Comment trouver votre sélecteur DKIM et gérer vos clés DKIM
par
Dernière mise à jour : 9 Temps de lecture : 9 min
Points clés à retenir
- Le sélecteur DKIM est un identifiant essentiel qui permet de vérifier l'authenticité du courrier électronique.
- Les sélecteurs DKIM peuvent être trouvés en vérifiant la balise « s= » dans la signature DKIM d'un e-mail test.
- L'utilisation d'outils tels que PowerDMARC simplifie le processus de localisation des sélecteurs DKIM et la gestion sécurité des e-mails.
- La configuration de sélecteurs DKIM uniques et complexes renforce la protection contre les cyberattaques potentielles.
- La rotation régulière des clés DKIM et le respect des meilleures pratiques en matière de sélecteur DKIM peuvent considérablement renforcer la sécurité de votre domaine.
Quel est le rôle de l'authentification des e-mails ? Elle bloque les messages usurpés, mais elle joue également un rôle essentiel dans la protection de la réputation de la marque et dans la garantie que les e-mails légitimes parviennent bien à leur destinataire. Parmi les principaux protocoles d'authentification, DKIM se distingue en ajoutant une signature cryptographique à chaque message, prouvant ainsi qu'il n'a pas été altéré pendant son transit.
Au cœur de DKIM se trouve le sélecteur DKIM. Bien qu’il soit souvent négligé, le sélecteur détermine quelle clé publique les serveurs destinataires doivent utiliser pour vérifier la signature de votre e-mail, ce qui le rend indispensable à la réussite de l’authentification DKIM entre différents flux de messagerie et fournisseurs.
Dans cet article, nous allons passer en revue tout ce que vous devez savoir sur les sélecteurs DKIM et résoudre les erreurs courantes qui peuvent compromettre l'authentification et nuire à la délivrabilité.
Qu'est-ce qu'un sélecteur DKIM ?
Un sélecteur DKIM est un identifiant unique utilisé dans l'authentification DKIM qui indique aux serveurs de messagerie destinataires quelle clé publique récupérer via le DNS pour vérifier la signature DKIM. Il permet à un domaine d'utiliser plusieurs clés DKIM simultanément, ce qui facilite la rotation et la gestion des clés sans interrompre la distribution des e-mails.
Exemple :
Signature DKIM : v=1 ; a=rsa-sha256 ; c=relaxed/relaxed ; d=example.com ; s=selector1 ; h=from:to:subject:date ; bh=abc123… ; b=xyz456…
Ici, « s= » désigne le sélecteur. Dans cet exemple, « s=selector1 » indique au serveur d'interroger :
selector1._domainkey.example.com
Comment fonctionne l'authentification DKIM (étape par étape)
Comme expliqué ci-dessus, DKIM fonctionne en ajoutant une signature cryptographique à chaque e-mail sortant envoyé depuis votre domaine compatible DKIM.
- Étape 1: Le serveur de messagerie émetteur signe l'e-mail sortant à l'aide d'une clé cryptographique privée. Cette signature est ajoutée à l'en-tête de l'e-mail, accompagnée d'un sélecteur DKIM qui identifie la clé utilisée.
- Étape 2: Le serveur de messagerie destinataire recherche la clé publique. Pour ce faire, il interroge le DNS à l'aide du sélecteur.
- Étape 3: Une fois la clé publique trouvée, le serveur destinataire l'utilise pour vérifier la signature dans l'en-tête de l'e-mail. Si la signature correspond, le contrôle DKIM est réussi, ce qui confirme que le message n'a pas été modifié pendant le transit et qu'il a été autorisé par le domaine expéditeur.
Notez toutefois que DKIM fonctionne mieux lorsqu'il est associé à SPF DMARC, et ne peut à lui seul empêcher l'usurpation d'identité et le phishing .
Comment trouver un sélecteur DKIM (méthodes étape par étape)
Méthode A : Inspecter les en-têtes des e-mails (manuel)
1) Envoyez un e-mail de test à votre compte Gmail
2) Cliquez sur les trois points situés à côté de l'e-mail dans votre boîte de réception Gmail
3) Sélectionnez "montrer l'original".
4) Sur la page "Original Message", naviguez vers le bas de la page jusqu'à la section de la signature DKIM et essayez de localiser la balise "s=", la valeur de cette balise est votre sélecteur DKIM.
Dans l'exemple ci-dessus, s1 est mon sélecteur DKIM. C'est l'une des méthodes que vous pouvez utiliser pour identifier et localiser le vôtre.
Méthode B : Utiliser les paramètres du fournisseur de messagerie électronique
Étape 1 : Connectez-vous à la console d'administration de votre fournisseur de services de messagerie électronique.
Étape 2 : Accédez à la section consacrée à l'authentification des e-mails ou à la configuration DNS.
Étape 3 : Recherchez les paramètres DKIM de votre domaine.
Étape 4 : Identifiez la valeur du sélecteur indiquée dans l'enregistrement TXT DKIM.
Méthode C : Utilisation des outils de recherche/vérification DKIM
Étape 1 : Ouvrez l'outil PowerDMARC DKIM Checker.
Étape 2 : Entrez votre nom de domaine et laissez le champ de sélection sur « auto ».
Étape 3 : Cliquez sur « Lookup » (Recherche)
Étape 4 : Laissez notre outil détecter et afficher automatiquement votre sélecteur DKIM.
Méthode D : Utilisation des outils de surveillance DMARC
Les outils de reporting DMARC tels que PowerDMARC offrent une visibilité sur les sélecteurs DKIM activement utilisés par les sources d'envoi.
Étape 1 : Activez les rapports agrégés DMARC pour votre domaine en vous inscrivant sur PowerDMARC.
Étape 2 : Examinez les résultats d'authentification pour chaque source d'envoi.
Étape 3 : Identifiez les valeurs du sélecteur DKIM signalées par source et par adresse IP.
Méthode E : Utilisation des outils en ligne de commande
Pour les utilisateurs avancés, les outils en ligne de commande permettent d'accéder directement aux enregistrements DNS et aux sélecteurs DKIM.
Utilisation de la commande dig :
Pour interroger un sélecteur DKIM spécifique :
dig TXT selector1._domainkey.example.com
À l'aide de la commande nslookup :
nslookup -type=TXT selector1._domainkey.example.com
Remarque : Vous devez connaître le nom du sélecteur à l'avance pour utiliser efficacement ces commandes.
Comment trouver un sélecteur DKIM chez différents fournisseurs de messagerie
Chaque fournisseur de messagerie propose des étapes spécifiques pour localiser les sélecteurs DKIM. Voici un guide complet pour les plateformes les plus courantes :
Gmail/Google Workspace
- Connectez-vous à la Console d'administration Google
- Accédez à Applications > Google Workspace > Gmail > Authentifier l'adresse e-mail
- Cliquez sur « Générer un nouvel enregistrement » pour afficher le sélecteur
- Le sélecteur se présente généralement sous la forme suivante : google._domainkey.votredomaine.com
Microsoft 365/Outlook
- Accéder au Centre d'administration Microsoft 365
- Allez dans Paramètres > Domaines > Sélectionnez votre domaine
- Cliquez sur « Enregistrements DNS » et recherchez les entrées DKIM
- Les sélecteurs sont généralement : selector1._domainkey et selector2._domainkey
Yahoo Mail
- Accéder au panneau d'administration de Yahoo Small Business
- Accédez à Paramètres du domaine > Authentification des e-mails
- Consultez la configuration DKIM pour trouver le sélecteur
- Format courant : s1024._domainkey.votredomaine.com
SendGrid
- Connectez-vous au tableau de bord SendGrid
- Accédez à Paramètres > Authentification de l'expéditeur
- Cliquez sur « Authentifier votre domaine »
- Format du sélecteur : s1._domainkey.votredomaine.com et s2._domainkey.votredomaine.com
Mailchimp
- Accéder aux paramètres du compte Mailchimp
- Accédez à Domaines > Vérifier un domaine
- Consultez la section « Enregistrements DNS » pour les entrées DKIM
- Format du sélecteur : k1._domainkey.votredomaine.com
Comment configurer et publier un sélecteur DKIM
La configuration correcte d'un sélecteur DKIM est essentielle pour l'authentification des e-mails, la réputation de l'expéditeur et la délivrabilité à long terme. Un sélecteur mal configuré peut complètement compromettre le DKIM, même si la clé elle-même est valide.
Format et syntaxe requis pour les enregistrements DNS
Un enregistrement DKIM est publié sous forme d'enregistrement TXT dans le DNS en utilisant la structure suivante : selector._domainkey.votredomaine.com
Exemple : s1._domainkey.exemple.com
La valeur comprend généralement :
- v=DKIM1 (version du protocole)
- k=rsa (type de clé)
- p = (clé publique)
Exemple de valeur : v=DKIM1 ; k=rsa ; p=MIIBIjANBgkq…
Assurez-vous qu'il n'y a il n'y a pas d'espaces, de guillemets ou de sauts de ligne ajoutés par le fournisseur DNS.
Recommandations relatives à la longueur des clés (2048 bits)
- Les clés DKIM 2048 bits sont fortement recommandées.
- Les clés 1024 bits sont obsolètes et peuvent échouer lors de l'authentification auprès des principaux fournisseurs de messagerie électronique.
- Des clés plus longues améliorent la puissance cryptographique sans nuire aux performances.
La plupart des plateformes de messagerie modernes utilisent par défaut des clés de 2048 bits. Il est recommandé de conserver cette option activée, sauf si une raison technique impérieuse s'y oppose.
Publication via le panneau du fournisseur DNS
- Connectez-vous à votre fournisseur d'hébergement DNS.
- Ajouter un nouvel enregistrement TXT
- Définissez le hôte/nom comme sélecteur DKIM
- Collez la clé publique DKIM dans le champ « valeur ».
- Enregistrer et attendre la propagation
- Vérifiez votre configuration DKIM à l'aide de notre outil DKIM Checker.
Enregistrements TXT et CNAME pour DKIM
Comprendre la différence entre les enregistrements TXT et CNAME pour DKIM facilite la mise en œuvre et le dépannage.
Enregistrements TXT (les plus courants)
- Contient la clé publique DKIM proprement dite
- Format : selector._domainkey.example.com TXT « v=DKIM1; k=rsa; p=MIIBIjAN… »
- À utiliser lorsque vous gérez vos propres clés DKIM
Enregistrements CNAME (gestion déléguée)
- Renvoie vers un autre domaine qui héberge la clé DKIM
- Format : selector._domainkey.example.com CNAME selector._domainkey.emailprovider.com
- À utiliser lorsque votre fournisseur de messagerie gère les clés DKIM
- Couramment utilisé avec des services tels que Google Workspace, Office 365 et SendGrid
Quand utiliser chaque type
- Enregistrements TXT : Serveurs de messagerie gérés en interne, implémentations DKIM personnalisées
- Enregistrements CNAME : Services de messagerie tiers, plateformes de messagerie gérées
Conventions de dénomination et exemples de sélecteurs DKIM
Choisir le bon nom de sélecteur améliore la clarté, l'évolutivité et la maintenance à long terme.
Modèles de sélection courants
Les formats fréquemment utilisés sont notamment : s1, s2, selector1 et les paramètres par défaut des fournisseurs tels que google, k1, smtp, mail. Bien que ceux-ci fonctionnent parfaitement, ils manquent souvent de contexte et peuvent être difficiles à suivre.
Meilleure pratique : noms de sélecteurs descriptifs
Utilisez plutôt des sélecteurs qui indiquent le service et la période, par exemple : google2025, sendgrid_q1, marketing_2024. Ceux-ci sont beaucoup plus faciles à mémoriser et à suivre, et fournissent un contexte précis, laissant peu de place aux conjectures tout en garantissant la sécurité.
Gestion des sélecteurs DKIM
L'un des aspects les plus souvent négligés du protocole DKIM est la gestion des sélecteurs au fil du temps. Les sélecteurs doivent être considérés comme des ressources à gérer, et non comme de simples entrées DNS ponctuelles que l'on oublie une fois la configuration effectuée.
La tenue d'un registre est une pratique simple mais très efficace. Un simple tableur ou un journal interne permet de suivre efficacement vos sélecteurs et vos calendriers de rotation. Cela évite toute confusion lorsque des clés doivent être renouvelées ou lorsqu'un service d'envoi est mis hors service.
Il suffit de tenir à jour un système de suivi simple (fichier CSV, tableur ou registre interne) comprenant :
- Nom du sélecteur
- Domaine
- Service d'envoi
- Longueur de clé
- Date de création
- Calendrier de rotation
- Propriétaire/équipe
Cycle de vie du sélecteur DKIM
Chaque sélecteur DKIM doit suivre un cycle de vie bien défini. Celui-ci commence par la phase de planification, au cours de laquelle sont définies les conventions de nommage et les calendriers de rotation.
Un cycle de vie sain comprend :
- Plan: définir la stratégie de dénomination et de rotation
- Publier: ajouter un enregistrement DNS et valider
- Faire pivoter: introduire un nouveau sélecteur et une nouvelle clé
- Mise hors service: supprimer les sélecteurs inutilisés en toute sécurité
Comment l'outil d'analyse DKIM de PowerDMARC peut vous aider
Les analyses DKIM hébergées de PowerDMARC Analyse DKIM hébergée comble cette lacune en offrant aux organisations une visibilité en continu sur les performances réelles de DKIM à travers les domaines, les sélecteurs et les sources d'envoi.
- Surveillance par sélecteur et par service d'envoi: PowerDMARC analyse les performances DKIM au niveau du sélecteur et du service d'envoi.
- Filtrage flexible par plage horaire: PowerDMARC vous permet d' d'analyser les performances DKIM sur des plages de temps flexibles telles que les sept derniers jours, le mois précédent ou des périodes entièrement personnalisées.
- Statistiques DKIM en un coup d'œil: Pour une évaluation rapide, PowerDMARC fournit un aperçu général de DKIM qui récapitule le nombre total de sélecteurs, les services d'envoi actifs, ainsi que le volume d'e-mails signés DKIM par rapport à ceux non signés.
- Informations détaillées au niveau des sélecteurs: Pour chaque sélecteur, PowerDMARC met en évidence des données clés telles que le volume total d'e-mails, les taux de réussite DKIM et la dernière fois où le sélecteur a été observé en train de signer un e-mail.
- Rapports exportables pour l'audit et la collaboration: PowerDMARC vous permet d'exporter les données d'analyse au format CSV, ce qui rend la création de rapports simple et flexible.
- Aperçu de l'état des clés DKIM: Les informations clés sur l'intégrité des clés comprennent la visibilité de la longueur des clés, le suivi de leur rotation et la surveillance de leur utilisation.
Meilleures pratiques pour les sélecteurs DKIM
Pour garantir le bon fonctionnement du sélecteur DKIM et optimiser la délivrabilité des e-mails, suivez ces bonnes pratiques :
Liste de contrôle des bonnes pratiques pour le sélecteur DKIM
| Bonnes pratiques | Impact sur la faisabilité | Mise en œuvre |
|---|---|---|
| Utilisez des sélecteurs uniques et difficiles à deviner | Empêche les attaques par énumération de sélecteurs | Utilisez des noms descriptifs accompagnés de dates ou de services |
| Faites tourner régulièrement les clés DKIM | Assure le maintien du niveau de sécurité | Prévoir une rotation tous les 3 à 6 mois |
| Utilisez des conventions de nommage cohérentes | Simplifie la gestion et les audits | Normes de nommage des documents |
| Surveiller activement l'utilisation du sélecteur | Identifie les sélecteurs inutilisés ou compromis | Utilisez les rapports DMARC et les outils d'analyse |
| Gérer la documentation relative aux sélecteurs | Empêche la dérive de configuration | Suivre dans un tableur ou dans la CMDB |
Impact sur la délivrabilité
Une bonne gestion des sélecteurs DKIM a un impact direct sur la délivrabilité des e-mails, car :
- Garantir une authentification cohérente pour toutes les sources d'envoi
- Renforcer la réputation de l'expéditeur grâce à des signatures DKIM fiables
- Éviter les échecs d'authentification susceptibles de déclencher les filtres anti-spam
- Prise en charge de la conformité DMARC pour une protection optimale
Résolution des problèmes liés au sélecteur DKIM
Problèmes courants liés aux sélecteurs DKIM et leurs solutions :
| Problème | Causes courantes | Solutions |
|---|---|---|
| Sélecteur introuvable dans le DNS | Erreurs de syntaxe, type d'enregistrement incorrect, propagation incomplète | Patientez 24 à 48 heures pour que la propagation soit effective, puis utilisez l'outil de vérification DKIM |
| La multiplicité des sélecteurs est source de confusion | Trop de sélecteurs actifs, documentation insuffisante | Supprimer les sélecteurs inutilisés, mettre à jour la documentation |
| Incompatibilité de sélecteur | L'en-tête fait référence à un sélecteur inexistant ; configuration obsolète | Vérifier la cohérence entre la signature DKIM et l'enregistrement DNS |
| Délais de propagation DNS | Modifications récentes du DNS, valeurs TTL élevées | Attendez que la mise à jour soit entièrement propagée, puis vérifiez depuis plusieurs endroits |
| Problèmes liés à la longueur des clés | Utilisation de clés de 1024 bits obsolètes | Passez à des clés de 2048 bits, mettez à jour les enregistrements DNS |
Problème 1 : Sélecteur introuvable dans le DNS
Causes courantes: Ce problème peut être dû à des erreurs de syntaxe, à un type d'enregistrement DNS incorrect, à une propagation incomplète ou à une utilisation incorrecte du domaine ou du sous-domaine.
Dépannage: Laissez à votre DNS un délai de propagation de 24 à 48 heures si vous avez récemment configuré DKIM. Si le problème persiste, utilisez un outil de vérification DKIM pour contrôler votre enregistrement et corriger les erreurs détectées.
