Comment trouver votre sélecteur DKIM et gérer vos clés DKIM

Quel est le rôle de l'authentification des e-mails ? Elle bloque les messages usurpés, mais elle joue également un rôle essentiel dans la protection de la réputation de la marque et dans la garantie que les e-mails légitimes parviennent bien à leur destinataire. Parmi les principaux protocoles d'authentification, DKIM se distingue en ajoutant une signature cryptographique à chaque message, prouvant ainsi qu'il n'a pas été altéré pendant son transit.

Au cœur du DKIM se trouve le sélecteur DKIM. Bien que souvent négligé, le sélecteur détermine quelle clé publique les serveurs destinataires doivent utiliser pour vérifier la signature de votre e-mail, ce qui le rend essentiel pour une authentification DKIM réussie entre différents flux de messagerie et fournisseurs.

Dans cet article, nous allons passer en revue tout ce que vous devez savoir sur les sélecteurs DKIM et résoudre les erreurs courantes qui peuvent compromettre l'authentification et nuire à la délivrabilité.

Qu'est-ce qu'un sélecteur DKIM ?

Un sélecteur DKIM est un identifiant unique utilisé dans l'authentification DKIM qui indique aux serveurs de messagerie destinataires quelle clé publique récupérer dans le DNS pour vérifier la signature DKIM d'un e-mail. Il permet à un domaine d'utiliser plusieurs clés DKIM en même temps, ce qui facilite la rotation et la gestion des clés sans interrompre la livraison des e-mails.

Exemple :

Signature DKIM : v=1 ; a=rsa-sha256 ; c=relaxed/relaxed ; d=example.com ; s=selector1 ; h=from:to:subject:date ; bh=abc123… ; b=xyz456…

Ici, s= représente le sélecteur. Dans cet exemple, s=selector1 indique au serveur d'interroger :
selector1._domainkey.example.com

Comment fonctionne l'authentification DKIM (étape par étape)

Comme expliqué ci-dessus, DKIM fonctionne en ajoutant une signature cryptographique à chaque e-mail sortant envoyé depuis votre domaine compatible DKIM.

• Étape 1: Le serveur de messagerie expéditeur signe l'e-mail sortant à l'aide d'une clé cryptographique privée. Cette signature est ajoutée à l'en-tête de l'e-mail, avec un sélecteur DKIM qui identifie la clé utilisée.
• Étape 2: Le serveur de messagerie destinataire recherche la clé publique. Pour ce faire, il interroge le DNS à l'aide du sélecteur.
• Étape 3: Une fois la clé publique trouvée, le serveur destinataire l'utilise pour vérifier la signature dans l'en-tête de l'e-mail. Si la signature correspond, DKIM passe, confirmant que le message n'a pas été modifié pendant le transit et qu'il a été autorisé par le domaine expéditeur.

Cependant, il convient de noter que DKIM fonctionne mieux en association avec SPF DMARC, et ne peut à lui seul empêcher les attaques par usurpation d'identité et hameçonnage.

Comment trouver votre sélecteur DKIM ?

Méthode A : Inspecter les en-têtes des e-mails (manuel)

1) Envoyez un e-mail test à votre compte Gmail
2) Cliquez sur les 3 points à côté de l'e-mail dans votre boîte de réception Gmail

3) Sélectionnez "montrer l'original".

4) Sur la page "Original Message", naviguez vers le bas de la page jusqu'à la section de la signature DKIM et essayez de localiser la balise "s=", la valeur de cette balise est votre sélecteur DKIM.

Dans l'exemple ci-dessus, s1 est mon sélecteur DKIM. C'est l'une des méthodes que vous pouvez utiliser pour identifier et localiser le vôtre.

Méthode B : Utiliser les paramètres du fournisseur de messagerie électronique

Étape 1 : Connectez-vous à la console d'administration de votre fournisseur de services de messagerie électronique.

Étape 2 : Accédez à la section d'authentification des e-mails ou de configuration DNS.
Étape 3 : Localisez les paramètres DKIM pour votre domaine.
Étape 4 : Identifiez la valeur du sélecteur répertoriée avec l'enregistrement DKIM TXT.

Méthode C : Utilisation des outils de recherche/vérification DKIM

Étape 1 : Ouvrez l'outil PowerDMARC DKIM Checker.

Étape 2 : Entrez votre nom de domaine et laissez le champ de sélection sur « auto ».

Étape 3 : Cliquez sur « Lookup » (Recherche)
Étape 4 : Laissez notre outil détecter et afficher automatiquement votre sélecteur DKIM.

Méthode D : Utilisation des outils de surveillance DMARC

Les outils de reporting DMARC tels que PowerDMARC offrent une visibilité sur les sélecteurs DKIM activement utilisés par les sources d'envoi.

Étape 1 : Activez les rapports agrégés DMARC pour votre domaine en vous inscrivant sur PowerDMARC.
Étape 2 : Examinez les résultats d'authentification pour chaque source d'envoi.
Étape 3 : Identifiez les valeurs du sélecteur DKIM signalées par source et par adresse IP.

Comment configurer et publier un sélecteur DKIM

La configuration correcte d'un sélecteur DKIM est essentielle pour l'authentification des e-mails, la réputation de l'expéditeur et la délivrabilité à long terme. Un sélecteur mal configuré peut complètement compromettre le DKIM, même si la clé elle-même est valide.

Format et syntaxe requis pour les enregistrements DNS

Un enregistrement DKIM est publié sous forme d'enregistrement TXT dans le DNS en utilisant la structure suivante : selector._domainkey.votredomaine.com

Exemple : s1._domainkey.exemple.com

La valeur comprend généralement :

• v=DKIM1 (version du protocole)
• k=rsa (type de clé)
• p = (clé publique)

Exemple de valeur : v=DKIM1; k=rsa; p=MIIBIjANBgkq…
Assurez-vous qu'aucun espace, guillemet ou saut de ligne supplémentaire n'ait été ajouté par le fournisseur DNS.

Recommandations relatives à la longueur des clés (2048 bits)

• Les clés DKIM 2048 bits sont fortement recommandées.
• Les clés 1024 bits sont obsolètes et peuvent échouer lors de l'authentification auprès des principaux fournisseurs de messagerie électronique.
• Des clés plus longues améliorent la puissance cryptographique sans nuire aux performances.

La plupart des plateformes de messagerie modernes utilisent par défaut des clés de 2048 bits. Il est recommandé de conserver cette option activée, sauf si une raison technique impérieuse s'y oppose.

Publication via le panneau du fournisseur DNS

1. Connectez-vous à votre fournisseur d'hébergement DNS.
2. Ajouter un nouvel enregistrement TXT
3. Définissez l'hôte/nom comme sélecteur DKIM.
4. Collez la clé publique DKIM dans le champ « valeur ».
5. Enregistrer et attendre la propagation
6. Vérifiez votre configuration DKIM à l'aide de notre outil DKIM Checker.

Conventions de dénomination et exemples de sélecteurs DKIM

Choisir le bon nom de sélecteur améliore la clarté, l'évolutivité et la maintenance à long terme.

Modèles de sélection courants

Les formats fréquemment utilisés sont notamment : s1, s2, selector1 et les paramètres par défaut des fournisseurs tels que google, k1, smtp, mail. Bien que ceux-ci fonctionnent parfaitement, ils manquent souvent de contexte et peuvent être difficiles à suivre.

Meilleure pratique : noms de sélecteurs descriptifs

Utilisez plutôt des sélecteurs qui indiquent le service et la période, tels que : google2025, sendgrid_q1, marketing_2024. Ceux-ci sont beaucoup plus faciles à mémoriser et à suivre, fournissent un contexte précis, laissent peu de place à l'interprétation et sont également sécurisés.

Gestion des sélecteurs DKIM

L'un des aspects les plus négligés du DKIM est la gestion des sélecteurs au fil du temps. Les sélecteurs doivent être traités comme des actifs gérés plutôt que comme des entrées DNS ponctuelles qui sont oubliées après leur configuration.
La tenue d'une documentation est une pratique simple mais efficace. Un tableur basique ou un journal interne permet de suivre efficacement vos sélecteurs et vos calendriers de rotation. Cela évite toute confusion lorsque les clés doivent être remplacées ou lorsqu'un service d'envoi est supprimé.
Il suffit de maintenir un système de suivi simple (CSV, feuille de calcul ou journal interne) avec :

• Nom du sélecteur
• Domaine
• Service d'envoi
• Longueur de clé
• Date de création
• Calendrier de rotation
• Propriétaire/équipe

Cycle de vie du sélecteur DKIM

Chaque sélecteur DKIM doit suivre un cycle de vie clair. Il commence par la planification, au cours de laquelle les conventions de nommage et les calendriers de rotation sont définis.
Un cycle de vie sain comprend :

1. Plan: définir la stratégie de dénomination et de rotation
2. Publier: ajouter un enregistrement DNS et valider
3. Rotation: introduire un nouveau sélecteur et une nouvelle clé
4. Désactivation: supprimer les sélecteurs inutilisés en toute sécurité

Meilleures pratiques pour les sélecteurs DKIM

Pour maintenir le bon fonctionnement du sélecteur DKIM, voici quelques bonnes pratiques que vous pouvez suivre :

1. Rendez vos sélecteurs uniques et difficiles à deviner.
2. Faites tourner vos clés DKIM aussi souvent que possible pour éviter toute compromission.
3. Utilisez des conventions de nommage cohérentes pour tous les expéditeurs afin de faciliter les audits.
4. Surveillez activement votre DKIM afin de vous assurer que les sélecteurs inutilisés sont identifiés et retirés à temps.

Comment l'outil d'analyse DKIM de PowerDMARC peut vous aider

L'outil Hosted DKIM Analytics de PowerDMARC comble cette lacune en fournissant aux organisations des informations continues sur les performances réelles du protocole DKIM à travers les domaines, les sélecteurs et les sources d'envoi.

