DKIM ou DomainKeys Identified Mail est un protocole d'authentification des courriels qui vérifie l'authenticité des courriels sortants. L'installation de DKIM implique l'utilisation d'une clé cryptographique privée générée par votre serveur de messagerie, qui crée une signature numérique basée sur le contenu de l'e-mail (un hachage crypté). Cette signature est ajoutée à l'en-tête de l'e-mail. La configuration de DKIM pour votre domaine permet aux serveurs destinataires d'utiliser une clé publique correspondante, publiée dans votre DNS, pour vérifier que les courriels qu'ils reçoivent proviennent de votre serveur de messagerie autorisé, qu'ils n'ont pas été altérés en transit et qu'ils ne sont pas falsifiés.
Une configuration correcte de DKIM est essentielle pour améliorer la sécurité du courrier électroniqueaméliorer la délivrabilité et prévenir les attaques par usurpation d'identité. C'est pourquoi ce guide met en place un plan d'action simple pour configurer DKIM étape par étape pour votre domaine. C'est parti !
Points clés à retenir
- DKIM utilise des signatures cryptographiques (clés publiques/privées) pour vérifier l'authenticité et l'intégrité des courriers électroniques, empêchant ainsi toute falsification.
- Une configuration correcte de DKIM améliore de manière significative la délivrabilité des courriels en réduisant le filtrage du spam et en améliorant la réputation de l'expéditeur.
- La mise en place de DKIM implique la génération d'une paire de clés, la publication de la clé publique dans le DNS et la configuration des serveurs de messagerie pour qu'ils signent les courriels avec la clé privée.
- Combinez DKIM avec SPF et DMARC, utilisez des sélecteurs puissants (2048 bits) et effectuez une rotation régulière des clés (en utilisant éventuellement plusieurs enregistrements) pour une protection maximale.
- Les outils automatisés et les services gérés comme PowerDMARC simplifient la configuration, la validation et la gestion continue de DKIM, réduisant ainsi les erreurs et les efforts.
Simplifiez DKIM avec PowerDMARC !
Pourquoi la mise en place de DKIM est essentielle
Amélioration de la délivrabilité des e-mails
La configuration de DKIM, ainsi que des protocoles de soutien tels que SPF et DMARC, peut améliorer considérablement le taux de distribution de vos courriels, en aidant vos messages à atteindre la boîte de réception au lieu d'être signalés par les filtres anti-spam de services tels que Gmail, Outlook et Yahoo ! Mail.
Amélioration de la réputation de l'expéditeur
L'authentification joue un rôle important dans le maintien et l'amélioration de la réputation de l'expéditeur en réduisant les risques d'être marqué comme spam.
Prévention de la falsification des courriels
La norme DKIM permet d'empêcher la falsification des messages en cours de transmission. Cela signifie que si un pirate essaie d'écouter votre conversation et d'y insérer un code malveillant, le DKIM contribuera à identifier le message comme non fiable. La signature cryptographique garantit que le contenu du courrier électronique n'a pas été modifié depuis qu'il a été signé par l'expéditeur.
Confiance accrue des destinataires
Le DKIM, associé à d'autres protocoles d'authentification des courriels, contribue à établir la confiance des destinataires, ce qui augmente le taux d'engagement et le taux de distribution des courriels.
Alignement sur les meilleures pratiques et exigences en matière de sécurité du courrier électronique
La mise en œuvre de DKIM aligne votre domaine sur les meilleures pratiques du secteur en matière de sécurité du courrier électronique et contribue à satisfaire aux exigences d'authentification fixées par les principaux fournisseurs de boîtes aux lettres, en particulier lorsqu'elle est combinée à SPF et DMARC.
Installation de DKIM : Guide étape par étape
1. Créez votre enregistrement DKIM
Créez votre enregistrement DKIM à l'aide de notre générateur d'enregistrements DKIM. Cet outil vous permet de générer instantanément votre paire de clés DKIM, contenant vos clés publique et privée DKIM. Il est recommandé de générer des clés d'une longueur de 2048 bits pour une meilleure sécurité.
