Valeur d'expiration SOA hors de la plage recommandée : Ce que cela signifie et comment y remédier

L'avertissement "SOA expire value out of recommended range" signifie que l'enregistrement Start of Authority (SOA) de votre domaine a un délai d'expiration fixé en dehors des meilleures pratiques DNS. Bien qu'il ne s'agisse pas d'un problème critique, c'est un signe que votre domaine pourrait être vulnérable à des temps d'arrêt ou à des mises à jour retardées, ce qui peut faire boule de neige et déboucher sur quelque chose de plus grave. 

Comprendre le fonctionnement de la valeur d'expiration et l'ajuster à la fourchette recommandée de 2 à 4 semaines permet à votre domaine d'être sain et conforme aux normes DNS.

Qu'est-ce qu'un enregistrement SOA ?

Un enregistrement SOA est un type d'enregistrement DNS qui comprend des informations importantes, telles que l'adresse électronique de l'administrateur, la période de rafraîchissement du serveur et l'historique des mises à jour du domaine. Lorsque vous le configurez dans votre DNS respectif, il vous aide à vous aligner sur les normes de l'Internet Engineering Task Force. Vous avez besoin d'enregistrements DNS SOA pour des transferts de zone efficaces lorsque vous les envoyez d'un serveur primaire à un serveur secondaire.

Un enregistrement DNS SOA typique comprend des détails importants, tels que :

• Numéro de série : Un compteur de versions qui augmente à chaque modification.
• Serveur de noms principal : Le serveur principal responsable.
• Adresse électronique du responsable : L'adresse électronique de l'administrateur.
• Rafraîchissement : Compte à rebours pour que les serveurs secondaires demandent des mises à jour.
• Retry : Durée d'attente du serveur secondaire après l'échec d'une vérification.
• Expire : Cette valeur indique la limite supérieure, en secondes, pendant laquelle un serveur secondaire continuera à considérer ses données de zone comme faisant autorité après son dernier contact réussi avec le serveur primaire.
• TTL minimum : Traditionnellement, ce champ définit le TTL par défaut pour la mise en cache négative (durée pendant laquelle les réponses "aucun domaine de ce type" sont stockées). Les logiciels DNS modernes peuvent l'utiliser comme TTL par défaut pour les enregistrements qui n'en spécifient pas.

Comprendre la valeur d'expiration

La valeur valeur d'expiration est une minuterie, mesurée en secondes, dont l'objectif est singulièrement important : elle indique à un serveur DNS secondaire combien de temps il doit continuer à faire confiance à ses données locales lorsque le serveur primaire est devenu silencieux.

Il s'agit d'un compte à rebours final pour un transfert de zone. Si un serveur secondaire ne peut pas atteindre le serveur principal pour obtenir des mises à jour, ce compte à rebours commence à s'enclencher. Il ne supprime pas les données de la zone, mais cesse de les servir jusqu'à ce que le contact avec le serveur principal soit rétabli.

Voici comment cela se passe :

Le compte à rebours commence

Lorsqu'un serveur secondaire ne parvient pas à se connecter avec le serveur primaire, il s'appuie sur sa dernière copie connue de vos enregistrements DNS. La valeur expire indique la durée de vie de cette copie.

Données jugées non fiables

Si le délai expire avant que le serveur secondaire ne puisse rétablir le contact, quelque chose d'important se produit. Le serveur considère que ses fichiers de zone sont « expirés » et que ses données sont trop anciennes pour être fiables.

Les questions restent sans réponse

À ce stade, le serveur secondaire lève les bras au ciel. Il cesse de fournir des réponses faisant autorité pour la zone et renvoie SERVFAIL à la place. Il s'agit d'une mesure de protection visant à empêcher la diffusion d'informations anciennes et incorrectes sur le web.

Le point faible

Bien qu'il ne s'agisse pas d'une norme imposée, RFC 1912 et les meilleures pratiques DNS courantes recommandent un délai d'expiration de 2 à 4 semaines. Cette fenêtre donne à l'administrateur suffisamment de temps pour résoudre un problème de serveur primaire sans que les serveurs secondaires n'abandonnent prématurément la zone.