• Surveillance par sélecteur et par service d'envoi: PowerDMARC analyse les performances DKIM au niveau du sélecteur et du service d'envoi.
• Filtrage flexible par plage horaire: PowerDMARC vous permet d'analyser les performances DKIM sur des plages horaires flexibles, telles que les sept derniers jours, le mois précédent ou des périodes entièrement personnalisées.
• Statistiques DKIM en un coup d'œil: pour des évaluations rapides, PowerDMARC fournit un aperçu DKIM de haut niveau qui résume le nombre total de sélecteurs, les services d'envoi actifs et le volume d'e-mails signés DKIM par rapport aux e-mails non signés.
• Informations détaillées au niveau du sélecteur: pour chaque sélecteur, PowerDMARC affiche des données clés telles que le volume total d'e-mails, les taux de réussite DKIM et la dernière fois que le sélecteur a été observé en train de signer un e-mail.
• Rapports exportables pour l'audit et la collaboration: PowerDMARC vous permet d'exporter les données analytiques DKIM hébergées au format CSV, ce qui rend la création de rapports simple et flexible.
• Aperçu de l'état des clés DKIM: les informations clés sur l'état des clés comprennent la visibilité de la longueur des clés, le suivi de la rotation des clés et la surveillance de l'utilisation des clés.

Problèmes courants liés au sélecteur DKIM et dépannage

Problème 1 : Sélecteur introuvable dans le DNS

Causes courantes: ce problème peut être dû à des erreurs de syntaxe, à un type d'enregistrement DNS incorrect, à une propagation incomplète ou à une utilisation incorrecte du domaine ou du sous-domaine.
Dépannage: laissez à votre DNS un délai de propagation de 24 à 48 heures si vous avez récemment configuré DKIM. Si le problème persiste, utilisez un outil de vérification DKIM pour vérifier votre enregistrement et corriger les erreurs détectées.

Problème n° 2 : plusieurs sélecteurs prêtant à confusion

Causes courantes: un nombre trop élevé de sélecteurs actifs peut compliquer les audits, et les sélecteurs inutilisés peuvent rester indéfiniment. Ce n'est pas une bonne pratique. De plus, une documentation insuffisante rend la propriété peu claire.
Dépannage: supprimez les sélecteurs inutilisés en temps opportun et tenez à jour la documentation afin de rendre l'audit et le suivi précis et faciles.

Problème 3 : Incompatibilité du sélecteur

Causes courantes: l'en-tête DKIM fait référence à un sélecteur qui n'existe pas dans le DNS ou une clé a été remplacée, mais le service d'envoi n'a pas été mis à jour.
Dépannage: vérifiez toujours la cohérence entre la signature DKIM (valeur s=) et votre enregistrement DNS publié.

En conclusion

Dans cet article, nous avons appris que le sélecteur DKIM joue un rôle clé dans l'authentification DKIM et qu'il existe plusieurs méthodes, manuelles et automatiques, pour le trouver. Cependant, si vous souhaitez contrôler au maximum votre DKIM, cela ne suffit pas.

En combinant l'analyse des performances et les informations clés sur la santé, PowerDMARC transforme DKIM d'une configuration statique en un contrôle de sécurité surveillé en permanence. Les équipes bénéficient de la visibilité nécessaire pour maintenir la délivrabilité, appliquer les meilleures pratiques et gérer DKIM en toute confiance dans des écosystèmes de messagerie complexes, sans avoir recours à des vérifications manuelles ou à des conjectures. Contactez-nous pour commencer dès aujourd'hui !

Foire aux questions

Que se passe-t-il si un sélecteur DKIM est incorrect ?
Si un sélecteur DKIM est incorrect, vos e-mails peuvent échouer à l'authentification DKIM, ce qui augmente le filtrage des spams et peut entraîner des échecs DMARC.
Peut-on avoir plusieurs sélecteurs DKIM ?
Oui. Il est normal d'avoir plusieurs sélecteurs DKIM, qui sont souvent nécessaires pour la rotation ou les expéditeurs multiples.
À quelle fréquence dois-je faire tourner les clés DKIM?
Il est recommandé de faire tourner vos clés DKIM tous les 3 à 6 mois. Toutefois, en cas d'incident de sécurité, faites tourner vos clés immédiatement afin d'éviter toute nouvelle compromission.
Quels outils permettent de trouver automatiquement les sélecteurs DKIM ?
L'analyseur d'en-têtes d'e-mails et les outils de recherche DKIM de PowerDMARC peuvent extraire instantanément le sélecteur DKIM utilisé dans un message, sans effort manuel ni expertise technique.

• À propos de
• Derniers messages

Yunes Tarada

Expert en sécurité des domaines et des courriels chez PowerDMARC

Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.

Derniers messages de Yunes Tarada (voir tous)

• SPF : réduisez les requêtes SPF et optimisez votre SPF - 25 mars 2026
• Certificat de marque vérifiée ou certificat de marque commune : choisir la bonne option - 10 mars 2026
• Contournement du niveau de confiance anti-spam (SCL) -1 : ce que cela signifie et comment y remédier - 4 mars 2026