---
title: Les principales listes noires e-mail (DNSBL) expliquées
source: https://synapx.fr/blog/listes-noires-email-dnsbl/
date: 2026-07-14
category: Email
site: SynapxLab
---

# Les principales listes noires e-mail (DNSBL) expliquées

Une liste de blocage e-mail n'est pas un tribunal central d'Internet. C'est une source de réputation administrée selon une politique propre. Elle peut signaler une IP observée en train d'émettre du spam, une machine compromise, une plage qui ne devrait jamais envoyer directement ou un domaine trouvé dans des liens malveillants.

Le serveur destinataire décide ensuite quoi faire de ce signal : rejeter, mettre en quarantaine, augmenter un score ou ne rien faire. C'est pourquoi « votre IP est sur une blacklist » n'est pas encore un diagnostic.

Ce billet constitue le volet « blocklists et retrait » du [guide de l'e-mailing professionnel en 2026](/blog/emailing-professionnel-2026/).

> La question opérationnelle n'est pas seulement « suis-je listé ? », mais « quelle liste, pour quel objet, selon quel critère, et cette liste explique-t-elle le rejet observé ? ».

## DNSBL, RBL, blocklist : le vocabulaire

- **DNSBL** : *Domain Name System Block List*, liste interrogée par le protocole DNS.
- **RBL** : nom historique issu de *Realtime Blackhole List*, souvent employé comme synonyme.
- **Blocklist** : terme générique désormais préféré à « blacklist ».
- **IP DNSBL** : liste une adresse IP d'envoi ou une plage.
- **DBL/RHSBL** : liste un nom de domaine, pas nécessairement son serveur SMTP.
- **URI blocklist** : vise les domaines ou URL présents dans le corps des messages.
- **Policy list** : signale une catégorie d'IP qui, par politique réseau, ne devrait pas émettre directement vers les MX.

Une IP peut donc apparaître dans une liste sans avoir envoyé du spam. Une IP résidentielle dynamique inscrite dans une liste de politique doit normalement utiliser le relais authentifié de son fournisseur au lieu de contacter directement les serveurs destinataires.

## Comment une interrogation DNSBL fonctionne

Pour tester l'adresse de documentation `192.0.2.45`, un système inverse les octets et ajoute la zone de la liste :

```text
45.2.0.192.zone-dnsbl.example
```

```mermaid
sequenceDiagram
    participant M as MTA destinataire
    participant R as Résolveur DNS
    participant D as DNSBL
    M->>R: A 45.2.0.192.zone-dnsbl.example ?
    R->>D: requête selon la configuration
    D-->>R: NXDOMAIN ou adresse 127.x.y.z
    R-->>M: résultat
    M->>M: applique sa propre politique
```

En général, `NXDOMAIN` signifie « non listé » et une réponse dans `127.0.0.0/8` code une catégorie. La signification exacte varie : il faut lire la documentation de la liste. Un enregistrement TXT peut donner une explication, mais son format n'est pas universel.

N'automatisez pas des millions de requêtes sans vérifier les conditions d'utilisation. Certaines listes imposent une clé, un abonnement, un résolveur local ou interdisent les requêtes via de grands résolveurs publics.

## Les listes à connaître en 2026

| Service | Objet principal | État en juillet 2026 | Particularité |
|---|---|---|---|
| Spamhaus | IP, domaines, botnets et politiques selon la zone | Actif | Plusieurs listes aux critères distincts, souvent regroupées dans ZEN |
| Barracuda Reputation Block List | Réputation d'IP ; Barracuda maintient aussi des données d'URL | Actif | Utilisée notamment dans l'écosystème Barracuda |
| SpamCop Blocking List | IP ayant émis des messages signalés | Actif | Liste automatique, rapide et volontairement agressive |
| SORBS | Anciennes listes IP et politiques | **Arrêté depuis le 5 juin 2024** | À retirer des configurations et comparatifs actuels |
| UCEPROTECT | IP, allocations réseau et ASN selon niveau | Actif | Les niveaux 2 et 3 agrègent au-delà de l'IP individuelle |
| Invaluement | IP, sous-réseaux `/24` et URI | Actif, commercial | Conçu comme complément à d'autres filtres |

Cette table ne classe pas les services du « meilleur » au « pire ». Leur couverture, licence, faux positifs acceptables et influence chez vos destinataires diffèrent.

