez vous rendre soit à l’une des adresses https://Ns.Tools (en anglais) ou https://NsTools.fr (en français) soit installer l’extension NsTools pour votre navigateur en cliquant sur les liens suivants NsTools Chrome ou NsTools Firefox.

Bloquer l’analyse NsTools de son domaine

Certains webmasters ne souhaitent pas qu’un tiers puisse effectuer une analyse de son domaine, ou préfèrent éviter d’avoir un lien vers leur site même en nofollow. Dans la FAQ du site, ces derniers trouveront les procédures à mettre en œuvre pour bloquer l’analyse pour l’outil en ligne NsTools. Plusieurs solutions sont proposées pour cela afin de permettre à quiconque de les mettre en place s’il est réellement le propriétaire du domaine concerné.

En résumé, si vous avez le moindre doute sur la configuration de votre nom de domaine, ou simplement, si vous avez besoin de vérifier qu’il n’y a aucune faille de sécurité dans la configuration de vos DNS, serveurs de messagerie ou site web, testez simplement en quelques secondes votre nom de domaine avec ce service d’analyse en ligne gratuit.

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …