Le problème : vérifier DKIM sans connaître le sélecteur
Les outils DKIM classiques demandent un domaine et un sélecteur. Mais la plupart des utilisateurs ne connaissent pas leur sélecteur DKIM. Résultat : ils ne peuvent pas vérifier leur configuration.
Le DKIM Selector Finder résout ce problème. Entrez un domaine, et l'outil sonde le DNS pour faire remonter les sélecteurs DKIM actifs parmi les noms connus, sans que vous ayez à en saisir un.
Comment fonctionne la découverte ?
1. Détection des fournisseurs via les MX
L'outil interroge les enregistrements MX de votre domaine pour identifier vos fournisseurs email, puis teste en priorité leurs sélecteurs connus :
*.google.com→ Google Workspace → sélecteurgoogle*.outlook.com→ Microsoft 365 → sélecteursselector1,selector2*.mcsv.net→ Mailchimp → sélecteursk1,k2,k3
2. Sondage du catalogue de noms connus
L'outil teste en parallèle les noms de sélecteur connus en interrogeant :
selecteur._domainkey.votre-domaine
Pour chaque nom, une requête DNS TXT est envoyée. Si un enregistrement DKIM répond, il est analysé. Le scan sonde toujours le catalogue complet de noms connus (génériques et spécifiques aux fournisseurs, près d'une centaine au total) : la détection des fournisseurs via les MX ne fait que réordonner la priorité en interne, elle ne change pas le volume sondé. Le scan ne garantit pas de trouver un sélecteur personnalisé, car la découverte n'est jamais exhaustive (voir plus bas).
3. Analyse de chaque sélecteur trouvé
Chaque sélecteur trouvé est analysé avec le même moteur que notre DKIM Checker :
- Type de clé : RSA ou Ed25519
- Longueur de clé en bits, décodée depuis la clé publique
- Validité de l'enregistrement
- Alertes de sécurité (clé faible, clé révoquée, mode test, format invalide)
- Détection CNAME (délégation au fournisseur)
Pourquoi « aucun sélecteur trouvé » ne prouve rien
C'est le point le plus important à comprendre. Le DNS n'autorise pas l'énumération des sélecteurs d'une zone : il n'existe ni wildcard sur *._domainkey, ni registre central des sélecteurs (RFC 6376). La valeur d'un sélecteur est choisie librement par l'opérateur du domaine signataire, donc imprévisible.
Concrètement, cet outil ne peut tester qu'une liste de noms connus. Un résultat vide signifie seulement qu'aucun de ces noms ne répond, jamais que le domaine n'a pas de DKIM. Un sélecteur personnalisé (campagne-2024-q3), un token aléatoire (Amazon SES) ou un identifiant généré dynamiquement (hash, UUID) échappent par construction au catalogue.
Quand le catalogue ne trouve rien, la méthode fiable consiste à lire le sélecteur directement dans un email reçu (voir la section dédiée plus bas). C'est la seule façon d'obtenir le vrai sélecteur sans le deviner.
Quand utiliser cet outil ?
| Situation | Cet outil est fait pour vous |
|---|---|
| Vous ne connaissez pas votre sélecteur DKIM | Découverte automatique |
| Audit de sécurité d'un domaine tiers | Vision complète de la configuration DKIM |
| Migration de fournisseur email | Vérifier quels sélecteurs sont encore actifs |
| Déploiement DMARC en mode reject | S'assurer que tous les flux email signent en DKIM |
| Debugging de délivrabilité | Identifier les sélecteurs invalides ou les clés faibles |
Sélecteurs DKIM des principaux fournisseurs
Ces valeurs sont courantes ou observées, pas des garanties : un fournisseur peut changer de convention, autoriser un sélecteur personnalisé, ou publier sa clé via un token CNAME aléatoire. Aucune entrée ci-dessous n'est « le » sélecteur officiel garanti d'un fournisseur.
