MENU
  1. Accueil
  2. Microsoft 365
  3. Vercel DNS et Microsoft 365 : conserver Outlook après migration depuis GoDaddy (MX, SPF, DKIM, DMARC, SRV)

Vercel DNS et Microsoft 365 : conserver Outlook après migration depuis GoDaddy (MX, SPF, DKIM, DMARC, SRV)

Microsoft 365

Vous migrez un domaine de GoDaddy vers Vercel tout en conservant la messagerie Outlook/Microsoft 365 ? Voici la procédure fiable — avec tous les enregistrements DNS indispensables, des conseils anti‑coupure et un plan de test complet — pour garder vos e‑mails et Teams opérationnels.

Sommaire

Vue d’ensemble du problème

Votre site Web doit être servi par Vercel, mais votre messagerie demeure sur Microsoft 365 (Exchange Online/Outlook). Dès que vous basculez le DNS (changement des serveurs de noms ou transfert du domaine), ce sont les enregistrements DNS présents dans Vercel qui font foi. Vous devez donc y recréer tous les enregistrements liés au courrier (MX, SPF, DKIM, DMARC, Autodiscover) et à la téléphonie/visioconférence (SRV pour Teams/Skype). Tant que ces enregistrements ne sont pas fidèlement copiés, vous risquez une perte de délivrabilité, l’impossibilité de recevoir des messages, ou un dysfonctionnement d’Outlook/Teams.

Solution pas‑à‑pas

Enregistrements indispensables à saisir dans Vercel

UsageType d’enregistrementNom (Host)Cible / ValeurPriorité / Port / Poids*
Acheminer le courrier entrantMX@<tenant>.mail.protection.outlook.comPriorité 0
Autoriser Microsoft 365 à émettre des courriels (antispam SPF)TXT@v=spf1 include:spf.protection.outlook.com -all
Découverte automatique d’OutlookCNAMEautodiscoverautodiscover.outlook.com
Services VoIP/Teams/SkypeSRV_sip._tlssipdir.online.lync.com100 / 443 / 1
Vérification de domaine (une seule fois)TXT@MS=msXXXXXXXX (code fourni par M365)

* Priorité / Port / Poids : champs requis pour un SRV, facultatifs pour MX.

Enregistrements optionnels mais vivement recommandés

UsageTypeHostValeur
Signature DKIM (sécurité)CNAME (×2)selector1._domainkey
selector2._domainkey		Clés fournies dans le Centre d’administration M365
Politique DMARC (reporting et quarantaine)TXT_dmarcv=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@votredomaine.tld

Étapes pratiques

  1. Créer le domaine dans Vercel (section Domains) puis saisir chaque enregistrement ci‑dessus en conservant les TTL proposés par défaut (1 h convient généralement). Pour l’apex, Vercel accepte @ ou un champ vide selon l’interface. Évitez d’ajouter un point final dans les cibles (par ex. préférez autodiscover.outlook.com à autodiscover.outlook.com.).
  2. Basculement des serveurs de noms chez GoDaddy (ou finalisation du transfert) vers ceux de Vercel seulement après avoir créé les enregistrements critiques. Le changement de NS peut prendre de quelques minutes à 48 h selon la propagation.
  3. Vérifier la propagation dans le Centre d’administration Microsoft 365 ▸ « Domaines » ; tous les indicateurs doivent passer au vert.
  4. Tester l’envoi/réception et l’autoconfiguration Outlook :
    • Envoyer un e‑mail sortant depuis Outlook/OWA vers une boîte externe.
    • Depuis une boîte externe, envoyer vers votre domaine pour valider la réception.
    • Sur un nouveau poste/mobile, ne saisir que l’adresse e‑mail et le mot de passe : l’autodiscover doit détecter le serveur sans saisie manuelle.
  5. Activer DKIM dans M365, publier un enregistrement DMARC, puis contrôler les rapports DMARC. Après une période d’observation, vous pouvez passer de p=quarantine à p=reject pour renforcer la protection.