2. Accéder à votre console de gestion DNS
Pour commencer, vous devez avoir accès à votre système de noms de domaine. Vous pouvez contacter votre fournisseur de DNS ou votre hébergeur pour vous aider dans cette démarche.
3. Ajouter l'enregistrement DKIM à vos paramètres DNS
Publier la clé publique DKIM (typiquement sous forme d'enregistrement TXT ou CNAME) dans vos paramètres DNS sous le nom du sélecteur que vous avez choisi (par exemple, `s1._domainkey.yourdomain.com`). Sauvegardez les modifications. Configurez votre (vos) serveur(s) d'envoi de courrier électronique pour qu'il(s) utilise(nt) la clé privée correspondante pour signer vos messages sortants.
4. Vérifiez votre configuration DKIM
Une fois que vous avez configuré votre enregistrement DKIM et que vous avez laissé le temps à la propagation DNS (qui peut prendre jusqu'à 48 heures), vérifiez-le à l'aide de notre outil de outil de vérification DKIM. Cet outil vous dira si votre enregistrement est valide, sans erreur et configuré correctement !
Vous souhaitez automatiser votre processus d'installation et de gestion de DKIM ? Commencez avec Hosted DKIM gratuitement !
Configuration DKIM pour les services de messagerie électronique les plus courants
Si vous utilisez différents services de messagerie pour envoyer vos courriels professionnels ou commerciaux, vous devez configurer DKIM pour chacun d'entre eux. Vous aurez ainsi l'assurance que votre fournisseur de services de messagerie envoie des courriels conformes à vos destinataires, ce qui augmentera le taux de distribution de vos courriels.
1. Configuration de DKIM pour Google Workspace
- Vérifiez si vous avez déjà configuré DKIM pour votre domaine à l'aide de notre outil de validation DKIM.
- Si vous n'utilisez pas Google Workspace, vous pouvez utiliser l'outil de génération DKIM de PowerDMARC pour créer votre enregistrement.
- Si vous utilisez Google Workspace, connectez-vous à Google Admin Console.
- Allez dans Menu > Apps > Espace de travail Google > Gmail.
- Cliquez sur Authentifier l'e-mail
- Sélectionnez votre domaine dans la liste et cliquez sur le bouton Générer un nouvel enregistrement pour commencer la création de l'enregistrement. Google fournit généralement une clé de 2048 bits.
- Une fois généré, copiez le nom d'hôte DNS (nom de l'enregistrement TXT) et la valeur de l'enregistrement TXT (la clé publique).
- Publier l'enregistrement TXT dans vos paramètres DNS et enregistrer les modifications. Attendez la propagation du DNS.
- Retournez dans la console d'administration Google et cliquez sur "Démarrer l'authentification".
2. Configuration de DKIM pour Microsoft Office 365
- Aller à Paramètres d'authentification du courrier électronique dans le portail Defender.
- Dans l'onglet DKIMsélectionnez le domaine personnalisé à configurer (cliquez n'importe où sur la ligne, sauf sur la case à cocher).
- Dans la fenêtre des détails du domaine qui s'affiche, vérifiez l'état. S'il est indiqué "Aucune clé DKIM enregistrée pour ce domaine", cliquez sur Créer des clés DKIM.
- Copiez les valeurs de l'enregistrement valeurs de l'enregistrement CNAME présentées dans la boîte de dialogue. Il y aura deux noms d'hôtes et leurs adresses de points-to correspondantes.
- Ouvrez le site web de votre registraire de domaine et créez les deux fichiers requis. Enregistrements CNAME en utilisant les valeurs copiées. Par exemple :
- Nom d'hôte : selector1._domainkey → Valeur : selector1-yourdomain-com._domainkey.yourtenant.onmicrosoft.com.
- Nom d'hôte : selector2._domainkey → Valeur : selector2-yourdomain-com._domainkey.yourtenant.onmicrosoft.com.
- Attendez quelques minutes (ou plus) pour la propagation du DNS.
