Qu'est-ce que le DNS inverse ?

Le **DNS inverse** c'est juste un raccourci pour "faire un lookup PTR". C'est l'inverse d'un lookup normal. Lookup normal : hostname → IP. Lookup inverse : IP → hostname. La raison technique pour laquelle les deux directions existent c'est que les **serveurs mail, outils de détection d'intrusion, et beaucoup de systèmes de logging** veulent savoir qui est à l'autre bout d'une connexion sans faire confiance uniquement au hostname que le client prétend être.

Qu'est-ce que FCrDNS et pourquoi les serveurs mail l'exigent ?

**FCrDNS** signifie **Forward-Confirmed reverse DNS**. C'est un contrôle de sanité que les deux directions DNS s'accordent : 1. Forward : `A(mail.exemple.fr)` → `85.118.219.232` 2. Inverse : `PTR(85.118.219.232)` → `mail.exemple.fr` 3. Les deux noms matchent. Les serveurs mail s'en soucient parce que **n'importe qui peut poser un enregistrement PTR** sur une IP qu'il contrôle, mais **seul le propriétaire légitime de `exemple.fr`** peut poser l'enregistrement A correspondant. Exiger que les deux bouts s'accordent bloque les spammeurs qui usurpent des hostnames réputés. Gmail, Outlook et Yahoo rejetteront silencieusement le trafic SMTP où FCrDNS échoue.

Pourquoi mon mail part-il toujours en spam si mon PTR est posé ?

Poser **juste un PTR** ne suffit pas. Le hostname cible du PTR doit **aussi avoir un enregistrement forward A ou AAAA pointant vers la même IP**. Si votre PTR dit `mail.exemple.fr` mais que `mail.exemple.fr` n'a pas d'enregistrement A (ou en a un pointant ailleurs), **FCrDNS échoue** et Gmail / Outlook vous traitent comme suspect. Utilisez cet outil pour confirmer que les deux côtés s'accordent, puis vérifiez **SPF, DKIM et DMARC** comme couche suivante.

Comment poser un enregistrement PTR avec mon hébergeur ?

Les enregistrements PTR sont **spéciaux** : vous ne pouvez pas les poser vous-même dans votre panneau DNS normal. Ils sont contrôlés par **celui qui possède le bloc IP** - généralement votre hébergeur ou datacenter, pas vous. Le processus : 1. Décidez du hostname que vous voulez (par exemple `mail.votre-domaine.fr`). 2. Dans **votre propre panneau DNS**, créez un **enregistrement A** (IPv4) ou **AAAA** (IPv6) pour ce hostname pointant vers votre IP serveur. 3. **Ouvrez un ticket** avec votre hébergeur en lui demandant de poser le PTR pour cette IP vers ce hostname. AWS appelle ça "Request to remove email sending limitations". Hetzner, OVH, DigitalOcean, Linode ont tous un formulaire self-service. 4. Attendez 5 à 60 minutes pour la propagation, puis revérifiez ici.

Qu'est-ce que `in-addr.arpa` et pourquoi c'est à l'envers ?

Les enregistrements PTR IPv4 vivent dans la zone **`in-addr.arpa`**, et l'IP est **inversée** avant le lookup. `8.8.8.8` devient `8.8.8.8.in-addr.arpa`. L'inversion est un hack malin : le DNS est hiérarchique et se lit **de droite à gauche** (`com` → `exemple` → `mail`), mais les IPs sont généralement hiérarchiques **de gauche à droite** (l'octet le plus à gauche est le plus général). Inverser l'IP permet au DNS de déléguer `8.in-addr.arpa` au détenteur de `8.0.0.0/8`, qui peut ensuite déléguer `8.8.in-addr.arpa` plus bas, et ainsi de suite.

Et les enregistrements PTR IPv6 ?

Les enregistrements PTR IPv6 vivent dans **`ip6.arpa`** et utilisent le même truc inverser-et-déléguer, mais à granularité **nibble** (4 bits). L'IP est étendue à sa forme complète de 32 hex, inversée chiffre par chiffre, et des points insérés entre chaque nibble : `2606:4700:4700::1111` → `2606:4700:4700:0000:0000:0000:0000:1111` → inverser les chiffres → `1.1.1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.7.4.0.0.7.4.6.0.6.2.ip6.arpa`. Pénible à la main, instantané pour un résolveur. L'outil gère tout ça pour vous.

Pourquoi certaines IPs n'ont pas de PTR du tout ?

Le plus courant : - **FAI résidentiel / grand public** : les adresses IP maison reçoivent rarement un PTR. Les FAI les traitent comme éphémères. - **VPS bon marché ou hébergement mutualisé** : le prestataire ne pose les PTR que sur demande, le défaut est vide. - **Prestataires cloud** : AWS / GCP / Azure assignent des PTR génériques (`ec2-x-x-x-x.compute.amazonaws.com`) qui **échouent FCrDNS** pour tout domaine custom que vous voudriez utiliser. Vous devez demander un PTR custom explicitement. - **Nœuds edge CDN / proxy** : délibérément retirés parce que la même IP sert des milliers de clients. - **L'IP appartient à un bloc non routé** : les bogons (`10.x`, `192.168.x`, `127.x`) n'ont jamais de vrai PTR.

