Comment trouver son sélecteur DKIM : 4 méthodes expliquées pas à pas
Par CaptainDNS
Publié le 18 février 2026
- Le sélecteur DKIM est un identifiant texte (ex:
google,selector1,k1) qui localise la clé publique dans le DNS - Méthode 1 : Ouvrir les en-têtes d'un email reçu et chercher
s=dans la ligneDKIM-Signature - Méthode 2 : Consulter la console admin de votre fournisseur email (Google, Microsoft, etc.)
- Méthode 3 : Tester manuellement avec
digounslookupsi vous connaissez le fournisseur - Méthode 4 : Utiliser un outil de découverte automatique pour scanner 100+ sélecteurs connus par brute-force DNS
Vous voulez vérifier votre configuration DKIM, mais l'outil que vous utilisez demande un "sélecteur" et vous n'avez aucune idée de ce que c'est. Vous n'êtes pas seul. C'est le premier obstacle que rencontrent la plupart des administrateurs qui découvrent l'authentification email.
Le sélecteur DKIM est un identifiant texte qui permet de localiser la clé publique DKIM dans le DNS d'un domaine. Sans lui, impossible de vérifier une signature DKIM. La bonne nouvelle : il existe plusieurs façons de le retrouver, même si personne ne vous l'a communiqué.
Ce guide présente 4 méthodes concrètes, de la plus simple à la plus technique. Que vous soyez administrateur système, responsable marketing ou développeur, l'une d'entre elles fonctionnera pour votre situation.
Rappel : qu'est-ce qu'un sélecteur DKIM ?
Quand un serveur email signe un message avec DKIM, il ajoute un en-tête DKIM-Signature qui contient, entre autres, deux informations clés :
d=: le domaine signataire (ex:captaindns.com)s=: le sélecteur (ex:google,selector1,s1)
Le destinataire combine ces deux valeurs pour chercher la clé publique dans le DNS :
<selecteur>._domainkey.<domaine>
Par exemple, pour le domaine captaindns.com avec le sélecteur google :
google._domainkey.captaindns.com TXT "v=DKIM1; k=rsa; p=MIIBIj..."
Chaque fournisseur email utilise son propre sélecteur. Un domaine peut en avoir plusieurs (un par service d'envoi). C'est pourquoi il n'y a pas de valeur "par défaut" universelle.
Méthode 1 : Extraire le sélecteur depuis les en-têtes email
C'est la méthode la plus fiable. Chaque email signé en DKIM contient le sélecteur en clair dans ses en-têtes.
Étape 1 : Ouvrir les en-têtes complets
| Client email | Accès aux en-têtes |
|---|---|
| Gmail (web) | Ouvrir le message > Menu ⋮ > "Afficher l'original" |
| Outlook (web) | Ouvrir le message > Menu ⋯ > "Afficher la source du message" |
| Apple Mail | Affichage > Message > En-têtes complets |
| Thunderbird | Affichage > En-têtes > Tous |
Étape 2 : Chercher DKIM-Signature
Dans les en-têtes, cherchez la ligne qui commence par DKIM-Signature: :
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=captaindns.com; s=google; t=1739800000;
h=from:to:subject:date:message-id;
bh=abcdef123456...;
b=ABCDEF789012...
Étape 3 : Lire la valeur de s=
Le sélecteur est la valeur après s=. Dans l'exemple ci-dessus : google.
Attention : un email peut contenir plusieurs signatures DKIM (une par service traversé). Cherchez celle dont le d= correspond à votre domaine.
Quand utiliser cette méthode ?
- Vous avez accès à un email envoyé depuis le domaine à vérifier
- Vous voulez le sélecteur exact utilisé en production
- Vous soupçonnez que le sélecteur a changé récemment
Méthode 2 : Consulter la console admin du fournisseur
Chaque fournisseur email affiche le sélecteur DKIM dans sa console d'administration.
Google Workspace
- Ouvrir la Console d'administration Google
- Menu > Applications > Google Workspace > Gmail
- "Authentification des emails" > cliquer sur le domaine
- Le sélecteur s'affiche (par défaut :
google)
Microsoft 365
- Ouvrir le Centre d'administration Exchange
- Flux de courrier > Règles > DKIM
- Sélectionner le domaine
- Les sélecteurs s'affichent (par défaut :
selector1etselector2)
Autres fournisseurs
| Fournisseur | Emplacement | Sélecteur par défaut |
|---|---|---|
| SendGrid | Settings > Sender Authentication > Domain | s1, s2 |
| Mailchimp | Website > Domains > Authentication | k1, k2, k3 |
| Postmark | Sender Signatures > DNS Settings | pm |
| HubSpot | Settings > Domain & URLs > Email Sending | hs1, hs2 |
| Brevo | Paramètres > Expéditeurs > Domaines | mail, sendinblue |
Quand utiliser cette méthode ?