- Retourner au menu déroulant des détails du domaine dans le portail Defender. Basculer Signer les messages pour ce domaine avec des signatures DKIM sur Activé (si ce n'est pas déjà le cas). Si les enregistrements CNAME ont été détectés, l'état devrait être mis à jour.
- Vérifier :
- Toggle est réglé sur Activé.
- L'état est Signer les signatures DKIM pour ce domaine.
- Date de la dernière vérification reflète une vérification récente.
3. Configuration de DKIM pour Godaddy
Pour GoDaddy, il s'agit d'ajouter l'enregistrement DKIM (généralement un enregistrement TXT ou CNAME fourni par votre fournisseur de services de messagerie ou généré par un outil) aux paramètres DNS de votre domaine.
- Connectez-vous à votre compte GoDaddy.
- Allez sur la page Portefeuille de domaines et sélectionnez votre domaine.
- Sélectionnez DNS dans le menu de gauche.
- Cliquez sur "Ajouter un nouvel enregistrement".
- Saisissez les détails fournis dans les instructions de configuration de votre DKIM :
Type : Sélectionnez TXT ou CNAME selon le cas.
Nom : Entrez le nom d'hôte/nom fourni (par ex, selector._domainkey. GoDaddy ajoute souvent automatiquement votre nom de domaine).
Valeur : Collez la valeur de la clé publique DKIM ou la valeur du CNAME cible.
TTL : Utilisez la valeur par défaut (généralement 1 heure) ou suivez les instructions spécifiques.
- Cliquez sur "Enregistrer". Laissez du temps pour la propagation du DNS.
4. Configuration de DKIM pour Cloudflare
Comme pour GoDaddy, la configuration de DKIM avec Cloudflare implique l'ajout de l'enregistrement DNS spécifique fourni par votre service de messagerie ou votre outil de génération DKIM.
- Connectez-vous à Cloudflare.
- Sélectionnez votre compte et votre domaine.
- Allez dans DNS → Enregistrements.
- Cliquez sur "Ajouter un enregistrement".
- Saisissez les détails de votre enregistrement DKIM :
- Type : Sélectionnez TXT ou CNAME selon le cas.
- Nom : Entrez le nom d'hôte (par exemple, `selector._domainkey`). Cloudflare ajoute automatiquement le domaine.
- Contenu/Cible : Collez la valeur de la clé publique DKIM (pour TXT) ou le nom d'hôte cible (pour CNAME).
- TTL : Auto est généralement suffisant, ou suivez les instructions spécifiques.
- Assurez-vous que l'état du proxy est réglé sur "DNS only" (nuage gris) pour les enregistrements DKIM.
- Cliquez sur Enregistrer et laissez du temps pour la propagation du DNS.
(Note : La section originale sur Cloudflare décrivait l'installation de DMARC. Les étapes ci-dessus ont été corrigées pour l'installation de DKIM dans Cloudflare).
Comment identifier votre sélecteur DKIM
Les propriétaires de domaines posent souvent la question suivante : "Comment puis-je trouver mon sélecteur DKIM ? Le sélecteur fait partie de la signature DKIM ajoutée aux en-têtes de votre courrier électronique et correspond à l'enregistrement de clé publique spécifique dans votre DNS. Pour trouver votre sélecteur DKIM pour un courriel que vous avez reçu ou envoyé :
1) Envoyez un mail de test depuis le domaine/service configuré vers un compte auquel vous pouvez accéder (comme Gmail).
2) Ouvrez l'e-mail dans votre boîte de réception (par exemple, Gmail).
3) Cliquez sur les trois points verticaux (Plus d'options) à côté du bouton de réponse.
4) Sélectionnez "Afficher l'original".
5) Sur la page "Original Message", recherchez l'en-tête `DKIM-Signature`. Dans cet en-tête, trouvez la balise `s=`. La valeur attribuée à cette balise est votre sélecteur DKIM (par exemple, `s=s1` signifie que le sélecteur est `s1`).
