Guide complet DKIM : comprendre et configurer l'authentification email

⚡TL;DR

• DKIM signe chaque email avec une clé privée ; le serveur de réception vérifie la signature grâce à la clé publique publiée dans le DNS
• Sans DKIM, vos emails risquent le dossier spam : Google et Yahoo l'exigent depuis février 2024
• RSA 2048 bits est le standard actuel ; Ed25519 est plus rapide mais pas encore universel
• DKIM seul ne suffit pas : il faut combiner avec SPF (autorisation d'envoi) et DMARC (politique d'alignement)
• Rotation des clés recommandée tous les 3 mois pour limiter les risques de compromission

Vos emails arrivent en spam alors que votre contenu est légitime. Le problème n'est pas forcément le contenu : c'est l'authentification. Les serveurs de réception (Gmail, Outlook, Yahoo) vérifient que chaque message provient bien du domaine affiché dans le champ From:. Sans preuve, ils doutent.

DKIM (DomainKeys Identified Mail) apporte cette preuve. C'est un protocole défini par la RFC 6376 qui ajoute une signature cryptographique à chaque email sortant. Le serveur de réception vérifie cette signature via le DNS. Si elle est valide, le message est authentifié. Sinon, il risque le rejet ou le classement en spam.

Ce guide vous explique DKIM de A à Z : comment ça fonctionne, comment le configurer, pourquoi il est indispensable, et comment l'intégrer avec SPF et DMARC pour une authentification complète.

Comment fonctionne DKIM ?

DKIM repose sur la cryptographie asymétrique. Deux clés sont utilisées :

• Clé privée : stockée sur le serveur d'envoi, elle signe chaque email sortant
• Clé publique : publiée dans le DNS, elle permet à n'importe quel serveur de vérifier la signature

Le cycle de signature et vérification

Le processus se déroule en quatre étapes :

1. L'expéditeur envoie un email depuis captaindns.com
2. Le serveur d'envoi signe le message : il calcule un hash des en-têtes et du corps (SHA-256), puis chiffre ce hash avec la clé privée. La signature est ajoutée dans l'en-tête DKIM-Signature
3. Le serveur de réception interroge le DNS : il lit le sélecteur (s=) et le domaine (d=) dans l'en-tête, puis récupère la clé publique à l'adresse selecteur._domainkey.captaindns.com
4. Vérification : le serveur recalcule le hash et compare avec la signature déchiffrée. Si les deux correspondent, l'email est authentifié

Voici un exemple d'en-tête DKIM-Signature :

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=captaindns.com; s=s202603; t=1741100000;
  h=from:to:subject:date:message-id;
  bh=2jUSOH9NhtVGCQWNr9BrIAPreKQjO6Sn7XIkfJVOzv8=;
  b=AuUoFEfDxTDkHlLXSZEpZj79LICEps6eda7W3deTVFOk...

Les balises clés de cet en-tête :

Balise	Rôle	Exemple
d=	Domaine de l'expéditeur	captaindns.com
s=	Sélecteur (identifiant de la clé)	s202603
a=	Algorithme de signature	rsa-sha256
bh=	Hash du corps du message	2jUSOH9Nht...
b=	Signature cryptographique	AuUoFEfDxT...
h=	En-têtes signés	from:to:subject:date

Pourquoi DKIM est indispensable en 2026 ?

Exigences des grands fournisseurs

Depuis février 2024, Google et Yahoo exigent DKIM pour les expéditeurs de plus de 5 000 emails par jour. Microsoft a suivi en mai 2025. Sans DKIM :

• Les emails sont plus souvent classés en spam
• Le taux de délivrabilité chute
• Les rapports DMARC signalent des échecs d'authentification

Ce que DKIM protège

Menace	Protection DKIM
Modification du contenu en transit	La signature devient invalide si le message est altéré
Usurpation du domaine d'envoi	Combiné avec DMARC, empêche le spoofing
Répudiation	Preuve cryptographique que le domaine a autorisé l'envoi

Impact sur la réputation

Les fournisseurs de messagerie construisent un score de réputation par domaine. Chaque email authentifié par DKIM renforce ce score. Chaque échec le dégrade. Un domaine avec un DKIM correctement configuré a un meilleur taux d'inbox placement qu'un domaine sans DKIM.

Comment configurer DKIM en 4 étapes ?

Étape 1 : générer une paire de clés

Créez une paire de clés RSA 2048 bits ou Ed25519. Choisissez un sélecteur descriptif (ex: s202603 pour mars 2026).

Utilisez le Générateur DKIM pour créer votre paire de clés et obtenir l'enregistrement DNS prêt à publier.

Étape 2 : publier l'enregistrement DNS

Ajoutez un enregistrement TXT dans votre zone DNS :

s202603._domainkey.captaindns.com  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOC..."

