Aller au contenu principal

Nouveau

Testez la délivrabilité de vos e-mails

Envoyez un e-mail de test et obtenez un diagnostic complet de votre authentification SPF, DKIM et DMARC en quelques secondes.

  • Test réel par envoi
  • Diagnostic instantané
  • Sans inscription
Lancer le test

Générateur DKIM Gratuit

Créez une paire de clés DKIM (RSA ou Ed25519) en quelques clics

Générateur DKIM gratuit avec support RSA (2048/4096 bits) et Ed25519. Obtenez instantanément votre clé privée et l'enregistrement DNS TXT à publier. La clé privée est générée une seule fois et n'est jamais stockée sur nos serveurs.

Le domaine pour lequel générer la clé DKIM

Identifiant unique pour cette clé (ex: default, google, s1)

RSA et Ed25519

Support des algorithmes RSA (1024/2048/4096 bits) et Ed25519. RSA 2048 bits est recommandé pour une compatibilité maximale avec tous les serveurs mail.

Clé privée sécurisée

La clé privée est générée côté serveur et transmise une seule fois. Elle n'est jamais stockée ni journalisée. Téléchargez-la immédiatement au format PEM.

Validation DNS

Vérification automatique de la longueur du record. Alerte si le record dépasse 255 caractères (limite DNS TXT) avec RSA 4096 bits.

Copie en un clic

Copiez l'enregistrement DNS TXT directement ou téléchargez la clé privée en format PEM. Prêt pour la configuration de votre serveur mail.

Guides par provider

Instructions de déploiement pour Google Workspace, Microsoft 365, et serveurs mail personnalisés (Postfix avec OpenDKIM).

Qu'est-ce que DKIM ?

DKIM (DomainKeys Identified Mail) est un mécanisme d'authentification email défini dans la RFC 6376. Il permet de signer cryptographiquement les emails sortants pour prouver leur origine et leur intégrité.

Pourquoi configurer DKIM :

  • Authentifier vos emails — Prouvez que l'email provient bien de votre domaine
  • Protéger contre la falsification — La signature détecte toute modification du contenu
  • Améliorer la délivrabilité — Les emails signés DKIM sont mieux acceptés par Gmail, Outlook, Yahoo
  • Prérequis pour DMARC — DKIM est l'un des deux piliers de l'authentification DMARC (avec SPF)

Comment fonctionne DKIM ?

DKIM utilise la cryptographie asymétrique (clé publique/privée) :

  1. Signature à l'envoi : Votre serveur mail calcule un hash du message et le signe avec la clé privée
  2. Publication DNS : La clé publique est publiée dans un enregistrement TXT à selector._domainkey.domain.com
  3. Vérification à la réception : Le serveur destinataire récupère la clé publique via DNS et vérifie la signature
Envoi:  Message → Hash → Signature (clé privée) → Header DKIM-Signature
Réception: Header → Clé publique (DNS) → Vérification signature → Pass/Fail

Syntaxe d'un enregistrement DKIM

Un enregistrement DKIM est un enregistrement DNS TXT publié à <selector>._domainkey.<domain> :

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Tags DKIM

TagDescriptionRequisValeurs
vVersionRecommandéDKIM1
kType de cléNon (défaut: rsa)rsa, ed25519
pClé publiqueOuiBase64 DER
hAlgorithmes de hashNonsha256, sha1
tFlagsNony (test), s (strict)
sTypes de serviceNonemail, *
nNotesNonTexte libre

Exemples de records

RSA 2048 bits (recommandé) :

default._domainkey.captaindns.com TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."

Ed25519 :

default._domainkey.captaindns.com TXT "v=DKIM1; k=ed25519; p=MCowBQYDK2Vw..."

RSA vs Ed25519 : quel algorithme choisir ?

CritèreRSA 2048RSA 4096Ed25519
SécuritéBonneExcellenteExcellente
SupportUniverselUniverselPartiel (~80%)
Longueur record~400 chars~800 chars~90 chars
PerformanceBonneLenteTrès rapide
RecommandationProductionSensibleAvancé

Recommandations

  • RSA 2048 bits : Standard actuel, compatibilité maximale. Choisissez cette option par défaut.
  • RSA 4096 bits : Pour les environnements très sensibles. Attention aux limitations DNS.
  • Ed25519 : Pour les configurations avancées. Envisagez un double selector (RSA + Ed25519).
  • RSA 1024 bits : Déprécié depuis 2020. À éviter.

