Fingerprinting MX : détecter les domaines jetables avant les blacklists

Le problème des listes statiques

La grande majorité des solutions de validation email reposent sur des listes noires statiques : une base de données de domaines jetables connus (Yopmail, Mailinator, Guerrilla Mail…) mise à jour périodiquement.

Cette approche fonctionne pour les domaines établis et populaires. Mais elle a un angle mort critique : les nouveaux domaines.

Chaque semaine, des centaines de nouveaux domaines jetables apparaissent. Certains sont opérationnels en quelques heures. Si votre solution ne met à jour ses listes que quotidiennement ou hebdomadairement, il existe une fenêtre d’exposition pendant laquelle des adresses de domaines nouvellement créés passent inaperçues.

La solution : ne pas se contenter de reconnaître les domaines connus, mais analyser le comportement DNS de tout domaine inconnu pour déterminer s’il présente des caractéristiques de domaine jetable. Pour comprendre pourquoi c’est critique, lisez d’abord comment les emails jetables entrent dans votre CRM et détruisent votre délivrabilité.

Qu’est-ce que le fingerprinting MX ?

Le fingerprinting MX est une technique qui consiste à analyser la configuration des enregistrements MX (Mail Exchanger) d’un domaine pour en extraire un “empreinte” révélatrice de sa nature.

Un enregistrement MX indique quel serveur de messagerie est responsable de recevoir les emails pour un domaine. Sa valeur va bien au-delà d’un simple oui/non sur la capacité à recevoir des emails.

Ce que le MX révèle :

1. L’identité du provider de messagerie : un MX pointant vers aspmx.l.google.com indique Google Workspace ; un MX vers mailinator.com indique un service de messagerie jetable connu.

2. L’infrastructure partagée : de nombreux services de messagerie jetable mutualisent leur infrastructure. Un même serveur MX peut gérer des milliers de domaines jetables différents.

3. La cohérence de la configuration : un domaine légitime a généralement plusieurs enregistrements MX (redondance), des enregistrements SPF et DMARC cohérents, et un TTL stable.

Les signaux DNS analysés

Enregistrement MX

; Domaine jetable typique
suspicious-temp.xyz.  3600  IN  MX  10  mail.shared-disposable-mx.net.

; Domaine légitime typique
entreprise.fr.  3600  IN  MX  1   aspmx.l.google.com.
               3600  IN  MX  5   alt1.aspmx.l.google.com.
               3600  IN  MX  10  alt2.aspmx.l.google.com.

Le premier exemple présente deux signaux : un MX unique (pas de redondance) et un hostname qui ne correspond à aucun provider légitime reconnu.

Enregistrement SPF

; Absence de SPF (signal de risque)
; Aucun enregistrement TXT de type "v=spf1" trouvé

; SPF jetable générique
"v=spf1 include:mail.shared-disposable-mx.net ~all"

; SPF légitime
"v=spf1 include:_spf.google.com include:sendgrid.net ~all"

L’absence de SPF est relativement rare pour les domaines légitimes actifs depuis plus de 30 jours. Pour un domaine nouvellement créé, c’est un signal ambivalent — mais combiné à d’autres facteurs, il pèse dans le score.

Enregistrement DMARC

; Absence de DMARC
; Aucun enregistrement TXT sur _dmarc.domaine.

; DMARC minimal (souvent trouvé sur les domaines douteux)
"v=DMARC1; p=none;"

; DMARC solide (domaine mature)
"v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100"

Âge du domaine (WHOIS)

Un domaine créé il y a moins de 24 heures est statistiquement très suspect. Moins de 7 jours : forte probabilité de domaine jetable ou malveillant. Moins de 30 jours : signal de vigilance.

L’analyse multi-signal

Aucun signal pris isolément n’est déterminant. C’est leur combinaison qui révèle la nature d’un domaine.