Informations complémentaires utiles

  • Pas besoin d’abonnement spécifique : ces enregistrements fonctionnent pour tout plan Microsoft 365 incluant Exchange Online.
  • Autres CNAME (enterpriseenrollment, enterpriseregistration, etc.) peuvent être exigés si vous utilisez l’inscription d’appareils Windows/Intune ; l’interface M365 vous les indiquera le cas échéant.
  • Si votre domaine utilise Teams ou Skype Entreprise on‑premise, d’autres SRV (par ex. _sipfederationtls._tcp) peuvent être requis.
  • Outils de vérification recommandés : MXToolbox, DNSChecker, ou les commandes dig/nslookup pour confirmer que Vercel diffuse bien les nouvelles entrées.

Avant de basculer : check‑list anti‑coupure

Cette liste réduit fortement les risques de panne de messagerie au moment du changement de DNS :

  • Inventorier tous les enregistrements actuels chez GoDaddy liés à Microsoft 365 (MX, TXT SPF, CNAME autodiscover, SRV, DKIM/DMARC si existants).
  • Identifier les expéditeurs tiers qui envoient au nom de votre domaine (outil marketing, CRM, système de tickets, routeur SMTP, etc.). Si vous en avez, prévoyez leur intégration dans SPF et/ou DKIM pour éviter un futur rejet DMARC.
  • Réduire le TTL (si possible) à 1 h ou 30 min quelques heures avant le basculement, pour accélérer la propagation. Vercel utilise typiquement 1 h par défaut ; c’est un bon compromis.
  • Créer tous les enregistrements dans Vercel avant de pointer les NS.
  • Planifier un créneau où le trafic e‑mail est plus faible (soirée ou week‑end), surtout pour des environnements critiques.

Comment saisir ces enregistrements dans Vercel (points d’attention)

  • MX : Nom =@ (apex). Cible =<tenant>.mail.protection.outlook.com. Priorité = 0 (un seul MX suffit, la redondance est gérée par Microsoft). Pas de point final.
  • TXT SPF : Nom =@. Valeur =v=spf1 include:spf.protection.outlook.com -all. Un seul enregistrement SPF par domaine. Si vous avez déjà un SPF pour un autre service, fusionnez‑les, par ex. : v=spf1 include:spf.protection.outlook.com include:sendgrid.net -all.
  • CNAME autodiscover : Nom =autodiscover. Cible =autodiscover.outlook.com.
  • SRV _sip._tls (Teams) :
    • Nom (Service/Protocole) : _sip._tls
    • Cible : sipdir.online.lync.com
    • Priorité : 100 — Poids : 1 — Port : 443
  • TXT de vérification : Nom =@. Valeur =MS=msXXXXXXXX (le code exact est donné par M365).
  • DKIM : Créez deux CNAME (selector1._domainkey et selector2._domainkey) vers les cibles indiquées par Microsoft 365, puis « Activer » DKIM dans l’admin.
  • DMARC : Nom =_dmarc. Valeur initiale recommandée : v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@votredomaine.tld. Après analyse des rapports, vous pourrez passer à p=reject.

SPF, DKIM, DMARC : comprendre et éviter les pièges

SPF indique qui a le droit d’envoyer des e‑mails pour votre domaine. La directive finale -all (hard‑fail) offre une meilleure protection que ~all (soft‑fail), mais nécessite d’avoir listé tous vos expéditeurs autorisés. Un SPF trop long ou trop fragmenté peut dépasser la limite de 10 recherches DNS ; surveillez‑la si vous empilez des include:.

DKIM signe cryptographiquement vos messages. Une fois les CNAME publiés et DKIM activé dans M365, chaque e‑mail sortant portera une signature que les serveurs destinataires pourront vérifier.

DMARC s’appuie sur SPF et DKIM pour décider du sort des messages usurpés (policy : none / quarantine / reject). Commencez avec quarantine ou même none pour observer, puis durcissez progressivement vers reject une fois certain que tous les expéditeurs légitimes sont conformes (SPF ou DKIM aligné sur le domaine From:).