| Fournisseur | Sélecteurs courants | Remarque |
|---|---|---|
| Google Workspace | google | Défaut documenté ; préfixe personnalisable |
| Microsoft 365 | selector1, selector2 | Paire de rotation ; publiés en CNAME |
| SendGrid | s1, s2 | Défaut Automated Security (CNAME) |
| Mailchimp | k1, k2, k3 | - |
| Mandrill (Mailchimp Transactional) | mte1, mte2 | mandrill en legacy |
| Amazon SES | tokens aléatoires (CNAME) | Easy DKIM publie 3 tokens vers *.dkim.amazonses.com, pas de sélecteur fixe |
| Postmark | suffixe pm | Sélecteur daté, ex. 20260128pm |
| Brevo (ex-Sendinblue) | brevo1, brevo2 | mail en legacy (ancienne ère Sendinblue) |
| Mailgun | pdk1, pdk2, smtp | pdk1/pdk2 = défaut moderne (CNAME) |
| HubSpot | hs1, hs2 | - |
| Klaviyo | km1, km2 | Variantes par domaine |
| Zoho Mail | zoho, zmail | - |
| ProtonMail | protonmail, protonmail2, protonmail3 | - |
| Apple iCloud (domaine perso) | sig1 | Publié en CNAME vers *.at.icloudmailadmin.com |
Cette table couvre les fournisseurs les plus courants. L'outil sonde au total près d'une centaine de noms de sélecteur, sans garantie d'exhaustivité.
Pourquoi selector1 et selector2 (la rotation des clés)
Beaucoup de domaines exposent deux sélecteurs (selector1/selector2 chez Microsoft, s1/s2 chez SendGrid, brevo1/brevo2 chez Brevo). Ce n'est pas un doublon : c'est le mécanisme de rotation des clés.
À un instant donné, un sélecteur porte la clé active (celle qui signe les emails sortants) ; l'autre porte une clé de réserve, déjà publiée dans le DNS. Pour tourner la clé sans interruption, l'opérateur bascule la signature vers la clé de réserve, déjà propagée, puis remplace l'ancienne. Aucun email n'est laissé sans signature valide pendant la transition.
Le M3AAWG recommande une rotation annuelle ou biannuelle (fréquence observée, pas une règle universelle ni « obligatoire ») ; une clé courte ou ancienne justifie une rotation plus fréquente. Si la découverte ne remonte qu'un seul sélecteur, la rotation sans coupure est impossible : prévoir un second sélecteur est une bonne pratique d'hygiène.
Trouver le vrai sélecteur depuis un email reçu
C'est la méthode la plus fiable, sans aucun faux négatif : le sélecteur est inscrit dans l'en-tête DKIM-Signature que le serveur expéditeur ajoute à chaque message signé. Ouvrez un email reçu du domaine et cherchez le tag s= :
DKIM-Signature: v=1; a=rsa-sha256; d=exemple.com; s=selector1; ...
Ici, le sélecteur est selector1 et le domaine signataire (d=) est exemple.com : la clé vit donc à selector1._domainkey.exemple.com.
Où afficher l'en-tête brut selon le webmail :
- Gmail : ouvrez le message, menu
⋮(trois points) en haut à droite, puis Afficher l'original. Cherchez la ligneDKIM-Signatureet lisezs=. - Outlook / Microsoft 365 : ouvrez le message, Fichier → Propriétés (client lourd) ou menu
⋯→ Afficher → Afficher la source du message (web). RepérezDKIM-Signature. - Apple Mail : menu Présentation → E-mail → Tous les en-têtes.
Une fois le sélecteur en main, collez-le dans le DKIM Checker pour inspecter la clé en profondeur.
Méthode manuelle : dig / nslookup
Si vous connaissez (ou suspectez) un sélecteur, vous pouvez interroger le DNS directement, sans cet outil :
dig TXT selecteur._domainkey.exemple.com +short
Sous Windows, l'équivalent est :
nslookup -type=TXT selecteur._domainkey.exemple.com
Une réponse contenant v=DKIM1; ...; p=... confirme que le sélecteur existe et expose la clé publique. Une absence de réponse signifie seulement que ce nom précis ne résout pas, pas que le domaine est dépourvu de DKIM.
