Qu'est-ce que le DKIM ?
Le DKIM (DomainKeys Identified Mail) est une méthode d'authentification des e-mails définie dans la norme RFC 6376. Il utilise la cryptographie asymétrique — une clé privée signe les messages sortants sur votre serveur de messagerie, et une clé publique publiée dans le DNS permet à n'importe quel serveur récepteur de vérifier cette signature. Si le message a été falsifié après la signature, la signature est brisée.
Contrairement au SPF, le DKIM authentifie le contenu du message lui-même (en-têtes et/ou corps), et pas seulement l'IP d'envoi. Cela le rend résistant aux scénarios de transfert d'e-mails où l'IP de l'expéditeur change.
Pourquoi avez-vous besoin du DKIM ?
1Intégrité du message
Prouve que le corps et les en-têtes de l'e-mail n'ont pas été modifiés depuis qu'il a quitté votre serveur
2Survit au transfert
La signature est intégrée à l'e-mail, pas liée à l'IP d'envoi — elle reste valide à travers les relais
3Requis pour DMARC
DMARC peut utiliser l'alignement DKIM comme base pour les décisions de réussite/échec
4Boost de délivrabilité
Gmail, Outlook et d'autres favorisent fortement les courriers signés par DKIM dans leurs décisions de filtrage
Comment fonctionne le DKIM — étape par étape
Vous générez une paire de clés publique/privée et configurez votre serveur de messagerie pour utiliser la clé privée.
Vous publiez la clé publique en tant qu'enregistrement DNS TXT sur `selector._domainkey.votre-domaine.com`.
Lorsque vous envoyez un e-mail, le serveur de messagerie hache les en-têtes sélectionnés et le corps, puis signe ce hachage avec la clé privée.
La signature est ajoutée en tant qu'en-tête `DKIM-Signature` sur l'e-mail.
Le serveur récepteur lit la `DKIM-Signature`, récupère la clé publique du DNS, décrypte la signature et re-hache le message pour comparer.
Une correspondance signifie que le message est authentique et inaltéré. Un écart indique une altération ou une mauvaise configuration.
Enregistrement DNS DKIM (clé publique)
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC...AQABChamps clés
v=DKIM1— identifiant de versionk=rsa— type de clé (rsa ou ed25519)p=— clé publique encodée en base64h=— algorithmes de hachage acceptables (sha256)s=— type de service (email ou *)t=s— indicateur de mode strictEn-tête DKIM-Signature (dans l'e-mail)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=votre-domaine.com; s=mail2024;
h=from:to:subject:date:message-id;
bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=;
b=mY93xZ...Signification des champs de signature
Problèmes DKIM courants
Modification du corps
Certaines listes de diffusion ou scanners antivirus modifient le corps, brisant le hachage bh=
Enregistrement DNS manquant
Vérifiez que votre enregistrement TXT est publié et propagé avant l'envoi
Mauvais sélecteur
Le s= dans la signature doit correspondre au sélecteur dans le nom de l'enregistrement DNS
Longueur de clé trop courte
Utilisez des clés RSA d'au moins 2048 bits. Les clés de 1024 bits sont considérées comme non sécurisées et rejetées par certains fournisseurs
Foire aux questions
Le DKIM (DomainKeys Identified Mail) est une méthode d'authentification cryptographique qui ajoute une signature numérique à vos e-mails. Cette signature permet aux serveurs récepteurs de vérifier que l'e-mail a bien été autorisé par le propriétaire du domaine et que le contenu du message n'a pas été altéré pendant le transit.
Un sélecteur DKIM est une chaîne unique utilisée pour localiser la clé publique spécifique dans vos enregistrements DNS. Vous pouvez généralement trouver le sélecteur dans les paramètres d'authentification de votre fournisseur de services de messagerie (ESP).
Un enregistrement DKIM manquant indique généralement soit que le nom du sélecteur est incorrect, soit que l'enregistrement n'a pas fini de se propager, soit que l'enregistrement TXT a été ajouté au mauvais niveau de domaine.
Oui, vous pouvez et devez avoir plusieurs enregistrements DKIM si vous utilisez plusieurs services de messagerie. Chaque service utilisera un sélecteur unique (par exemple, google._domainkey), leur permettant d'exister simultanément dans votre DNS.
Le DKIM fournit une couche de confiance que les FAI apprécient. Une signature DKIM valide prouve l'origine et l'intégrité de l'e-mail, ce qui aide à construire votre réputation d'expéditeur au fil du temps.
La clé privée reste en sécurité sur votre serveur de messagerie et sert à signer les messages sortants. La clé publique est publiée dans vos enregistrements DNS pour que tout le monde puisse la voir. Les serveurs récepteurs utilisent la clé publique pour décrypter la signature.