Les balises obligatoires :

• v=DKIM1 : version du protocole
• p= : clé publique encodée en Base64

Les balises optionnelles utiles :

• k=rsa ou k=ed25519 : algorithme de la clé
• t=y : mode test (pendant le déploiement initial)
• t=s : mode strict (le domaine d= doit correspondre exactement au From:)

Étape 3 : activer la signature sur le serveur d'envoi

La configuration dépend de votre fournisseur :

Fournisseur	Méthode
Google Workspace	Admin Console > Apps > Gmail > Authentifier les e-mails
Microsoft 365	Defender > Stratégies > DKIM
Serveur dédié (Postfix)	Configuration OpenDKIM avec sélecteur et clé privée
Service transactionnel (SendGrid, Mailgun)	Interface web, ajout du CNAME dans le DNS

Étape 4 : vérifier le fonctionnement

Après la propagation DNS (jusqu'à 48 heures) :

1. Envoyez un email de test
2. Vérifiez l'en-tête Authentication-Results dans l'email reçu : cherchez dkim=pass
3. Utilisez un vérificateur DKIM pour analyser votre enregistrement DNS

Authentication-Results: mx.google.com;
  dkim=pass header.d=captaindns.com header.s=s202603

RSA vs Ed25519 : quel algorithme choisir ?

Critère	RSA 2048	Ed25519
Taille de la clé publique	~392 caractères	~44 caractères
Taille de la signature	256 octets	64 octets
Performance de vérification	Rapide	Très rapide
Support fournisseurs	Universel	Partiel (Google, Fastmail)
Sécurité	Solide (2030+)	Très solide

Recommandation : utilisez RSA 2048 comme standard. Si votre infrastructure le permet, ajoutez une seconde signature Ed25519 en parallèle. Les serveurs qui ne supportent pas Ed25519 utiliseront la signature RSA.

Ne plus utiliser RSA 1024 bits. Google, Microsoft et Yahoo rejettent les clés inférieures à 2048 bits depuis 2024.

DKIM, SPF et DMARC : le trio de l'authentification email

DKIM ne fonctionne pas seul. Il fait partie d'un écosystème de trois protocoles complémentaires :

Protocole	Rôle	Ce qu'il vérifie
SPF	Autorisation d'envoi	L'IP du serveur est autorisée à envoyer pour ce domaine
DKIM	Intégrité du message	Le contenu n'a pas été modifié en transit
DMARC	Politique d'alignement	Le domaine du From: correspond aux domaines SPF/DKIM

Comment ils fonctionnent ensemble ?

1. SPF vérifie que le serveur d'envoi est autorisé (via l'enregistrement SPF du domaine)
2. DKIM vérifie que le message n'a pas été altéré (via la signature cryptographique)
3. DMARC vérifie que le domaine du From: est aligné avec au moins un des deux (SPF ou DKIM)

Pour qu'un email passe DMARC, il faut que SPF ou DKIM soit valide ET aligné. Les deux ne sont pas obligatoires en même temps, mais configurer les deux maximise la fiabilité.

L'alignement DKIM avec DMARC

DMARC vérifie que le domaine d= de la signature DKIM correspond au domaine du From: :

• Relaxed (par défaut) : un sous-domaine est accepté (d=mail.captaindns.com pour From: contact@captaindns.com)
• Strict : correspondance exacte requise (d=captaindns.com obligatoire pour From: contact@captaindns.com)

Bonnes pratiques DKIM

Taille de clé

Utilisez au minimum RSA 2048 bits. Les clés 1024 bits sont considérées comme faibles et peuvent entraîner des pénalités de délivrabilité.

Rotation des clés

Changez vos clés DKIM tous les 3 mois :

1. Générer une nouvelle paire avec un nouveau sélecteur
2. Publier la nouvelle clé dans le DNS
3. Attendre la propagation (24-48 h)
4. Basculer le serveur d'envoi sur le nouveau sélecteur
5. Révoquer l'ancienne clé (publier p= vide)
6. Supprimer l'ancien enregistrement après 30 jours

En-têtes à signer

Signez au minimum : From, To, Subject, Date, Message-ID, MIME-Version, Content-Type. L'en-tête From est obligatoire pour l'alignement DMARC.

Mode test

Utilisez t=y dans l'enregistrement DNS pendant le déploiement. Les serveurs de réception ne pénaliseront pas les échecs DKIM en mode test. Retirez t=y dès que tout fonctionne.

Plan d'action recommandé

1. Vérifier l'existant : analysez vos sélecteurs DKIM actuels avec un outil de découverte
2. Générer des clés RSA 2048 : créez une paire de clés avec un sélecteur horodaté
3. Publier dans le DNS : ajoutez l'enregistrement TXT et attendez la propagation
4. Activer la signature : configurez votre serveur ou fournisseur email
5. Vérifier : envoyez un email de test et vérifiez dkim=pass dans les en-têtes
6. Configurer DMARC : publiez un enregistrement DMARC avec adkim=r pour commencer
7. Planifier la rotation : ajoutez un rappel trimestriel pour renouveler les clés

FAQ

Qu'est-ce que DKIM ?