Cas particuliers

  • Expéditeurs tiers (outil marketing, CRM, outil de newsletter) : ajoutez leur mécanisme include: dans SPF et/ou activez une signature DKIM spécifique à votre domaine chez ce prestataire. Vérifiez aussi l’alignement DMARC (domaine From: identique au domaine signature DKIM ou SPF).
  • Sous‑domaines dédiés (ex. mail.votredomaine.tld) : vous pouvez publier des enregistrements séparés par sous‑domaine si certaines applis envoient depuis @sousdomaine.votredomaine.tld. DMARC accepte aussi une politique par sous‑domaine (sp=).
  • Teams/Skype Entreprise on‑premise : ajoutez le SRV de fédération si demandé : _sipfederationtls._tcpsipfed.online.lync.com (port 5061, priorité/poids usuels 100/1), selon votre architecture.
  • Transfert de domaine vs. simple délégation DNS : vous pouvez garder l’enregistrement chez GoDaddy tout en déléguant les NS vers Vercel ; l’important est que le DNS actif (Vercel) contienne tous les enregistrements Microsoft 365.

Plan de test après migration

  1. MX : depuis une boîte externe (Gmail, etc.), envoyez vers utilisateur@votredomaine.tld. Réception sous quelques minutes.
  2. SPF : envoyez un message depuis M365 vers une boîte qui renvoie les en‑têtes complets ; vérifiez que SPF est pass.
  3. DKIM : vérifiez la présence de l’en‑tête DKIM-Signature et un statut dkim=pass côté destinataire.
  4. DMARC : l’en‑tête d’analyse doit indiquer dmarc=pass (via SPF ou DKIM aligné). Inspectez ensuite les rapports rua.
  5. Autodiscover : configuration d’un nouveau profil Outlook avec adresse + mot de passe, sans serveur manuel.
  6. Teams : test d’appel, présence, réunion et, si pertinent, fédération externe.

Dépannage rapide (symptôme → cause → correctif)

SymptômeCause probableCorrectif rapide
Vous ne recevez plus d’e‑mailsMX non créé ou mal cibléCréer/corriger le MX vers <tenant>.mail.protection.outlook.com, priorité 0
Échec d’envoi (codes 550 5.7.x)SPF non publié ou erronéPublier/fusionner l’unique SPF avec include:spf.protection.outlook.com et -all
Outlook demande un serveurCNAME autodiscover absentCréer autodiscoverautodiscover.outlook.com
M365 affiche « non vérifié »TXT MS=msXXXXXXXX absentCréer le TXT de vérification à l’apex et relancer la vérification
Faible délivrabilitéDKIM inactif, DMARC laxisteActiver DKIM, publier DMARC (p=quarantine puis p=reject après audit)
Appels Teams/fédération KOSRV manquantsCréer _sip._tls (et _sipfederationtls._tcp si nécessaire)
Messages légitimes rejetésExpéditeur tiers non autoriséAjouter leur include: au SPF et/ou activer DKIM chez le prestataire
Résolution instablePropagation/TTL trop longsAttendre la propagation, limiter les TTL (30–60 min), éviter les doublons de records

Commandes de vérification utiles

Exécutez ces commandes depuis un terminal (remplacez votredomaine.tld) :