Difficultés liées à l'installation manuelle de DKIM
La configuration manuelle de DKIM peut être complexe et source d'erreurs. Voici quelques défis majeurs :
- La génération, le stockage et la rotation manuelle des clés cryptographiques requièrent une expertise et une manipulation prudente afin d'éviter les risques de sécurité.
- Les enregistrements DKIM doivent être ajoutés aux paramètres DNS avec précision. Une simple faute de frappe ou un formatage incorrect peut faire échouer l'authentification et entraîner le marquage des courriels comme spam ou leur rejet.
- La rotation régulière des clés est nécessaire pour la sécurité, mais les mises à jour manuelles peuvent être négligées, mal exécutées ou entraîner des temps d'arrêt si elles ne sont pas gérées avec soin.
- Le diagnostic des problèmes liés à DKIM, tels que les échecs de vérification des signatures ou les problèmes de configuration DNS, peut s'avérer difficile et fastidieux, en particulier lorsque l'on travaille avec plusieurs fournisseurs de messagerie ou des services tiers.
- La configuration et la maintenance manuelles nécessitent beaucoup de temps et d'efforts techniques, ce qui augmente le risque de mauvaises configurations et d'inefficacités opérationnelles.
Avantages de l'automatisation
- L'automatisation de la gestion DKIM est un moyen plus rapide de mettre en œuvre et de contrôler votre configuration DKIM, sans les inconvénients des interventions manuelles telles que la génération de clés et les mises à jour DNS.
- Les solutions automatisées sont beaucoup plus précises car elles réduisent le risque d'erreurs humaines dans la création et la configuration des enregistrements.
- La facilité d'utilisation est un autre facteur qui fait des solutions automatisées une alternative tentante pour les entreprises qui souhaitent réduire les efforts manuels et l'expertise technique requise.
- La gestion automatisée de DKIM peut renforcer la sécurité en simplifiant et en encourageant la rotation régulière des clés DKIM.
Comment PowerDMARC simplifie l'installation de DKIM
Génération automatisée de clés DKIM
L'outil de génération de générateur DKIM de PowerDMARC génère automatiquement des clés DKIM cryptographiques sécurisées (supportant 1024 et 2048 bits), éliminant ainsi le risque d'erreurs manuelles. Notre service DKIM hébergé automatise davantage la gestion des clés.
Configuration simplifiée des enregistrements DNS
Les utilisateurs reçoivent un enregistrement DKIM prêt à être publié pour leur DNS, ce qui leur évite de devoir construire manuellement des entrées TXT ou CNAME ou d'avoir à les résoudre. Des conseils étape par étape garantissent un déploiement rapide et sans erreur.
Vérification et surveillance DKIM aisées
Notre plateforme comprend des outils de vérification en temps réel qui permettent de s'assurer que la norme DKIM est correctement configurée et qu'elle fonctionne comme prévu. Les rapports DMARC analysés par PowerDMARC fournissent des informations sur les résultats de l'authentification DKIM, permettant aux utilisateurs de recevoir des alertes en cas d'échec de l'authentification, ce qui permet un dépannage immédiat.
Gestion centralisée de DKIM
Gestion de plusieurs clés et domaines DKIM à partir d'un seul serveur. DKIM hébergé avec une visibilité sur l'état des clés, leur utilisation et l'historique simplifié des rotations, améliorant ainsi la sécurité et le contrôle sans accès DNS direct nécessaire pour les mises à jour.
Bonnes pratiques DKIM pour une authentification plus forte des courriels
Les bonnes pratiques suivantes permettent d'améliorer encore l'authentification DKIM :
1. Rotation des clés DKIM
Fréquents Rotation des clés DKIM minimise le risque de compromission si une clé privée est exposée. Les meilleures pratiques suggèrent une rotation des clés tous les 6 à 12 mois, voire plus fréquemment. Des solutions automatisées comme PowerDMARC permettent de gérer facilement les clés DKIM sans intervention manuelle. La mise en place de plusieurs enregistrements DKIM peut également faciliter la rotation des clés, en permettant à une nouvelle clé d'être publiée avant que l'ancienne ne soit retirée.