Problème n° 2 : plusieurs sélecteurs prêtant à confusion
Causes courantes: Un trop grand nombre de sélecteurs actifs peut compliquer les audits, et les sélecteurs inutilisés peuvent rester indéfiniment. Ce n'est pas une bonne pratique. De plus, une documentation insuffisante rend la responsabilité peu claire.
Résolution des problèmes: Supprimez les sélecteurs inutilisés en temps opportun et maintenez la documentation à jour afin de rendre les audits et le suivi précis et faciles.
Problème 3 : Incompatibilité du sélecteur
Causes courantes: L'en-tête DKIM fait référence à un sélecteur qui n'existe pas dans le DNS ou une clé a été renouvelée, mais le service d'envoi n'a pas été mis à jour.
Dépannage: Vérifiez toujours la cohérence entre la signature DKIM (valeur s=) et votre enregistrement DNS publié.
En conclusion
Dans cet article, nous avons appris que le sélecteur DKIM joue un rôle clé dans l'authentification DKIM et qu'il existe plusieurs méthodes, manuelles et automatiques, pour le trouver. Cependant, si vous souhaitez contrôler au maximum votre DKIM, cela ne suffit pas.
En associant l'analyse des performances à des données clés sur la santé des campagnes, PowerDMARC transforme le protocole DKIM, qui n'est plus une simple configuration statique, mais un contrôle de sécurité faisant l'objet d'une surveillance continue. Les équipes bénéficient ainsi de la visibilité nécessaire pour garantir la délivrabilité, appliquer les meilleures pratiques et gérer le protocole DKIM en toute confiance au sein d'écosystèmes de messagerie complexes, sans avoir à recourir à des vérifications manuelles ou à des approximations.
Pourquoi choisir PowerDMARC ?
- Informations sur les menaces en temps réel
- Une assistance par des experts 24 heures sur 24, 7 jours sur 7
- Intégrations transparentes avec les principales plateformes
- Plus de 2 000 marques dans le monde nous font confiance
Commencez votre parcours en toute sécurité
Foire aux questions
À quoi ressemble un sélecteur DKIM ?
Un sélecteur DKIM est généralement une courte chaîne de caractères telle que « s1 », « selector1 », « google » ou « k1 ». Il apparaît dans l'en-tête de signature DKIM sous la forme « s=selector1 » et correspond à un enregistrement DNS tel que « selector1._domainkey.votredomaine.com ».
Comment tester un sélecteur DKIM ?
Vous pouvez tester un sélecteur DKIM à l'aide d'outils de vérification DKIM en ligne, d'outils en ligne de commande tels que dig ou nslookup, ou en examinant les en-têtes des e-mails pour obtenir les résultats de l'authentification DKIM. L'outil de vérification DKIM de PowerDMARC offre des fonctionnalités complètes de test et de validation.
Comment trouver mon sélecteur DKIM dans l'en-tête d'un e-mail ?
Pour trouver votre sélecteur DKIM dans l'en-tête d'un e-mail, recherchez la ligne « DKIM-Signature » et repérez le paramètre « s= ». Par exemple, dans « s=selector1 », le sélecteur est « selector1 ». Vous pouvez afficher les en-têtes des e-mails en sélectionnant « Afficher l'original » dans Gmail ou des options similaires dans d'autres clients de messagerie.
Que se passe-t-il si un sélecteur DKIM est incorrect ?
Si un sélecteur DKIM est incorrect, vos e-mails risquent d'échouer à l'authentification DKIM, ce qui augmente le filtrage anti-spam et déclencher d'éventuels échecs DMARC.
Peut-on avoir plusieurs sélecteurs DKIM ?
Oui. Il est courant d'utiliser plusieurs sélecteurs DKIM, ce qui est souvent nécessaire en cas de rotation ou lorsque plusieurs expéditeurs sont impliqués.
À quelle fréquence dois-je changer les clés DKIM?
Il est recommandé de renouveler vos clés DKIM tous les 3 à 6 mois. Toutefois, en cas d'incident de sécurité, renouvelez vos clés immédiatement afin d'éviter toute nouvelle compromission.
Quels outils permettent de détecter automatiquement les sélecteurs DKIM ?
L'analyseur d'en-têtes d'e-mails de PowerDMARC analyseurs d'en-têtes d'e-mails et ses outils de recherche DKIM permettent d'extraire instantanément le sélecteur DKIM utilisé dans un message, sans intervention manuelle ni expertise technique.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.
Derniers messages de Yunes Tarada (voir tous)
