DKIM Recherche DKIM
Recherchez l'enregistrement de clé publique DKIM d'un domaine, analysez chaque balise, et voyez les étapes de configuration propres à votre fournisseur.
Configuration DKIM — guide par fournisseur
Les clés DKIM sont générées par votre fournisseur de messagerie, et non construites à partir d'un formulaire. Choisissez le vôtre ci-dessous pour une configuration étape par étape.
Qu'est-ce que DKIM ?
DKIM (DomainKeys Identified Mail) est une façon de signer cryptographiquement le courriel sortant afin que les destinataires puissent vérifier que le message provient bien de votre domaine et n'a pas été modifié en transit.
Votre fournisseur de messagerie détient une clé privée et signe chaque message sortant avec elle. Il publie la clé publique correspondante dans votre DNS sous forme d'enregistrement TXT à <sélecteur>._domainkey.<votredomaine>. Les destinataires récupèrent cette clé publique, vérifient la signature dans les en-têtes du message et décident si le message est authentique.
Ce que cet outil vérifie
- Si des enregistrements DKIM existent aux sélecteurs courants (ou à un sélecteur que vous précisez)
- Le contenu complet de l'enregistrement et la décomposition de chaque balise
- La taille approximative de la clé RSA (les clés de 1024 bits sont sous la meilleure pratique actuelle)
- Les algorithmes de hachage autorisés (SHA-1 est désuet ; SHA-256 est la norme)
- L'indicateur de mode test et les signaux de clé révoquée
- Si la clé publique s'analyse comme une clé valide encodée en base64
Qu'est-ce qu'un sélecteur ?
Un sélecteur est une étiquette arbitraire que votre fournisseur de messagerie choisit pour identifier une clé DKIM précise. Il permet à un fournisseur d'avoir plusieurs clés actives en même temps (pour la rotation) et vous permet d'avoir des clés différentes pour des services différents. Le nom complet de l'enregistrement DNS est <sélecteur>._domainkey.<votredomaine>.
Sélecteurs courants par fournisseur :
- Google Workspace :
google - Microsoft 365 :
selector1etselector2(enregistrements CNAME, pas TXT) - Fastmail :
fm1,fm2,fm3 - Proton Mail :
protonmail,protonmail2,protonmail3 - Zoho : généralement
zohoou un nom personnalisé - Mailchimp :
k1,k2 - Mailgun : un sélecteur personnalisé que vous définissez (souvent
mailo) - SendGrid :
s1,s2
Problèmes DKIM courants
Clé révoquée (p= vide)
Si la balise p= est vide, le sélecteur est explicitement marqué comme révoqué. Toute signature utilisant ce sélecteur sera traitée comme invalide. Cela arrive généralement lorsqu'un fournisseur effectue une rotation de clés mais que l'ancien enregistrement de sélecteur n'est pas supprimé.
Clés RSA de 1024 bits
Les clés de 1024 bits étaient la valeur par défaut d'origine de DKIM, mais elles sont maintenant sous la meilleure pratique actuelle. Les grands fournisseurs sont passés à 2048 bits. Certains destinataires (dont Gmail) journalisent activement des avertissements pour le DKIM en 1024 bits. La plupart des fournisseurs permettent de régénérer en 2048 bits depuis leur interface d'administration.
SHA-1 dans h=
SHA-1 est cryptographiquement cassé et désuet pour DKIM. Si votre enregistrement annonce h=sha1, remplacez-le par h=sha256 (ou retirez complètement la balise h= pour que la valeur par défaut s'applique).
Mode test (t=y)
L'indicateur t=y dit aux destinataires « ceci est en mode test — ne traitez pas les échecs DKIM comme de vrais échecs ». Retirez-le une fois que vous êtes sûr que DKIM fonctionne. Le laisser en production affaiblit l'application de DMARC.
Foire aux questions
Comment trouver mon sélecteur si je ne le connais pas déjà ?
Consultez l'interface d'administration de votre fournisseur de messagerie sous « Authentification du courriel » ou « DKIM » — elle affichera le nom d'hôte qu'elle veut vous voir publier, lequel contient le sélecteur. Autrement, envoyez-vous un message test et examinez l'en-tête DKIM-Signature — le champ s= est le sélecteur.
Puis-je avoir plusieurs enregistrements DKIM ?
Oui — c'est tout l'intérêt des sélecteurs. Chaque sélecteur est son propre enregistrement TXT à un nom unique, vous pouvez donc avoir un sélecteur Google, un sélecteur Mailgun et un sélecteur SendGrid qui signent tous le courrier du même domaine en même temps.
Pourquoi les enregistrements de Microsoft 365 sont-ils des CNAME et non des TXT ?
Microsoft héberge la clé DKIM réelle pour vous et utilise des enregistrements CNAME pour faire pointer les selector1._domainkey et selector2._domainkey de votre domaine vers son infrastructure. Cela permet à Microsoft d'effectuer la rotation des clés en coulisses sans que vous ayez à mettre à jour le DNS.
Combien de temps faut-il pour que DKIM commence à fonctionner ?
Après la publication de l'enregistrement DNS, DKIM commence généralement à signer et à se vérifier en moins d'une heure (selon le TTL de votre DNS). Certains fournisseurs (Amazon SES, Microsoft 365) ont une étape supplémentaire dans l'interface d'administration pour activer DKIM après la détection des enregistrements — assurez-vous de l'avoir faite.
Ai-je besoin de DKIM si j'ai déjà SPF ?
Oui. SPF authentifie l'adresse IP du serveur qui se connecte ; DKIM authentifie le contenu du message au moyen d'une signature. Ils couvrent des surfaces d'attaque différentes — SPF ne survit pas au transfert, DKIM oui. DMARC exige qu'au moins l'un des deux réussisse avec alignement de domaine, mais la délivrabilité réelle est meilleure avec les deux.
Puis-je effectuer la rotation de mes clés DKIM ?
Oui, et vous devriez le faire périodiquement. La plupart des fournisseurs permettent de générer une nouvelle clé sous un nouveau sélecteur, de laisser les deux actives pendant une période de transition, puis de révoquer l'ancienne (mettre son p= à vide). Le NIST recommande une rotation au moins une fois par an.