DKIM est l'enregistrement d'authentification de courriel qui semble le plus mystérieux, parce qu'il fait intervenir la cryptographie. Mais l'idée est simple : votre fournisseur de courriel signe chaque message que vous envoyez, et quiconque le reçoit peut vérifier cette signature à l'aide d'une clé publique que vous publiez dans le DNS. Ce guide explique comment cela fonctionne, ce qu'est un sélecteur, et comment trouver et faire la rotation de vos clés.

Ce que fait DKIM

DKIM (DomainKeys Identified Mail) prouve deux choses à propos d'un message : qu'il provient réellement de votre domaine, et qu'il n'a pas été altéré entre l'envoi et la livraison. Il le fait grâce à une signature numérique ajoutée aux en-têtes du message — invisible pour le lecteur, mais vérifiée par le serveur de réception.

Comment fonctionne la signature

DKIM utilise une paire de clés publique/privée :

  • La clé privée reste chez votre fournisseur de courriel et n'est jamais partagée. Quand vous envoyez un message, le fournisseur calcule une signature sur les en-têtes et le corps du message à l'aide de cette clé, et l'ajoute comme en-tête DKIM-Signature.
  • La clé publique est publiée dans votre DNS sous forme d'enregistrement TXT. Quiconque peut la lire.

Quand un serveur de réception reçoit votre message, il lit l'en-tête DKIM-Signature, récupère votre clé publique dans le DNS et l'utilise pour vérifier la signature. Si les calculs concordent, le message est authentique et non modifié. Si ne serait-ce qu'un seul octet du contenu signé a changé en chemin, la vérification échoue.

Ce qu'est un sélecteur

Un domaine a souvent besoin de plus d'une clé DKIM — différents fournisseurs, ou anciennes et nouvelles clés pendant une rotation. Le sélecteur est l'étiquette qui indique quelle clé utiliser. Il apparaît dans la signature et pointe vers l'endroit où réside la clé publique dans le DNS, à :

selector._domainkey.yourdomain.com

Ainsi, un message signé avec le sélecteur google pour example.com indique au destinataire de récupérer la clé à google._domainkey.example.com. Chaque fournisseur utilise ses propres noms de sélecteur — Google utilise google, Microsoft 365 utilise selector1 et selector2, et de nombreux expéditeurs en masse en utilisent un personnalisé.

Pourquoi vous avez besoin du sélecteur pour rechercher DKIM : contrairement à SPF ou DMARC, il n'y a pas d'emplacement fixe unique pour une clé DKIM — elle se trouve là où le sélecteur pointe. Pour vérifier un enregistrement DKIM, vous devez connaître (ou deviner) le sélecteur. Notre recherche DKIM connaît les sélecteurs courants des fournisseurs et les essaie pour vous.

Ce que contient un enregistrement DKIM

L'enregistrement TXT publié contient la clé publique et quelques options. Un enregistrement typique ressemble à :

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQ...
  • v=DKIM1 — la version.
  • k=rsa — le type de clé (RSA est la norme).
  • p= — la clé publique elle-même, sous forme d'une longue chaîne base64. Un p= vide signifie que la clé a été révoquée.

Pourquoi DKIM compte plus que SPF pour les courriels transférés

Parce que la signature DKIM voyage à l'intérieur du message, elle continue de se vérifier même quand le courriel est transféré — contrairement à SPF, qui se brise dès qu'un serveur de transfert devient le nouvel expéditeur. Cette résilience explique pourquoi l'alignement DMARC via DKIM est généralement plus fiable que via SPF, et pourquoi vous devriez toujours activer DKIM, pas seulement SPF.

La rotation de vos clés

Une bonne pratique est de faire une rotation périodique des clés DKIM (de nombreux fournisseurs le font automatiquement). La rotation se déroule sans heurts grâce aux sélecteurs : vous publiez une nouvelle clé sous un nouveau sélecteur, basculez la signature vers elle, et une fois qu'aucun courriel en transit ne dépend plus de l'ancienne clé, vous la retirez. Comme chaque clé a son propre sélecteur, l'ancienne et la nouvelle peuvent coexister sans interruption de service.

Problèmes DKIM courants

  • DKIM jamais activé. De nombreux fournisseurs ne signent pas par défaut — vous devez l'activer et publier la clé.
  • Clé publiée incorrectement. Une longue clé mal découpée, ou collée avec des espaces parasites, ne se validera pas.
  • Sélecteur erroné ou inconnu. Si vous ne trouvez pas votre enregistrement, vous cherchez probablement sous le mauvais sélecteur.
  • Clé révoquée (p= vide). La signature a été désactivée ou la clé a été retirée.

Trouvez et vérifiez votre enregistrement DKIM

Utilisez la recherche DKIM pour localiser votre clé — elle essaie les sélecteurs utilisés par les grands fournisseurs — et la vérification complète du domaine pour voir DKIM aux côtés de SPF et DMARC. Nouveau dans tout ceci ? Commencez par SPF, DKIM et DMARC expliqués.