# MX
nslookup -type=mx votredomaine.tld

# SPF (TXT à l’apex)

nslookup -type=txt votredomaine.tld

# DMARC

nslookup -type=txt _dmarc.votredomaine.tld

# DKIM (selector1)

nslookup -type=txt selector1._domainkey.votredomaine.tld

# SRV pour Teams

nslookup -type=srv _sip._tls.votredomaine.tld

Bonnes pratiques Vercel + Microsoft 365

  • Un seul SPF par domaine. Si un second SPF existe, fusionnez‑les (les enregistrements TXT SPF multiples causent un échec).
  • Pas de point final dans les cibles (certaines interfaces l’acceptent, d’autres non). Restez cohérent.
  • Surveillez la limite SPF de 10 requêtes DNS (chaque include: en consomme). Si vous approchez la limite, envisagez la « flattening » (publier des IP autorisées via un mécanisme externe) ou la consolidation des prestataires.
  • DMARC progressif : commencez par p=none ou p=quarantine, observez les rapports, puis migrez vers p=reject.
  • Gérez aussi le Web : pour servir l’apex sur Vercel, vous pouvez créer un A vers l’IP d’hébergement de Vercel et un CNAME pour www (selon la recommandation de votre projet Vercel). Ces records n’affectent pas la messagerie mais sont souvent oubliés.

Exemples concrets d’entrée dans l’UI Vercel

Voici comment remplir les champs les plus sensibles :

EnregistrementNom (Host)Valeur/CibleNotes UI
MX@<tenant>.mail.protection.outlook.comPriorité : 0. TTL par défaut (1 h).
TXT (SPF)@v=spf1 include:spf.protection.outlook.com -allVérifiez qu’aucun autre TXT SPF ne subsiste.
CNAME (Autodiscover)autodiscoverautodiscover.outlook.comPas de point final. TTL par défaut.
SRV (Teams)_sip._tlssipdir.online.lync.comPriorité 100, Poids 1, Port 443.
TXT (Vérification)@MS=msXXXXXXXXSupprimable après validation du domaine.

FAQ rapide

Dois‑je créer plusieurs enregistrements MX ? Non. Un seul MX pointant vers <tenant>.mail.protection.outlook.com suffit. Microsoft opère la redondance côté service.

Le champ « tenant » de l’MX est lequel ? C’est la valeur donnée par Microsoft 365 lors de la configuration du domaine (souvent dérivée de votre *.onmicrosoft.com). Saisissez‑la telle quelle, sans point final.

Puis‑je garder ~all dans SPF ? Oui, pour une phase transitoire. Préférez -all une fois tous les expéditeurs autorisés recensés et testés.

DMARC doit‑il être reject immédiatement ? Non. Montez progressivement : nonequarantinereject, en exploitant rua pour vérifier les sources d’envoi.

Dois‑je supprimer le TXT de vérification après validation ? Ce n’est pas obligatoire, mais vous pouvez le retirer pour alléger la zone. Gardez une trace du code si vous le supprimez.

Résumé opérationnel

En recopiant scrupuleusement les enregistrements MX, SPF, CNAME Autodiscover, SRV (_sip._tls), ainsi que DKIM/DMARC dans Vercel puis en validant la configuration depuis Microsoft 365, vous garantissez la continuité de la messagerie Outlook et des services associés (Teams/Skype). Prévoyez un plan de test, surveillez SPF/DKIM/DMARC, et utilisez les rapports pour durcir progressivement la politique de sécurité — tout en assurant une délivrabilité optimale.

Récapitulatif minimal à copier-coller

# MX (apex)
@   MX   0   <tenant>.mail.protection.outlook.com

# SPF (apex)

@   TXT      "v=spf1 include:spf.protection.outlook.com -all"

# Autodiscover

autodiscover   CNAME   autodiscover.outlook.com

# Teams/Skype

_sip._tls   SRV   100 1 443   sipdir.online.lync.com

# Vérification M365 (temporaire)

@   TXT      "MS=msXXXXXXXX"

# DKIM (après activation)

selector1._domainkey   CNAME   
selector2._domainkey   CNAME   

# DMARC

_dmarc   TXT   "v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@votredomaine.tld"

Avec ces éléments, votre migration GoDaddy → Vercel se déroule sans interruption de messagerie, et l’écosystème Microsoft 365 reste pleinement opérationnel.

Microsoft 365
outlook DNS Microsoft 365 Teams DMARC SPF GoDaddy DKIM MX Vercel
Sommaire