DKIM (DomainKeys Identified Mail) est un protocole d'authentification email défini par la RFC 6376. Il permet au serveur d'envoi de signer cryptographiquement chaque email avec une clé privée. Le serveur de réception vérifie la signature grâce à la clé publique publiée dans le DNS du domaine expéditeur. Si la signature est valide, l'email est authentifié.

Comment fonctionne la signature DKIM ?

Le serveur d'envoi calcule un hash SHA-256 des en-têtes sélectionnés et du corps du message, puis signe ce hash avec sa clé privée RSA ou Ed25519. La signature est ajoutée dans l'en-tête DKIM-Signature du message. Le serveur de réception récupère la clé publique via une requête DNS TXT et vérifie que la signature correspond au contenu reçu.

Pourquoi DKIM est-il important pour la délivrabilité ?

Depuis février 2024, Google et Yahoo exigent DKIM pour les expéditeurs de plus de 5 000 emails par jour. Sans DKIM, vos emails risquent d'être classés en spam. DKIM renforce aussi le score de réputation de votre domaine : chaque email authentifié améliore votre taux de placement en boîte de réception.

Quelle est la différence entre DKIM, SPF et DMARC ?

SPF vérifie que le serveur d'envoi est autorisé à envoyer pour le domaine. DKIM vérifie que le contenu du message n'a pas été modifié en transit. DMARC vérifie que le domaine du champ From correspond aux domaines SPF et DKIM (alignement). Les trois protocoles sont complémentaires et doivent être configurés ensemble.

Comment configurer DKIM sur mon domaine ?

Quatre étapes : 1) Générer une paire de clés RSA 2048 bits avec un sélecteur. 2) Publier la clé publique dans le DNS sous forme d'enregistrement TXT. 3) Configurer le serveur d'envoi pour signer les emails avec la clé privée. 4) Vérifier que les emails sortants portent dkim=pass dans les en-têtes d'authentification.

RSA ou Ed25519 : quel algorithme DKIM choisir ?

RSA 2048 bits est le standard actuel, supporté par tous les fournisseurs. Ed25519 produit des signatures plus courtes et est plus rapide, mais n'est supporté que par quelques fournisseurs comme Google et Fastmail. La meilleure approche est d'utiliser RSA 2048 comme base et d'ajouter une seconde signature Ed25519 en parallèle.

À quelle fréquence faut-il changer les clés DKIM ?

Google recommande une rotation trimestrielle (tous les 3 mois). La procédure consiste à générer une nouvelle paire de clés avec un nouveau sélecteur, publier la nouvelle clé dans le DNS, basculer le serveur d'envoi, puis révoquer l'ancienne clé en vidant la balise p= de l'enregistrement DNS.

DKIM est-il encore utilisé en 2026 ?

DKIM est non seulement encore utilisé, mais il est devenu obligatoire. Google, Yahoo et Microsoft exigent DKIM pour les expéditeurs de volume. Le protocole est maintenu et évolue : la RFC 8463 a ajouté le support Ed25519, et le groupe de travail IETF travaille sur DKIMv2 pour renforcer encore la sécurité.

Glossaire

• DKIM (DomainKeys Identified Mail) : protocole d'authentification email par signature cryptographique, vérifiant l'intégrité et l'origine des messages.
• Sélecteur : identifiant texte (ex: s202603) qui forme l'adresse DNS de la clé publique DKIM (selecteur._domainkey.domaine).
• Clé publique : partie de la paire cryptographique publiée dans le DNS, utilisée par les serveurs de réception pour vérifier les signatures.
• Clé privée : partie secrète de la paire cryptographique, stockée sur le serveur d'envoi, utilisée pour signer les emails.
• SPF (Sender Policy Framework) : protocole qui autorise des serveurs spécifiques à envoyer des emails pour un domaine.
• DMARC (Domain-based Message Authentication, Reporting and Conformance) : protocole qui vérifie l'alignement entre le domaine du From et les domaines SPF/DKIM.
• Alignement : correspondance entre le domaine du champ From et le domaine utilisé par SPF ou DKIM, vérifiée par DMARC.

---

Guides DKIM connexes

• DKIM avec Office 365 et Google Workspace : configuration pas à pas de DKIM sur les deux plateformes les plus utilisées
• SPF vs DKIM vs DMARC : le guide comparatif (à venir) : comprendre les différences, les complémentarités et l'ordre de déploiement

Sources

• RFC 6376 - DomainKeys Identified Mail (DKIM) Signatures
• RFC 8463 - Ed25519 for DKIM
• Google - Email sender guidelines