Quelle est la cause de l'avertissement "Hors des limites recommandées" ?

Qui est donc à l'origine de cette alerte ? La cause première est presque toujours un chiffre qui se situe en dehors de cette fenêtre de deux à quatre semaines.

Délai de péremption trop court

Un délai d'expiration trop court signifie qu'un problème de réseau temporaire peut amener vos serveurs secondaires à abandonner votre domaine, ce qui entraîne des pannes inutiles.

Délai de péremption trop long 

Une valeur excessivement longue permet à des enregistrements périmés de persister pendant des mois si votre serveur principal subit une défaillance catastrophique.

Configurations automatisées imprécises 

Certains panneaux d'hébergement utilisent des modèles par défaut avec des valeurs douteuses.

Fautes de frappe simples

Un chiffre mal placé lors d'une configuration manuelle peut facilement faire sortir la valeur de ses limites.

Plage de valeurs recommandées pour l'expiration du SOA

Les sages de l'internet (dans ce cas, RFC 1912) suggèrent un équilibre. Vous avez besoin de suffisamment de temps pour résoudre un problème majeur sur le serveur, mais pas trop pour que de mauvaises données polluent l'écosystème.

Pensez-y de la manière suivante :

• 2419200 secondes (28 jours). Juste ce qu'il faut.
• 86400 secondes (1 jour). Déclenche un avertissement. Trop risqué.
• 99999999 secondes (3+ ans). Déclenche un avertissement. Beaucoup trop décontracté

Un choix solide et sûr est 1209600 secondes, ce qui équivaut à 14 jours.

Comment corriger l'avertissement "SOA Expire Value Out of Recommended Range" (Valeur d'expiration de la SOA hors de la plage recommandée) ?

Il est temps de se retrousser les manches. La solution est rapide.

1. Ouvrir le panneau de configuration DNS

Connectez-vous à votre registraire de domaine ou à votre fournisseur de DNS (PowerDNS, Cloudflare, cPanel, etc.). Gardez à l'esprit que votre capacité à voir et à modifier l'enregistrement SOA dépendra de l'interface et des autorisations fournies par votre fournisseur spécifique.

2. Trouver l'enregistrement SOA

Cet enregistrement se trouve souvent dans sa propre section, séparée de vos enregistrements A ou CNAME. Recherchez la zone "Paramètres de la zone" ou "DNS avancé".

3. Régler la valeur d'expiration sur 1209600-2419200 

Localisez le champ "Expire". Remplacez le numéro actuel par un numéro situé dans la plage recommandée, par exemple 1209600.

4. Sauvegarder et propager

Validez vos changements. Votre fournisseur DNS devrait automatiquement augmenter le numéro de série. Si ce n'est pas le cas, augmentez le numéro de série manuellement pour vous assurer que les secondaires détectent le changement. Cela signale au reste de l'internet qu'il existe une nouvelle version améliorée de votre enregistrement.

Conseil de pro : Lorsque vous définissez vos valeurs SOA, veillez toujours à ce que vos valeurs Expiration soit plus grande que la valeur Rafraîchir et Réessayer combinées (Expire > Refresh + Retry). Ce contrôle logique empêche la zone d'expirer avant que le serveur secondaire n'ait eu la possibilité de terminer son cycle de tentatives.

Exemple : Avant et après

Le disque du trublion 

REFRESH : 86400

RETRY : 7200

EXPIRE: 604800  ; <– The problem (7 days)

Une valeur EXPIRE courte est un problème car un délai de 7 jours est souvent trop court pour résoudre les problèmes majeurs du serveur. Lorsque le délai EXPIRE est écoulé, les serveurs secondaires cessent de répondre aux requêtes pour votre domaine. Cela signifie que votre site web et votre courrier électronique peuvent être mis hors ligne pour de nombreux utilisateurs. Une valeur courte fournit également un filet de sécurité faible qui peut se rompre au moment où vous en avez le plus besoin. 

