DKIM Recherche DKIM
Recherchez l'enregistrement de clé publique DKIM d'un domaine, analysez chaque balise, et voyez les étapes de configuration propres à votre fournisseur.
Configuration DKIM — guide par fournisseur
Les clés DKIM sont générées par votre fournisseur de messagerie, et non construites à partir d'un formulaire. Choisissez le vôtre ci-dessous pour une configuration étape par étape.
- 1Choisir le fournisseur
- 2Générer les clés
- 3Ajouter les enregistrements
- 4Vérifier
Choisissez votre fournisseur de messagerie
DKIM n'est pas quelque chose que vous écrivez à la main — votre fournisseur de messagerie crée les clés pour vous. La première chose à faire est donc de nous indiquer qui gère votre courriel (l'entreprise où vous vous connectez pour le webmail ou l'administration). Si vos enregistrements MX l'ont révélé, nous l'avons déjà choisi pour vous ci-dessous.
Générez les clés & ajoutez les enregistrements
Suivez maintenant les étapes de votre fournisseur ci-dessous. Il y a vraiment deux moitiés : vous cliquez d'abord sur un bouton dans son panneau d'administration pour générer les clés DKIM, puis il vous remet un ou plusieurs enregistrements à ajouter chez votre hébergeur DNS (là où vous gérez votre domaine). Copiez chaque enregistrement exactement — un seul caractère erroné empêchera DKIM de fonctionner.
Vérifiez que c'est en ligne
Presque terminé. Une fois que vous avez ajouté les enregistrements et activé DKIM chez votre fournisseur, attendez quelques minutes que le DNS se mette à jour, puis revenez revérifier ce domaine pour confirmer que tout signe correctement.
Vous avez ajouté les enregistrements et activé DKIM chez votre fournisseur ? Revérifiez votre domaine pour confirmer que la clé publique est publiée et que votre sélecteur est actif.
Revérifier ce domaineVeuillez patienter quelques minutes que les changements prennent effet, puis forcez l'actualisation (Ctrl+F5) pour revérifier.
Qu'est-ce que DKIM ?
DKIM (DomainKeys Identified Mail) est une façon de signer cryptographiquement le courriel sortant afin que les destinataires puissent vérifier que le message provient bien de votre domaine et n'a pas été modifié en transit.
Votre fournisseur de messagerie détient une clé privée et signe chaque message sortant avec elle. Il publie la clé publique correspondante dans votre DNS sous forme d'enregistrement TXT à <sélecteur>._domainkey.<votredomaine>. Les destinataires récupèrent cette clé publique, vérifient la signature dans les en-têtes du message et décident si le message est authentique.
Ce que cet outil vérifie
- Si des enregistrements DKIM existent aux sélecteurs courants (ou à un sélecteur que vous précisez)
- Le contenu complet de l'enregistrement et la décomposition de chaque balise
- La taille approximative de la clé RSA (les clés de 1024 bits sont sous la meilleure pratique actuelle)
- Les algorithmes de hachage autorisés (SHA-1 est désuet ; SHA-256 est la norme)
- L'indicateur de mode test et les signaux de clé révoquée
- Si la clé publique s'analyse comme une clé valide encodée en base64
Qu'est-ce qu'un sélecteur ?
Un sélecteur est une étiquette arbitraire que votre fournisseur de messagerie choisit pour identifier une clé DKIM précise. Il permet à un fournisseur d'avoir plusieurs clés actives en même temps (pour la rotation) et vous permet d'avoir des clés différentes pour des services différents. Le nom complet de l'enregistrement DNS est <sélecteur>._domainkey.<votredomaine>.