Longueur des clés et limites DNS

La limite de 255 caractères

Les enregistrements DNS TXT sont limités à 255 caractères par chaîne. Voici l'impact par algorithme :

AlgorithmeLongueur recordCompatible DNS
Ed25519~90 chars✅ Toujours
RSA 1024~230 chars✅ Toujours
RSA 2048~400 chars⚠️ Découpage auto
RSA 4096~800 chars⚠️ Vérifier provider

Comment les providers gèrent les longs records

La plupart des providers DNS (Cloudflare, AWS Route 53, Google Cloud DNS) découpent automatiquement les records longs en plusieurs chaînes. Le protocole DNS les concatène à la lecture.

Si votre provider ne supporte pas les longs records, préférez RSA 2048 bits ou Ed25519.

Cas d'usage concrets

Nouveau domaine : première configuration DKIM

Contexte : Vous configurez un nouveau serveur mail (Postfix, etc.)

Solution :

  1. Générez une clé RSA 2048 bits avec le sélecteur default
  2. Téléchargez la clé privée et configurez OpenDKIM
  3. Publiez l'enregistrement TXT dans votre zone DNS
  4. Vérifiez avec le DKIM Checker

Rotation de clé DKIM

Contexte : Votre clé DKIM a plus de 12 mois ou a été compromise

Solution :

  1. Générez une nouvelle clé avec un nouveau sélecteur (ex: s2, 202602)
  2. Configurez la nouvelle clé dans votre serveur mail
  3. Publiez le nouvel enregistrement DNS
  4. Attendez 24-48h de propagation DNS
  5. Supprimez l'ancien enregistrement

Double selector : RSA + Ed25519

Contexte : Vous voulez profiter d'Ed25519 tout en gardant la compatibilité RSA

Solution :

  1. Générez une clé RSA 2048 avec le sélecteur rsa
  2. Générez une clé Ed25519 avec le sélecteur ed
  3. Configurez votre serveur pour signer avec les deux clés
  4. Les serveurs modernes vérifieront Ed25519, les anciens utiliseront RSA

Flags DKIM : mode test et strict

Flag t=y (mode test)

Active le mode test DKIM. Les échecs de vérification sont traités comme neutres (ni pass ni fail).

Usage : Testez votre configuration sans risquer de rejets. Retirez le flag une fois validé.

Flag t=s (mode strict)

Exige un alignement strict entre le domaine de signature DKIM et le domaine From. Par défaut, l'alignement relaxed autorise les sous-domaines.

Usage : Renforcez la sécurité en production. Assurez-vous que tous vos emails sont signés depuis le domaine exact.

❓ FAQ - Questions fréquentes

Q : Comment générer une clé DKIM pour mon domaine ?

R : Utilisez notre générateur : entrez votre domaine et un sélecteur, choisissez RSA 2048 bits, cliquez sur Générer. Téléchargez la clé privée et publiez l'enregistrement TXT dans votre DNS.

Q : Quelle différence entre RSA et Ed25519 ?

R : RSA est supporté par tous les serveurs. Ed25519 est plus moderne avec des clés plus courtes, mais le support n'est pas universel (~80%). Recommandation : RSA 2048 bits pour la production.

Q : Quelle longueur de clé RSA choisir ?

R : RSA 2048 bits est le standard. RSA 1024 est déprécié. RSA 4096 offre plus de sécurité mais génère des records très longs.

Q : Qu'est-ce qu'un sélecteur DKIM ?

R : Un identifiant permettant d'avoir plusieurs clés DKIM. Exemples : default, google, s1. L'enregistrement est publié à selector._domainkey.domaine.com.

Q : La clé privée est-elle stockée ?

R : Non. Générée une seule fois, transmise, puis supprimée. Téléchargez-la immédiatement.

Q : Pourquoi mon record dépasse 255 caractères ?

R : RSA 4096 génère des records de 800+ caractères. La plupart des providers découpent automatiquement. Sinon, préférez RSA 2048 ou Ed25519.

Q : Comment configurer DKIM avec Google Workspace ?

R : Google génère ses propres clés. Admin Console > Gmail > Authenticate email > Generate new record. Notre outil est pour les serveurs personnalisés.

Outils complémentaires

OutilUtilité
DKIM Record CheckVérifiez que votre DKIM est publié et valide
DKIM Syntax CheckValidez la syntaxe d'un record DKIM
SPF GeneratorCréez votre enregistrement SPF
DMARC GeneratorConfigurez DMARC pour compléter l'authentification
Mail TesterTestez la délivrabilité de vos emails

Ressources utiles