- Vous êtes administrateur du service email
- Vous configurez DKIM pour la première fois
- Vous cherchez le sélecteur avant d'envoyer un premier email
Méthode 3 : Interroger le DNS manuellement
Si vous connaissez le fournisseur email, vous pouvez tester directement les sélecteurs connus via une requête DNS.
Avec dig (Linux/macOS)
dig TXT google._domainkey.captaindns.com +short
Résultat si le sélecteur existe :
"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOC..."
Résultat si le sélecteur n'existe pas : aucune sortie (NXDOMAIN).
Avec nslookup (Windows)
nslookup -type=TXT google._domainkey.captaindns.com
Avec PowerShell
Resolve-DnsName -Name "google._domainkey.captaindns.com" -Type TXT
Quels sélecteurs tester ?
Si vous ne savez pas quel fournisseur est utilisé, testez d'abord les plus courants :
dig TXT google._domainkey.captaindns.com +short
dig TXT selector1._domainkey.captaindns.com +short
dig TXT selector2._domainkey.captaindns.com +short
dig TXT s1._domainkey.captaindns.com +short
dig TXT k1._domainkey.captaindns.com +short
dig TXT default._domainkey.captaindns.com +short
Quand utiliser cette méthode ?
- Vous avez un accès terminal/CLI
- Vous connaissez le fournisseur probable
- Vous voulez vérifier si un sélecteur spécifique existe dans le DNS
Méthode 4 : Outil de découverte automatique
Si vous ne savez pas quel fournisseur est utilisé, ou si vous voulez un inventaire complet, un outil de brute-force DNS automatisé est la solution la plus efficace.
Le principe : l'outil teste automatiquement des dizaines de sélecteurs connus en interrogeant le DNS. C'est exactement la méthode 3, mais automatisée sur 50 à 120 sélecteurs.
Comment ça fonctionne ?
- L'outil détecte vos fournisseurs email via les enregistrements MX
- Il priorise les sélecteurs connus de ces fournisseurs
- Il teste en parallèle chaque sélecteur via des requêtes DNS TXT
- Il analyse chaque enregistrement DKIM trouvé (type de clé, longueur, validité)
Avantages
| Avantage | Détail |
|---|---|
| Pas besoin d'email | Fonctionne uniquement avec le DNS |
| Pas besoin d'accès admin | Vérification depuis l'extérieur |
| Découvre les sélecteurs oubliés | Anciens fournisseurs encore configurés |
| Analyse automatique | Alerte sur les clés faibles (1024 bits) |
Limites
Le DNS ne permet pas de lister tous les sous-domaines d'une zone. Les sélecteurs personnalisés (ex: campaign-2024-q3) ou générés dynamiquement (hash, UUID) ne seront pas détectés par brute-force.
Quand utiliser cette méthode ?
- Vous ne connaissez pas le fournisseur email
- Vous auditez un domaine tiers
- Vous voulez un inventaire complet avant un déploiement DMARC
p=reject
Sélecteurs DKIM par défaut : la référence rapide
| Fournisseur | Sélecteurs DKIM | Type |
|---|---|---|
| Google Workspace | google | Messagerie |
| Microsoft 365 | selector1, selector2 | Messagerie |
| SendGrid | s1, s2, smtpapi | Transactionnel |
| Mailchimp | k1, k2, k3 | Marketing |
| Amazon SES | amazonses | Transactionnel |
| Postmark | pm | Transactionnel |
| HubSpot | hs1, hs2 | Marketing |
| Brevo (Sendinblue) | mail, sendinblue | Marketing |
| Zoho Mail | zoho, zmail | Messagerie |
| Mailgun | smtp, pic, k1 | Transactionnel |
Un domaine actif utilise souvent 2 à 4 sélecteurs : un pour la messagerie principale, un ou deux pour les outils marketing, et parfois un pour le transactionnel.
Comparaison des 4 méthodes
| Critère | En-têtes email | Console admin | DNS manuel | Outil automatique |
|---|---|---|---|---|
| Fiabilité | Très haute | Haute | Haute | Haute |
| Accès requis | Email reçu | Compte admin | Terminal | Aucun |
| Découvre tous les sélecteurs | Non (1 par email) | Non (1 fournisseur) | Non (1 par requête) | Oui (50-120 testés) |
| Niveau technique | Faible | Faible | Moyen | Faible |
| Temps | 2 min | 5 min | 10 min | 30 sec |
| Sélecteur exact en prod | Oui | Pas toujours | Si deviné | Oui |
Recommandation : commencez par la méthode 1 si vous avez un email sous la main. Utilisez la méthode 4 pour un audit complet.