Un domaine inconnu créé il y a 3 heures, sans SPF ni DMARC, avec un MX unique non reconnu peut atteindre un score de risque élevé — bien avant d’apparaître dans la moindre blacklist. C’est là l’essence du fingerprinting : identifier une empreinte comportementale plutôt que se contenter de reconnaître un domaine déjà catalogué.

Le score de risque (0–100) et le score de délivrabilité (0–100) sont produits par le moteur d’analyse. Ils ne sont pas le résultat d’une simple addition de points — ils reflètent une qualification de l’infrastructure réelle du domaine au moment de la requête.

L’avantage du temps réel vs. les listes statiques

Comparons les deux approches sur un scénario concret : un service de messagerie jetable lance un nouveau domaine à 14h00.

Approche liste statique :

• 14h00 : domaine créé, pas encore dans les listes
• 15h00 : premières utilisations frauduleuses
• 14h00 J+1 : mise à jour nocturne des listes
• → 24 heures d’exposition

Approche fingerprinting DNS :

• 14h00 : domaine créé
• 14h01 : première requête vers Syvel → analyse DNS en temps réel → score 70/100 → bloqué
• → 0 heure d’exposition

La différence est fondamentale pour les services SaaS, plateformes e-commerce et outils de génération de leads où des milliers de formulaires sont soumis chaque heure.

Latence et mise en cache

Le fingerprinting DNS est une opération d’I/O réseau. Pour garantir une latence imperceptible dans vos formulaires, les résultats sont mis en cache de manière transparente — les domaines déjà analysés retournent une réponse quasi-instantanée, signalée par le champ cached dans l’API.

Pour un domaine jamais vu, l’analyse complète est effectuée en temps réel. C’est le prix de la détection immédiate — et c’est précisément ce qui différencie le fingerprinting d’une simple consultation de liste.

Limites et cas particuliers

Aucune technique n’est parfaite. Il existe des cas limites à connaître :

Faux positifs potentiels :

• Un domaine d’entreprise très récent (startup créée hier) peut scorer élevé sans être jetable
• Certains domaines régionaux ou de niche ont des configurations MX atypiques sans être suspects

Notre approche pour les limiter :

• Le score 100 est réservé à la blacklist confirmée — les domaines scorés haut par fingerprinting seuls n’atteignent jamais 100
• Vous pouvez configurer votre seuil de blocage (nous recommandons 80+ pour le blocage silencieux, 60-79 pour le warning)
• Une whitelist vous permet d’exclure des domaines légitimes qui triggeraient à tort

Faux négatifs potentiels :

• Un service jetable qui utilise une infrastructure légitime (Gmail aliases, Outlook throwaway addresses) ne sera pas détecté par fingerprinting MX seul — c’est pour ça qu’on combine plusieurs approches

Pourquoi c’est important pour votre produit

Si vous construisez un SaaS avec un plan gratuit, une marketplace ou un outil de génération de leads, le fingerprinting en temps réel est une couche de défense essentielle.

Les utilisateurs malveillants ne restent pas sur les domaines connus — ils s’adaptent en permanence. La seule réponse à cette adaptation est une détection elle aussi adaptative, basée sur les patterns comportementaux plutôt que sur des listes figées.

Syvel combine les deux approches : blacklist maintenue en continu et fingerprinting DNS temps réel pour les domaines inconnus. L’API retourne un risk_score, un deliverability_score, le mx_provider_label identifié, et détecte également les services d’alias de confidentialité (SimpleLogin, AnonAddy, Apple Hide My Email) qui masquent l’adresse réelle. Vous avez la meilleure couverture possible, quelle que soit la rapidité avec laquelle de nouvelles menaces émergent.

Pour aller plus loin sur les méthodes de validation disponibles, lisez notre comparatif regex, DNS, SMTP : quelle méthode de validation choisir ? Testez la détection en temps réel sur notre outil de vérification, ou consultez nos tarifs pour intégrer le fingerprinting dans votre application.