Faire pointer son D.N.S. sur nos serveurs

dernière modification 1er mars 2026

Vous pouvez gérer vous-même votre D.N.S. et être hébergés au PIC. Voici comment faire, suivant les différents services concernés.

Vous gérez vous-même le D.N.S., tout en étant hébergés sur nos serveurs. Voici comment vous devez configurer votre D.N.S., suivant les services utilisés :

Hébergement

Supposons que l’adresse de votre site web soit : www.picexemple.fr

picexemple.fr type=A valeur=95.142.162.68 (serveur historique) ou 155.133.130.80 (nouveau serveur, automne 2025)
picexemple.fr type=AAAA valeur=2001:4b98:dc0:47:216:3eff:fec8:b67f (serveur historique) ou 2001:4b99:1:2:216:3eff:fec4:71a7 (nouveau serveur, automne 2025)
www type=CNAME valeur=picexemple.fr. (attention au point final !)

Les deux premières lignes garantissent que les urls du type picexemple.fr fonctionneront correctement, alors que la suivante garantit le fonctionnement de www.picexemple.fr

Pour un sous-domaine

Supposons que l’adresse de votre site web soit : monsite.picexemple.fr Vous devrez mettre dans votre D.N.S. les trois enregistrements suivants :

monsite.picexemple.fr type=A valeur=95.142.162.68 (serveur historique) ou 155.133.130.80 (nouveau serveur, automne 2025)
monsite.picexemple.fr type=AAAA valeur=2001:4b98:dc0:47:216:3eff:fec8:b67f (serveur historique) ou 2001:4b99:1:2:216:3eff:fec4:71a7 (nouveau serveur, automne 2025)
www.monsite.picexemple type=CNAME valeur=monsite

Les deux premières lignes garantissent que monsite.picexemple.fr renvoie sur la bonne adresse IP, alors que la dernière permet d’utiliser l’adresse www.monsite.picexemple.fr (important pour le référencement).

Autoriser les expéditions de mail

Votre site web, hébergé chez nous, enverra de temps en temps des mails. Ces mails seront sans doute expédiés à partir d’une adresse du style contact@picexemple.fr Vous devez alors dire explicitement que les machines du PIC ont le droit d’envoyer des mails pour picexemple.fr Sinon, ils seront considérés comme du spam. Cela se fait avec l’enregistrement SPF :

S’il n’y a pas d’enregistrement SPF sur votre DNS, vous pouvez mettre l’enregistrement suivant, de type TXT :

Nom: picexemple.fr ou monsite.picexemple.fr 
Valeur: "v=spf1 include:le-pic.org ~all"

S’il y a déjà un enregistrement SPF, ne le retirez surtout pas, mais insérez simplement dedans la phrase :

include:le-pic.org

Signer les mails sortants

Lorsque votre site web hébergé chez nous enverra un mail, ce mail devra être signé en utilisant la norme dkim. Pour cela, vous devrez mettre l’enregistrement suivant, de type CNAME :

Type: CNAME
Nom: site._domainkey.picexemple.fr ou site._domainkey.monsite.picexemple.fr
Valeur: site._domainkey.le-pic.org.

NOTE : Dans la Valeur ci-dessus, Attention au point après le-pic.org. Et mettez bien le _ avant domainkey, sinon l’enregistrement n’est pas reconnu

Authentifier les mails sortants

Toujours pour les mails sortants, vous devez avoir un DMARC qui fixe la politique à adopter lorsqu’un mail provient abusivement de votre domaine. Si l’enregistrement dmarc est déjà présent dans votre DNS, n’y touchez pas. Mais s’il n’y en a pas, nous vous conseillons d’introduire l’enregistrement suivant :

Type: TXT
Nom: _dmarc.picexemple.fr ou _dmarc.monsite.picexemple.fr
v=DMARC1; p=quarantine; sp=none; adkim=r; aspf=r

NOTE : Attention au _ dans le nom, sinon l’enregistrement ne sera pas reconnu

paheko

Supposons que l’adresse de votre instance paheko soit : paheko.picexemple.fr

paheko.picexemple.fr type=A valeur=95.142.162.68
paheko.picexemple.fr type=AAAA valeur=2001:4b98:dc0:47:216:3eff:fec8:b67f

Paheko envoie des mails, ils doivent être autorisés, signés, authentifiés :

Autoriser les mails sortants

Voir ci-dessus les recommandations concernant le spf.