🎯 Plan d'action recommandé
- Vérification rapide : ouvrez un email reçu, cherchez
s=dansDKIM-Signature(méthode 1) - Inventaire complet : lancez un scan automatique pour découvrir tous les sélecteurs actifs (méthode 4)
- Validation : vérifiez chaque sélecteur trouvé avec un DKIM Checker pour confirmer la validité de la clé publique
- Documentation : notez vos sélecteurs actifs et le fournisseur associé pour référence future
- Nettoyage : supprimez les enregistrements DNS des sélecteurs DKIM de fournisseurs que vous n'utilisez plus
FAQ
Qu'est-ce qu'un sélecteur DKIM ?
Un sélecteur DKIM est un identifiant texte qui permet de localiser la clé publique DKIM dans le DNS. Il est publié à l'adresse selecteur._domainkey.domaine.com. Chaque fournisseur email utilise son propre sélecteur : Google utilise google, Microsoft utilise selector1 et selector2, SendGrid utilise s1 et s2.
Où trouver le sélecteur DKIM dans un email ?
Ouvrez les en-têtes complets de l'email (dans Gmail : menu ⋮ > "Afficher l'original"). Cherchez la ligne DKIM-Signature: et lisez la valeur après s=. C'est votre sélecteur. Attention, un email peut contenir plusieurs signatures DKIM si le message a traversé plusieurs services.
Comment trouver le sélecteur DKIM sans avoir d'email ?
Deux options : consultez la console admin de votre fournisseur email (Google Admin, Exchange, etc.), ou utilisez un outil de découverte automatique qui teste les sélecteurs connus par brute-force DNS. La seconde option ne nécessite aucun accès au compte.
Quels sont les sélecteurs DKIM par défaut de Google Workspace ?
Google Workspace utilise le sélecteur google par défaut. L'enregistrement DKIM est publié à google._domainkey.captaindns.com. Certaines configurations avancées peuvent utiliser un sélecteur personnalisé défini dans la Console d'administration Google.
Quels sont les sélecteurs DKIM de Microsoft 365 ?
Microsoft 365 utilise deux sélecteurs : selector1 et selector2. Ils sont publiés via des enregistrements CNAME qui pointent vers les serveurs Microsoft. La rotation entre les deux sélecteurs est gérée automatiquement par Microsoft.
Peut-on avoir plusieurs sélecteurs DKIM sur un même domaine ?
Oui, et c'est même courant. Un domaine actif utilise généralement 2 à 4 sélecteurs : un pour la messagerie (Google/Microsoft), un pour le marketing (Mailchimp/HubSpot), et un pour le transactionnel (SendGrid/Postmark). Chaque sélecteur possède sa propre clé publique dans le DNS.
Le sélecteur DKIM est-il confidentiel ?
Non. Le sélecteur DKIM est une information publique. Il est visible dans les en-têtes de chaque email envoyé et pointe vers un enregistrement DNS public. Connaître le sélecteur ne compromet pas la sécurité, seule la clé privée (stockée sur le serveur d'envoi) doit rester confidentielle.
📖 Glossaire
- Sélecteur DKIM : identifiant texte permettant de localiser la clé publique DKIM dans le DNS à l'adresse
selecteur._domainkey.domaine. - DKIM-Signature : en-tête ajouté à un email par le serveur d'envoi, contenant la signature cryptographique et les métadonnées (domaine, sélecteur, algorithme).
- _domainkey : espace de noms DNS réservé aux clés DKIM. Tous les enregistrements DKIM sont publiés sous
<selecteur>._domainkey.<domaine>. - CNAME : type d'enregistrement DNS utilisé par certains fournisseurs (Microsoft, SendGrid) pour déléguer la gestion de la clé DKIM vers leurs propres serveurs.
- Brute-force DNS : technique consistant à tester un catalogue de sélecteurs connus en interrogeant le DNS, afin de découvrir les sélecteurs configurés pour un domaine.
Découvrez vos sélecteurs DKIM en quelques secondes : utilisez le DKIM Selector Finder pour scanner automatiquement 100+ sélecteurs connus sur votre domaine.
📚 Guides DKIM connexes
- Qu'est-ce qu'un enregistrement DKIM ? Le guide complet : fonctionnement, balises DNS, RSA vs Ed25519 et rotation des clés.
- DKIM fail : toutes les causes et comment les corriger (à venir)