2. Sélecteurs et clés DKIM forts
L'utilisation de sélecteurs DKIM uniques et descriptifs (par exemple, `selector1`, `google`, `sendgrid`) améliore l'organisation et le dépannage par rapport aux sélecteurs génériques. Il est fortement recommandé d'utiliser des clés de 2048 bits pour améliorer la sécurité cryptographique par rapport à l'ancienne norme de 1024 bits.
3. Contrôle de l'authentification DKIM
Examiner régulièrement les résultats de l'authentification DKIM à l'aide des rapports agrégés DMARC afin de détecter les échecs d'authentification ou l'utilisation non autorisée de votre domaine. Utilisez des outils de surveillance et des validateurs DKIM pour vérifier périodiquement que les signatures DKIM sont correctement appliquées et qu'elles passent la vérification.
4. Combiner DKIM avec SPF et DMARC
L'utilisation du DKIM avec le SPF (Sender Policy Framework) et le DMARC (Domain-based Message Authentication, Reporting, and Conformance) crée une sécurité du courrier électronique à plusieurs niveaux. SPF vérifie les adresses IP d'envoi, DKIM vérifie l'intégrité des messages et DMARC assure l'application de la politique et l'établissement de rapports, offrant ainsi une protection complète contre l'usurpation d'identité et l'hameçonnage.
Résolution des problèmes courants liés à DKIM
- Délais de propagation DNS : Les enregistrements DKIM nouvellement publiés ou mis à jour peuvent prendre un certain temps (de quelques minutes à 48 heures) pour se propager dans le système DNS. se propager sur les serveurs DNS mondiaux. Il est important d'attendre suffisamment et de vérifier la présence des enregistrements à l'aide d'outils de recherche DNS externes avant de supposer une erreur de configuration.
- Configuration incorrecte de l'enregistrement DKIM : Des fautes de frappe dans le nom du sélecteur, des caractères manquants dans la valeur de la clé publique, un type d'enregistrement incorrect (TXT ou CNAME) ou des enregistrements mal formatés peuvent entraîner des échecs. Vérifiez soigneusement le nom d'hôte et la valeur par rapport aux instructions fournies avant de les publier sur votre DNS.
- Échecs de la vérification DKIM (`dkim=fail`) : Si la vérification DKIM échoue, les messages électroniques peuvent être marqués comme spam ou rejetés. Les causes potentielles sont les suivantes : clé publique incorrecte dans le DNS, incompatibilité de la clé privée sur le serveur d'envoi, modification du message par des intermédiaires (bien que le DKIM soit conçu pour détecter cette modification), ou vérification trop stricte par le destinataire. Vérifiez les en-têtes de signature DKIM dans la source du courrier électronique, confirmez que la clé publique dans le DNS correspond à celle prévue et analysez les rapports DMARC pour y déceler des schémas d'échec.
- Problèmes avec les expéditeurs de courriels tiers : Lorsque vous utilisez des fournisseurs tiers (comme Mailchimp, SendGrid, Office 365), assurez-vous de suivre leurs instructions spécifiques de configuration DKIM. Certains peuvent exiger l'utilisation d'enregistrements CNAME pointant vers leur domaine, tandis que d'autres vous permettent de publier un enregistrement TXT avec une clé qu'ils fournissent ou que vous générez. Confirmez que le fournisseur prend en charge DKIM pour votre domaine d'envoi.
- Problèmes de sélecteur : L'utilisation d'un mauvais nom de sélecteur dans l'enregistrement DNS (qui ne correspond pas à la balise `s=` dans l'en-tête du courriel) entraînera des échecs d'authentification. Vérifiez que le nom du sélecteur publié dans le DNS correspond à celui utilisé par le service d'envoi dans les en-têtes du courrier électronique.
FAQ sur la configuration de DKIM
1. Combien de temps faut-il pour que DKIM commence à fonctionner ?
Une fois que vous avez publié l'enregistrement de clé publique DKIM dans votre DNS, il doit se propager à travers les serveurs DNS de l'internet. Cela peut prendre de quelques minutes à 48 heures, mais c'est souvent beaucoup plus rapide. Une fois que l'enregistrement est visible publiquement et que votre serveur de messagerie est configuré pour signer les courriels, DKIM sera actif pour les courriels ultérieurs envoyés à partir de cette source configurée.