## Spamhaus : plusieurs listes, plusieurs causes

Spamhaus ne publie pas une liste unique. Parmi ses familles figurent notamment :

- **SBL** pour des sources ou infrastructures associées à du spam selon ses investigations ;
- **XBL** pour des machines compromises, proxys ou botnets, en s'appuyant sur des données spécialisées ;
- **PBL** pour des plages qui ne devraient pas émettre directement vers les MX ;
- **DBL** pour des domaines observés dans des usages abusifs ou compromis ;
- **ZEN**, zone combinée destinée au filtrage d'IP.

Une présence PBL n'a pas la même signification qu'une présence SBL. Spamhaus permet sous conditions d'exclure de PBL l'IP statique d'un véritable serveur sortant correctement configuré avec DNS direct et inverse. Pour les autres listes, la fiche de son **IP and Domain Reputation Checker** décrit la cause et les étapes.

Ne confondez pas une IP d'envoi et un domaine contenu dans un lien. Un message peut partir d'une IP propre et être filtré parce que son modèle inclut un domaine compromis figurant dans DBL.

## Barracuda : regarder l'IP et les URL

Barracuda Central conserve un historique des IP réputées mauvaises ou bonnes et maintient également de la réputation sur les URL. Son outil officiel permet de rechercher une IP ou un domaine ; un formulaire distinct traite les demandes d'ajustement de réputation d'IP.

Le formulaire annonce un traitement habituellement rapide lorsqu'une explication valide est fournie, mais une demande répétée sans correction peut être ignorée. Préparez donc : l'IP exacte, son PTR, la cause identifiée, l'heure de fin de l'incident et les mesures qui empêchent sa répétition.

## SpamCop : une liste réactive aux signalements

La SpamCop Blocking List agrège notamment des signalements d'utilisateurs et retire automatiquement les IP lorsque les rapports cessent. SpamCop indique lui-même que la liste est agressive et recommande aux opérateurs de l'utiliser avec une liste d'autorisation, voire en marquage plutôt qu'en rejet absolu selon le contexte.

La procédure de retrait est principalement automatique : supprimer la source de spam fait expirer l'inscription. Un administrateur qui vient de fermer un relais ouvert doit donc attendre l'actualisation plutôt que chercher un bouton de contournement.

## SORBS : une référence historique désormais morte

SORBS apparaît encore dans de nombreux articles et interfaces anciennes. Proofpoint a confirmé sa mise hors service le **5 juin 2024** et le fait que le service ne contient plus de nouvelles données de réputation.

Deux actions en découlent :

1. retirer les zones `*.sorbs.net` des règles de filtrage actives ;
2. considérer comme daté tout comparatif 2026 qui le présente encore comme une liste opérationnelle sans avertissement.

Une interrogation DNS qui répond encore ne garantit pas qu'un service produit des données entretenues.

## UCEPROTECT : comprendre les trois niveaux

UCEPROTECT publie trois niveaux :

- **niveau 1** : IP individuelle ;
- **niveau 2** : allocation ou plage contenant un nombre jugé excessif d'IP de niveau 1 ;
- **niveau 3** : ensemble plus large associé à un ASN.

Une petite organisation peut donc être concernée au niveau 2 ou 3 à cause d'autres clients de son hébergeur. Cela ne prouve pas que son propre serveur a envoyé un message indésirable. Avant toute action payante ou migration, vérifiez si le destinataire qui rejette cite réellement cette liste et si l'inscription a un impact mesurable.

Les niveaux agrégés rendent la discussion autant contractuelle que technique : seul l'opérateur du réseau peut souvent corriger les autres sources d'abus ou déplacer l'IP dans une plage saine.

## Invaluement : IP et domaines dans le contenu

Invaluement propose trois familles commerciales : `ivmSIP` pour des IP, `ivmSIP/24` pour certains sous-réseaux et `ivmURI` pour des domaines ou IP trouvés dans les liens de messages. Le service se présente comme un complément, notamment pour des campagnes dites *snowshoe* réparties sur de nombreuses IP à faible volume.

Pour un expéditeur, la distinction utile est la suivante :

- une inscription SIP dirige l'enquête vers le serveur ou le pool d'envoi ;
- une inscription URI dirige l'enquête vers les liens, redirections, domaines de tracking et sites potentiellement compromis.