Limites de la découverte par catalogue
Le DNS ne permet pas de lister les sous-domaines d'une zone (pas de wildcard enumeration sur *._domainkey). La découverte repose sur un catalogue de sélecteurs connus.
Ce qui sera trouvé :
- Sélecteurs courants des fournisseurs du catalogue
- Sélecteurs génériques (
default,dkim,mail,s1,selector1, etc.) - Sélecteurs numériques courants (
dkim1,dkim2,k1,k2)
Ce qui ne sera pas trouvé :
- Sélecteurs personnalisés ou aléatoires (ex.
campagne-2024-q3) - Sélecteurs générés dynamiquement (hash, UUID, tokens Amazon SES)
- Sélecteurs publiés sur un sous-domaine d'envoi ou de bounce (ex.
bounce.votredomaine.com,mail.votredomaine.com). Pour ceux-là, relancez la découverte sur le sous-domaine concerné, ou lisez led=et les=dans l'en-tête d'un email parti de ce flux.
Pour ces cas, la voie sûre reste l'en-tête DKIM-Signature d'un email reçu (voir plus haut).
Pièges derrière un enregistrement « introuvable »
Un sélecteur connu peut exister sans répondre proprement. Avant de conclure à une absence de DKIM, vérifiez ces causes fréquentes :
- CNAME pas encore propagé : beaucoup de fournisseurs (Microsoft 365, SendGrid, Brevo, Amazon SES) publient la clé via un
CNAMEqui pointe vers leur infrastructure. Tant que la délégation n'est pas propagée, ou si elle a été retirée, la résolution échoue. - Clé révoquée : un enregistrement présent mais avec une valeur
p=vide signifie que la clé a été révoquée (RFC 6376). Le sélecteur existe, mais la clé est morte. C'est normal pendant une rotation, suspect si cela traîne. - Enregistrement splitté ou tronqué : une clé 2048 bits dépasse la limite de 255 octets d'une chaîne TXT et doit être découpée en plusieurs segments concaténés. Un découpage incorrect rend la clé invalide.
- Sélecteur sur un autre domaine : le tag
d=de la signature peut viser un sous-domaine ou un domaine d'envoi distinct. La clé n'est alors pas sous votre apex.
Comprendre la force de la clé d'un sélecteur
Trouver le sélecteur n'est que la moitié du travail : encore faut-il que la clé soit solide. Pour chaque sélecteur découvert, l'outil décode la clé publique et en déduit le type et la longueur.
| Clé | Verdict | À retenir |
|---|---|---|
| RSA 1024 bits | Faible, à tourner | Acceptée aujourd'hui mais en fin de vie ; planifiez le passage en 2048 |
| RSA 2048 bits | Recommandé | Le standard pratique en production |
| RSA 4096 bits | Fort | Robuste ; vérifiez l'enregistrement multi-segments |
| Ed25519 (256 bits) | Fort, interop limitée | Voir la note ci-dessous |
Les clés RSA très courtes sont une autre histoire : 512 bits se factorise en quelques heures et 768 bits a été cassé publiquement dès 2009 (Red Sift). On parle là de clés cassées, à ne jamais confondre avec le 1024 bits, simplement faible et à tourner.
Ed25519 produit une clé fixe de 256 bits, cryptographiquement forte, mais son interopérabilité est limitée : d'après les tests de Red Sift, Gmail, Microsoft 365 et Yahoo ne valident pas (ou rejettent) les signatures Ed25519. En pratique, publiez Ed25519 en parallèle d'une clé RSA 2048, jamais seul.
L'outil signale aussi deux états à surveiller : une clé révoquée (p= vide) laissée dans le DNS, et un sélecteur en mode test (t=y) souvent oublié après la mise en production, qui fait traiter le message comme non signé.
Quel outil pour quoi ?
La découverte de sélecteurs est la première étape quand vous ne connaissez pas le terme « sélecteur » ni la valeur à saisir. Elle vous donne la liste des sélecteurs actifs. Pour aller plus loin :
- Vous ne connaissez aucun sélecteur → commencez ici, par la découverte. L'outil dresse l'inventaire des sélecteurs et fournisseurs actifs.