2. Comment puis-je vérifier que ma configuration DKIM fonctionne ?
Vous pouvez vérifier l'installation de DKIM de plusieurs façons : utilisez un outil de vérification DKIM en ligne (comme celui de PowerDMARC) pour rechercher l'enregistrement publié dans le DNS ; envoyez un e-mail de test à un service comme Gmail et vérifiez les en-têtes "Original Message" pour un statut "dkim=pass" dans l'en-tête "Authentification-Results" ; ou surveillez vos rapports DMARC agrégés, qui montrent les résultats de réussite ou d'échec de DKIM pour les e-mails de votre domaine.
3. Que se passe-t-il si la vérification DKIM échoue ?
Si la vérification DKIM échoue (`dkim=fail`), les serveurs de réception peuvent traiter le courrier électronique avec plus de suspicion. Le message peut alors être marqué comme spam, placé en quarantine ou potentiellement rejeté, en particulier si DMARC est également configuré avec une politique de "quarantine" ou de "rejet" et que SPF échoue également (ou n'est pas aligné). Un échec de DKIM a un impact négatif sur la réputation de l'expéditeur et sur la capacité de livraison.
4. Puis-je utiliser plusieurs sélecteurs DKIM pour le même domaine ?
Oui, vous pouvez absolument et devez souvent utiliser plusieurs sélecteurs DKIM pour le même domaine. Cela est nécessaire lorsque vous envoyez des messages électroniques par l'intermédiaire de différents services (par exemple, Google Workspace, Salesforce, une plateforme de marketing), car chacun d'entre eux peut nécessiter sa propre clé/sélecteur. Il s'agit également d'une bonne pratique pour la rotation des clés, qui vous permet d'introduire une nouvelle clé avec un nouveau sélecteur avant de retirer l'ancienne.
5. Quelles sont les erreurs courantes à éviter lors de l'installation de DKIM ?
Les erreurs les plus courantes sont les suivantes : erreurs de syntaxe dans l'enregistrement DNS (fautes de frappe, espaces supplémentaires, citations incorrectes) ; publication du mauvais type d'enregistrement (TXT ou CNAME) ; non-concordance des sélecteurs entre l'enregistrement DNS et la signature du courrier électronique ; oubli d'activer la signature DKIM sur la plateforme d'envoi de courrier électronique après la publication de l'enregistrement DNS ; copie d'une partie seulement d'une longue valeur de clé publique ; et manque de temps pour la propagation du DNS avant de tester ou d'attendre des résultats. Ne pas utiliser les clés de 2048 bits lorsqu'elles sont disponibles est également une occasion manquée d'améliorer la sécurité.
Réflexions finales
DKIM est un élément essentiel pour renforcer la sécurité de votre domaine en matière de courrier électronique. En garantissant l'intégrité de vos communications par courrier électronique au moyen d'une vérification cryptographique, il protège la réputation de votre marque et votre domaine contre les attaques par usurpation d'identité et hameçonnage qui s'appuient sur des informations d'expéditeur falsifiées. Avec des millions de domaines non protégés dans le monde et une surveillance accrue de la part des fournisseurs de boîtes aux lettres, il est temps de renforcer votre sécurité plutôt que de prendre du retard. Faites le premier pas vers une authentification plus forte en implémentant correctement DKIM, idéalement avec SPF et DMARC. Commencez dès aujourd'hui votre essai gratuit avec PowerDMARC pour simplifier le processus !
- L'e-mail froid est-il encore efficace en 2025 ? Meilleures pratiques en matière de sensibilisation et de sécurité - 20 juin 2025
- Étude de cas DMARC MSP : Comment PrimaryTech a simplifié la sécurité du domaine client avec PowerDMARC - 18 juin 2025
- Faux positifs DMARC : Causes, corrections et guide de prévention - 13 juin 2025