Signer les mails sortants

Voir ci-dessus les recommendations concernant le dkim

Authentifier les mails sortants

Voir ci-dessus les recommandations concernant le dmarc

Le cloud

Supposons que vous souhaitiez utiliser le cloud avec l’URL cloud.picexemple.fr :

cloud.picexemple.fr type=CNAME valeur=cloud.le-pic.org.

Autoriser les mails sortants

Voir ci-dessus les recommandations concernant le spf.

Signer les mails sortants

Voir ci-dessus les recommandations concernant le dkim

Authentifier les mails sortants

Voir ci-dessus les recommandations concernant le dmarc

Les listes sympa

Supposons que vous souhaitiez utiliser sympa avec :

l’interface d’administration accessible sur sympa.picexemple.fr
l’adresse de vos listes sur ma-liste@listes.picexemple.fr

NOTE - Il est utile de prévoir un sous-domaine (ici listes) pour vos listes sympa, cela vous permet de prévoir des adresses toto@picexemple.fr pour des boîtes à lettres, qui seront obligatoirement hébergées ailleurs qu’au pic. Mais ce n’est bien sûr pas indispensable, si vous n’avez que des listes pas besoin de sous-domaine. Dans ce cas n’oubliez pas d’adapter les indications ci-dessous.

Première étape

Le tableau de bord de sympa

sympa.picexemple.fr type=A valeur=155.133.131.243
sympa.picexemple.fr type=AAAA valeur=2001:4b99:1:3:216:3eff:fe1c:d8e8

Autoriser les mails sortants

Voir ci-dessus les recommandations concernant le spf.

Authentifier les mails sortants

Voir ci-dessus les recommandations concernant le dmarc

Lorsque cette étape est faite, prévenez-nous, nous pourrons alors mettre en place le nouveau robot virtuel Sympa. Puis nous vous recontacterons pour la suite...

Seconde étape

Signer les mails sortants

La signature utilise le sélecteur sympa. Nous vous enverrons la ligne précise (avec la clé publique que nous aurons générée) à mettre dans votre DNS.

sympa._domainkey.listes.picexemple.fr type=TXT valeur="v=DKIM1; h=sha256; k=rsa;" "p=MIIBI...." "XYZDEC..." "AZEDEFC"

NOTE - Il est généralement préférable d’utiliser le "mode avancé" pour ce dernier paramètre, et de faire bien attention à mettre tout sur une seule ligne. Les différents fragments doivent être encadrés par des guillemets doubles, et chaque fragment doit avoir moins de 255 caractères.

Lorsque la configuration est faite, attendez quelques heures (cache DNS) puis vérifiez que DKIM, SPF et DMARC sont corrects en utilisant par exemple cet outil : https://dmarcadvisor.com/. Cet outil doit :

Vous alerter sur le fait que la politique dmarc n’est pas sur reject. Nous préconisons en effet de maintenir la politique sur quarantine, par précaution
Vous dire que le SPF est correctement configuré
Vous alerter sur le DKIM : vous devrez aider l’outil en entrant à la main le sélecteur (sympa) après quoi le test devra être validé.

La réception des mails

Il faut maintenant indiquer le point de réception des mails entrants.
ATTENTION : S’il s’agit d’une migration de listes d’un hébergement vers le pic, à partir de maintenant les mails seront envoyés sur le serveur du PIC. Les manipulations précédentes étaient sans danger, mais maintenant si ça se passe mal il y a risque de perte de mails. Alors :

Ne changez pas ce paramètre avant d’avoir validé les étapes précédentes (spf, dkim, dmarc).
Avant de changer cet enregistrement DNS, créez d’abord les listes que vous souhaitez migrer, introduisez leurs abonnés. Vous pouvez le faire grâce au tableau de bord en ligne qui a été précédemment installé.
Créez une liste test et abonnez-vous vous-même à cette liste, afin de vérifier par la suite que tout fonctionne correctement sans importuner vos abonnés.
Envoyez un mail à cette liste test en utilisant le tableau de bord en ligne (menu Poster), vérifiez que les mails sont correctement envoyés et qu’ils ne vont pas dans les indésirables.

listes.picexemple.fr type=MX valeur=smtp.le-pic.org