- Vous avez un sélecteur précis à inspecter → passez au DKIM Checker pour analyser sa clé, sa validité et sa configuration en détail.
- Vous avez un email sous la main → l'Analyseur d'en-têtes email extrait directement le
s=et led=de la signature, sans deviner. - Vous préparez une nouvelle clé → le Générateur DKIM crée une paire RSA ou Ed25519 prête à publier.
FAQ - Questions fréquentes
Q : Qu'est-ce qu'un sélecteur DKIM ?
R : Un sélecteur DKIM est un identifiant permettant de localiser la clé publique DKIM dans le DNS. Il est publié à l'adresse selecteur._domainkey.votredomaine.com. Chaque fournisseur email utilise son propre sélecteur, ce qui permet d'avoir plusieurs signatures DKIM actives simultanément.
Q : Comment trouver mes sélecteurs DKIM sans envoyer d'email ?
R : Cet outil sonde le DNS : il teste un catalogue de noms de sélecteur connus directement sur votre zone, sans envoyer d'email. Il détecte d'abord vos fournisseurs via les MX pour prioriser les bons sélecteurs. Si rien ne ressort, le chemin le plus fiable reste de lire le tag s= dans l'en-tête DKIM-Signature d'un email que vous avez reçu de ce domaine.
Q : Quels sont les sélecteurs DKIM par défaut des principaux fournisseurs ?
R : Google Workspace utilise google. Microsoft 365 utilise selector1 et selector2. SendGrid utilise s1 et s2. Mailchimp utilise k1, k2 et k3. Brevo utilise brevo1 et brevo2. Amazon SES Easy DKIM publie des tokens aléatoires en CNAME (pas de sélecteur fixe). Ce sont des valeurs courantes, pas des garanties. Consultez la table des fournisseurs ci-dessus.
Q : Peut-on vérifier DKIM sans connaître le sélecteur ?
R : Oui, c'est exactement ce que fait cet outil. Contrairement aux DKIM checkers classiques qui exigent un sélecteur, il teste automatiquement les noms connus dans le DNS, sachant qu'un sélecteur personnalisé peut échapper à cette liste.
Q : Que signifie « sélecteur DKIM introuvable » ?
R : Aucun enregistrement TXT ne répond pour les noms testés. Cela ne prouve pas l'absence de DKIM : le DNS ne permet pas d'énumérer les sélecteurs d'une zone (RFC 6376), l'outil ne teste qu'une liste de noms connus. Causes possibles : sélecteur personnalisé absent du catalogue, CNAME pas encore propagé, clé révoquée (p= vide), ou DKIM réellement non configuré. Pour lever le doute, lisez l'en-tête DKIM-Signature d'un email reçu.
Q : L'outil peut-il trouver tous les sélecteurs DKIM ?
R : Non, et aucun outil ne le peut. Les sélecteurs personnalisés ou générés dynamiquement (hash, UUID, tokens aléatoires) ne seront pas détectés. Pour ces cas, lisez l'en-tête DKIM-Signature d'un email reçu (tag s=) ou interrogez directement le sélecteur avec dig TXT selecteur._domainkey.votredomaine.com.
Outils complémentaires
| Outil | Utilité |
|---|---|
| DKIM Checker | Analyser un sélecteur DKIM spécifique en profondeur |
| Vérificateur de syntaxe DKIM | Valider la syntaxe d'un enregistrement DKIM avant publication |
| Générateur DKIM | Générer des paires de clés DKIM (RSA/Ed25519) |
| Audit de délivrabilité | Vérifier SPF, DKIM, DMARC et MX d'un domaine |
| Inspecteur DMARC | Tester votre politique DMARC |
| Analyseur d'en-têtes email | Extraire les sélecteurs DKIM depuis un email reçu |
Ressources utiles
- RFC 6376 - DKIM Signatures (spécification officielle)
- RFC 8463 - Ed25519 pour DKIM (signatures Ed25519)
- Google - Configurer DKIM (guide Google Workspace)
- Microsoft - DKIM dans Exchange Online (guide Microsoft 365)