Le bilan de santé 

REFRESH : 86400

RETRY : 7200

EXPIRE: 1209600 ; <– Corrected (14 days)

Petit conseil : Lorsque vous enregistrez, votre numéro de série devrait également mettre à jour à une valeur plus élevée. Le numéro de série est un simple numéro de version pour votre zone DNS. Il est comparable au numéro de version d'une mise à jour logicielle (par exemple, v1.0, v1.1, v1.2). Chaque fois que vous apportez une modification à vos enregistrements DNS (quelle qu'elle soit), vous devez augmenter le numéro de série.

L'importance d'une bonne configuration SOA

Un enregistrement SOA bien réglé est plus qu'une simple case cochée dans un rapport de diagnostic. Il est utile :

• Créer de la stabilité: Votre domaine se comporte de manière prévisible, même si l'un de ses serveurs principaux est dans une mauvaise passe.
• Renforcer la fiabilité: Vous empêchez les serveurs secondaires d'abandonner prématurément votre domaine en raison d'un problème temporaire.
• Montrer les bonnes pratiques: Une configuration DNS propre établit une base de confiance et montre que vous respectez les règles de l'internet.

Comment vérifier si votre enregistrement SOA se situe dans la plage d'expiration recommandée ?

Vous pouvez utiliser l'outil de vérification de la SOA de PowerDMARC, dédié et gratuit. outil de vérification SOA dédié et gratuit pour vérifier votre enregistrement DNS SOA.

Il suffit de saisir un domaine pertinent (par exemple, PowerDMARC.com), et la page suivante affichera l'enregistrement 'A'. Sélectionnez "SOA" pour vérifier les enregistrements. Cela ne prend que quelques secondes, mais fournit des résultats précis sur lesquels vous pouvez compter. Il vous indiquera les problèmes de votre enregistrement afin que vous puissiez les résoudre dès que possible. La procédure exacte est illustrée ci-dessous.

Le mot de la fin

L'avertissement "SOA Expire Value Out of Recommended Range" n'est pas une catastrophe ; il s'agit plutôt d'un mécanisme de correction et de réorientation dans votre parcours numérique. Prenez le temps d'ajuster la valeur et vous aurez un domaine plus sain et plus robuste.

La correction de la valeur d'expiration de votre SOA ne prend que quelques minutes, mais peut vous épargner des heures de dépannage par la suite. Lancez dès maintenant une analyse gratuite de l'état de santé de votre domaine avec PowerDMARC analyseur de domaine de PowerDMARC de PowerDMARC pour que vos configurations DNS restent conformes et exemptes d'erreurs.

Foire aux questions

1. L'avertissement "SOA expire value out of range" est-il sérieux ? 

Ce n'est pas assez grave pour faire tomber votre site, mais il s'agit d'une meilleure pratique DNS à suivre pour garantir la fiabilité de votre domaine en cas de panne du serveur principal.

2. La modification de mon enregistrement SOA entraînera-t-elle la fermeture de mon site web ? 

Non. Il s'agit d'un changement sûr et routinier qui n'entraînera pas de temps d'arrêt.

3. Que se passe-t-il si j'ignore l'avertissement "SOA Expire Value Out of Recommended Range" ?

Si vous l'ignorez, votre domaine peut fonctionner correctement pendant un certain temps, mais si votre serveur DNS principal tombe en panne trop longtemps, les sauvegardes peuvent cesser de desservir votre zone, ce qui entraîne des temps d'arrêt ou des problèmes de courrier électronique.

• À propos de
• Derniers messages

Yunes Tarada

Expert en sécurité des domaines et des courriels chez PowerDMARC

Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.

Derniers messages de Yunes Tarada (voir tous)

• DMARCbis expliqué : ce qui change et comment s'y préparer - 16 avril 2026
• Le format du numéro de série SOA n'est pas valide : causes et solutions - 13 avril 2026
• Comment envoyer des e-mails sécurisés dans Gmail : guide étape par étape - 7 avril 2026