Le site officiel fournit une recherche et une procédure de retrait ; ses affirmations de performance restent celles du fournisseur et doivent être évaluées dans votre propre filtre.

## Comment vérifier une IP correctement

### 1. Partir du rejet

Conservez la réponse SMTP exacte :

```text
550 5.7.1 Message rejected; IP 203.0.113.25 listed by example-list
```

Elle relie une IP, une liste et un destinataire. Sans cette preuve, une inscription découverte au hasard peut être sans rapport avec l'incident.

### 2. Confirmer l'IP réellement utilisée

Une plateforme peut employer un pool différent selon la région, la campagne ou le flux. Relevez l'IP dans les journaux sortants ou les en-têtes `Received`, pas dans le seul enregistrement `A` du site web.

### 3. Interroger l'outil officiel

Utilisez ensuite Spamhaus Checker, Barracuda Lookup, SpamCop, UCEPROTECT ou Invaluement selon le nom cité. MXToolbox et d'autres agrégateurs sont utiles pour découvrir plusieurs inscriptions, mais seul l'opérateur de la liste décrit la politique officielle et le retrait.

### 4. Mesurer l'impact

| Question | Preuve |
|---|---|
| Quels destinataires rejettent ? | Répartition des `5xx` par domaine |
| Depuis quand ? | Première réponse SMTP et changement précédent |
| Tous les flux sont-ils touchés ? | IP, domaine DKIM, campagne et route |
| L'inscription est-elle la cause ? | Rejet qui cite la liste ou test contrôlé |
| Existe-t-il aussi des plaintes ou rebonds ? | Boucles de retour et tableau de bord |

## Corriger avant de demander le retrait

```mermaid
flowchart TD
    A["Inscription détectée"] --> B["Suspendre le flux<br>qui aggrave l'incident"]
    B --> C["Conserver journaux,<br>codes et horodatages"]
    C --> D{"Cause trouvée ?"}
    D -->|non| E["Comptes, relais, malware,<br>listes, formulaires, web"]
    E --> D
    D -->|oui| F["Éradiquer et vérifier<br>l'absence de nouvel abus"]
    F --> G["Lire la politique<br>officielle de la liste"]
    G --> H["Attendre expiration ou<br>soumettre une demande factuelle"]
    H --> I["Reprendre progressivement<br>et surveiller"]
```

Causes fréquentes à auditer :

- compte SMTP ou boîte compromis ;
- application web exploitée pour envoyer ;
- relais ouvert ou réseau autorisé trop largement ;
- poste infecté pouvant sortir directement sur le port 25 ;
- base achetée, scrapée ou ancienne ;
- formulaire d'inscription bombardé par des robots ;
- hard bounces et plaintes ignorés ;
- domaine de tracking ou site web compromis ;
- redirection ouverte dans les liens ;
- PTR, EHLO ou authentification incohérents.

## Une demande de retrait utile

Une bonne demande est courte et vérifiable :

```text
IP concernée : 203.0.113.25
Incident : compte SMTP compromis le 13/07/2026 de 21:14 à 21:42 UTC
Cause : mot de passe réutilisé sans MFA sur le portail de soumission
Mesures : compte suspendu, secret renouvelé, sessions révoquées,
MFA imposée, débit limité, journaux contrôlés depuis 22:10 UTC
Dernier événement abusif observé : 13/07/2026 21:41:08 UTC
Contact exploitation : postmaster@example.com
```

Évitez les déclarations « nous ne faisons jamais de spam » sans analyse, les demandes multiples et les changements d'IP destinés à cacher la source. Si l'IP appartient à un prestataire, ouvrez aussi un incident chez lui : lui seul peut parfois agir sur le pool ou le réseau.

## Ce qu'une DNSBL ne voit pas

Les fournisseurs disposent de réputation privée sur les domaines, les utilisateurs et les interactions. Une IP absente de toutes les listes publiques peut rester en spam chez Gmail. À l'inverse, une petite liste peut signaler une IP sans qu'aucun de vos destinataires ne l'utilise.

Le diagnostic complet doit donc relier [réputation, volume, spam traps et rebonds](/blog/campagnes-email-masse-spam-delivrabilite/), authentification, qualité de la liste et réponses SMTP. Les DNSBL sont une pièce du dossier, jamais le dossier entier.