Sélecteurs courants par fournisseur :
- Google Workspace :
google - Microsoft 365 :
selector1etselector2(enregistrements CNAME, pas TXT) - Fastmail :
fm1,fm2,fm3 - Proton Mail :
protonmail,protonmail2,protonmail3 - Zoho : généralement
zohoou un nom personnalisé - Mailchimp :
k1,k2 - Mailgun : un sélecteur personnalisé que vous définissez (souvent
mailo) - SendGrid :
s1,s2
Problèmes DKIM courants
Clé révoquée (p= vide)
Si la balise p= est vide, le sélecteur est explicitement marqué comme révoqué. Toute signature utilisant ce sélecteur sera traitée comme invalide. Cela arrive généralement lorsqu'un fournisseur effectue une rotation de clés mais que l'ancien enregistrement de sélecteur n'est pas supprimé.
Clés RSA de 1024 bits
Les clés de 1024 bits étaient la valeur par défaut d'origine de DKIM, mais elles sont maintenant sous la meilleure pratique actuelle. Les grands fournisseurs sont passés à 2048 bits. Certains destinataires (dont Gmail) journalisent activement des avertissements pour le DKIM en 1024 bits. La plupart des fournisseurs permettent de régénérer en 2048 bits depuis leur interface d'administration.
SHA-1 dans h=
SHA-1 est cryptographiquement cassé et désuet pour DKIM. Si votre enregistrement annonce h=sha1, remplacez-le par h=sha256 (ou retirez complètement la balise h= pour que la valeur par défaut s'applique).
Mode test (t=y)
L'indicateur t=y dit aux destinataires « ceci est en mode test — ne traitez pas les échecs DKIM comme de vrais échecs ». Retirez-le une fois que vous êtes sûr que DKIM fonctionne. Le laisser en production affaiblit l'application de DMARC.
Foire aux questions
Comment trouver mon sélecteur si je ne le connais pas déjà ?
Consultez l'interface d'administration de votre fournisseur de messagerie sous « Authentification du courriel » ou « DKIM » — elle affichera le nom d'hôte qu'elle veut vous voir publier, lequel contient le sélecteur. Autrement, envoyez-vous un message test et examinez l'en-tête DKIM-Signature — le champ s= est le sélecteur.
Puis-je avoir plusieurs enregistrements DKIM ?
Oui — c'est tout l'intérêt des sélecteurs. Chaque sélecteur est son propre enregistrement TXT à un nom unique, vous pouvez donc avoir un sélecteur Google, un sélecteur Mailgun et un sélecteur SendGrid qui signent tous le courrier du même domaine en même temps.
Pourquoi les enregistrements de Microsoft 365 sont-ils des CNAME et non des TXT ?
Microsoft héberge la clé DKIM réelle pour vous et utilise des enregistrements CNAME pour faire pointer les selector1._domainkey et selector2._domainkey de votre domaine vers son infrastructure. Cela permet à Microsoft d'effectuer la rotation des clés en coulisses sans que vous ayez à mettre à jour le DNS.
Combien de temps faut-il pour que DKIM commence à fonctionner ?
Après la publication de l'enregistrement DNS, DKIM commence généralement à signer et à se vérifier en moins d'une heure (selon le TTL de votre DNS). Certains fournisseurs (Amazon SES, Microsoft 365) ont une étape supplémentaire dans l'interface d'administration pour activer DKIM après la détection des enregistrements — assurez-vous de l'avoir faite.
Ai-je besoin de DKIM si j'ai déjà SPF ?
Oui. SPF authentifie l'adresse IP du serveur qui se connecte ; DKIM authentifie le contenu du message au moyen d'une signature. Ils couvrent des surfaces d'attaque différentes — SPF ne survit pas au transfert, DKIM oui. DMARC exige qu'au moins l'un des deux réussisse avec alignement de domaine, mais la délivrabilité réelle est meilleure avec les deux.
Puis-je effectuer la rotation de mes clés DKIM ?
Oui, et vous devriez le faire périodiquement. La plupart des fournisseurs permettent de générer une nouvelle clé sous un nouveau sélecteur, de laisser les deux actives pendant une période de transition, puis de révoquer l'ancienne (mettre son p= à vide). Le NIST recommande une rotation au moins une fois par an.