Quelle est la différence entre les enregistrements PTR IPv4 et IPv6 en pratique ?

Fonctionnellement la **même** : les deux mappent une IP vers un hostname, les deux demandent FCrDNS pour le mail, les deux sont contrôlés par celui qui possède le bloc IP. **Différences pratiques** : - **Les PTR IPv6 sont encore rarement posés** par les hébergeurs, surtout sur les plans bon marché. Si vous envoyez du mail depuis une adresse IPv6, vérifiez bien que le PTR existe, sinon le serveur receveur peut soit vous rejeter soit retomber sur une pénalité de record manquant. - **Beaucoup de MTA préfèrent IPv4 pour le SMTP sortant** spécifiquement parce que la couverture PTR IPv6 est inégale. Postfix a `smtp_address_preference = ipv4` exactement pour cette raison. - **Mettre en place un PTR IPv6 est identique** : ticket à votre hébergeur, attendre, revérifier ici.

Stockez-vous les IPs que je consulte ?

Non. Votre requête IP est **transférée via `dns/promises` de Node** à un résolveur public, la réponse revient, vous la voyez, et la requête se termine. **On ne logue pas les requêtes, on ne logue pas votre IP**, on ne construit pas de profils. Le seul morceau d'état sur le serveur est le **compteur de rate-limit en mémoire** (60 consultations par heure par IP appelante), qui se remet à zéro toutes les heures et ne contient jamais le contenu des requêtes.

Lookup DNS inverse (PTR) - gratuit

Consultation DNS inverse (PTR) : confirmez le hostname derrière n'importe quelle IP

Le DNS inverse est l'image miroir d'une requête DNS normale. Un lookup forward normal transforme `mail.exemple.fr` en l'IP `85.118.219.232`. Un lookup inverse va dans l'autre sens : vous donnez au DNS l'IP, et il renvoie un enregistrement PTR avec le hostname.

Ça sonne académique jusqu'à ce que vous fassiez tourner un serveur mail. Gmail, Outlook et Yahoo vérifient tous le PTR de chaque IP qui essaie de leur livrer du trafic SMTP. Pas de PTR, ou un PTR qui ne matche pas l'enregistrement forward, ça équivaut à un rejet silencieux ou à un aller simple vers le dossier spam.

Cet outil interroge le PTR via `dns/promises` de Node (le même résolveur que `dig` utilise, pas de proxy DoH entre les deux) puis vérifie le FCrDNS en résolvant les enregistrements A et AAAA de la cible PTR en retour. Vous obtenez une coche verte quand les deux directions s'accordent, un drapeau rouge quand non, et un fix étape par étape quand quelque chose est cassé.

Mode d'emploi

Entrez une IP : IPv4 simple (`8.8.8.8`) ou IPv6 (`2606:4700:4700::1111`). Pas de port, pas de préfixe CIDR.
Cliquez sur Vérifier. Le résultat arrive généralement en moins d'une seconde, parfois 2 à 3 secondes pour les adresses IPv6 avec des résolveurs upstream lents.
Lisez l'enregistrement PTR en haut : c'est le hostname que l'IP prétend être (par exemple `dns.google` pour `8.8.8.8`).
En dessous, voyez les enregistrements forward A et AAAA de ce hostname. C'est le contrôle de round-trip.
Badge FCrDNS : Pass vert signifie que le round-trip matche, Fail rouge signifie que le PTR existe mais que les enregistrements forward ne pointent pas vers votre IP.
Si FCrDNS échoue, lisez l'Action suggérée : elle vous dit exactement quoi demander à votre hébergeur pour corriger.
Pas de PTR du tout ? Courant pour les FAI résidentiels et les petits plans VPS. La boîte d'action explique comment en demander un.

Quand cet outil est utile

Sept situations typiques où une vérification DNS inverse sauve votre santé mentale :

Configurer un nouveau serveur mail avant de basculer le DNS pour la prod. Vérifiez que le PTR matche avant d'envoyer le premier message, sinon Gmail routera tout en spam dès le premier jour.
Déboguer la délivrabilité : les clients se plaignent que vos emails n'arrivent pas. Vous vérifiez l'IP que votre MTA utilise pour le SMTP sortant, vous découvrez que le PTR pointe vers le hostname générique d'hébergement (`ec2-54-203-xxx.compute.amazonaws.com`) au lieu de `mail.votre-domaine.fr`. Le fix c'est un ticket.
Auditer un relais SMTP tiers : vous payez SendGrid / Mailgun / Postmark pour envoyer pour vous. Vous spot-checkez l'IP émettrice. PTR matche leur domaine mail public, tout va bien.
Enquêter sur une plainte d'abuse : une ligne de log dit "abus depuis 185.220.101.7". Vous faites un PTR. Le hostname dit nœud de sortie TOR en clair, vous savez à quoi vous avez affaire.
Vérifier l'host d'un certificat SSL : certains certs auto-signés n'encodent que l'IP serveur. PTR confirme quel hostname est le propriétaire canonique.
Forensics réseau sur le trafic entrant : une requête frappe votre serveur depuis une IP inconnue. PTR montre `crawl-66-249-66-1.googlebot.com`. Maintenant vous savez que c'est le vrai Googlebot et pas quelqu'un qui spoofe le user agent.
Confirmer résidentiel vs datacenter : un handshake TLS depuis un "navigateur" vient d'une IP avec PTR `example.linode.com`. Ce n'est pas un navigateur, c'est un script sur un VPS.

Liés : consultation DNS, Quelle est mon IP, consultation info IP / ASN, vérificateur DNS email.

Questions fréquentes

Un enregistrement PTR (pointer) est une entrée DNS qui mappe une adresse IP vers un hostname - la direction opposée des enregistrements A et AAAA. Il vit dans une zone spéciale : `in-addr.arpa` pour IPv4 et `ip6.arpa` pour IPv6. Quand vous "faites un lookup inverse", vous demandez en réalité au serveur DNS : "donne-moi l'enregistrement PTR à `8.8.8.8.in-addr.arpa`". La réponse (`dns.google`) est une réponse DNS régulière, juste stockée dans cet arbre spécial.

Consultation DNS inverse (PTR) : confirmez le hostname derrière n'importe quelle IP

Mode d'emploi

Entrez une IP : IPv4 simple (`8.8.8.8`) ou IPv6 (`2606:4700:4700::1111`). Pas de port, pas de préfixe CIDR.

Cliquez sur Vérifier. Le résultat arrive généralement en moins d'une seconde, parfois 2 à 3 secondes pour les adresses IPv6 avec des résolveurs upstream lents.

Lisez l'enregistrement PTR en haut : c'est le hostname que l'IP prétend être (par exemple `dns.google` pour `8.8.8.8`).

En dessous, voyez les enregistrements forward A et AAAA de ce hostname. C'est le contrôle de round-trip.

Badge FCrDNS : Pass vert signifie que le round-trip matche, Fail rouge signifie que le PTR existe mais que les enregistrements forward ne pointent pas vers votre IP.

Si FCrDNS échoue, lisez l'Action suggérée : elle vous dit exactement quoi demander à votre hébergeur pour corriger.

Pas de PTR du tout ? Courant pour les FAI résidentiels et les petits plans VPS. La boîte d'action explique comment en demander un.

Quand cet outil est utile

Sept situations typiques où une vérification DNS inverse sauve votre santé mentale :

Configurer un nouveau serveur mail avant de basculer le DNS pour la prod. Vérifiez que le PTR matche avant d'envoyer le premier message, sinon Gmail routera tout en spam dès le premier jour.
Déboguer la délivrabilité : les clients se plaignent que vos emails n'arrivent pas. Vous vérifiez l'IP que votre MTA utilise pour le SMTP sortant, vous découvrez que le PTR pointe vers le hostname générique d'hébergement (`ec2-54-203-xxx.compute.amazonaws.com`) au lieu de `mail.votre-domaine.fr`. Le fix c'est un ticket.
Auditer un relais SMTP tiers : vous payez SendGrid / Mailgun / Postmark pour envoyer pour vous. Vous spot-checkez l'IP émettrice. PTR matche leur domaine mail public, tout va bien.
Enquêter sur une plainte d'abuse : une ligne de log dit "abus depuis 185.220.101.7". Vous faites un PTR. Le hostname dit nœud de sortie TOR en clair, vous savez à quoi vous avez affaire.
Vérifier l'host d'un certificat SSL : certains certs auto-signés n'encodent que l'IP serveur. PTR confirme quel hostname est le propriétaire canonique.
Forensics réseau sur le trafic entrant : une requête frappe votre serveur depuis une IP inconnue. PTR montre `crawl-66-249-66-1.googlebot.com`. Maintenant vous savez que c'est le vrai Googlebot et pas quelqu'un qui spoofe le user agent.
Confirmer résidentiel vs datacenter : un handshake TLS depuis un "navigateur" vient d'une IP avec PTR `example.linode.com`. Ce n'est pas un navigateur, c'est un script sur un VPS.

Liés : consultation DNS, Quelle est mon IP, consultation info IP / ASN, vérificateur DNS email.

Questions fréquentes

Lookup DNS inverse (PTR)

Consultation DNS inverse (PTR) : confirmez le hostname derrière n'importe quelle IP

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Lookup DNS

Mon IP

Lookup IP / ASN

Vérificateur DNS email

Lookup DNS inverse (PTR)

Consultation DNS inverse (PTR) : confirmez le hostname derrière n'importe quelle IP

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Lookup DNS

Mon IP

Lookup IP / ASN

Vérificateur DNS email