Le problème : vérifier DKIM sans connaître le sélecteur
Les outils DKIM classiques demandent un domaine et un sélecteur. Mais la plupart des utilisateurs ne connaissent pas leur sélecteur DKIM. Résultat : ils ne peuvent pas vérifier leur configuration.
Le DKIM Selector Finder résout ce problème. Entrez un domaine, et l'outil découvre automatiquement tous les sélecteurs DKIM configurés.
Comment fonctionne la découverte ?
1. Détection des fournisseurs email (mode Smart)
L'outil interroge les enregistrements MX de votre domaine pour identifier vos fournisseurs email :
*.google.com→ Google Workspace → sélecteurgoogle*.outlook.com→ Microsoft 365 → sélecteursselector1,selector2*.mcsv.net→ Mailchimp → sélecteursk1,k2,k3
2. Brute-force DNS intelligent
L'outil teste en parallèle les sélecteurs connus en interrogeant :
<selecteur>._domainkey.<votre-domaine>
Pour chaque sélecteur, une requête DNS TXT est envoyée. Si un enregistrement DKIM existe, il est analysé.
3. Analyse approfondie
Chaque sélecteur trouvé est analysé avec le même moteur que notre DKIM Checker :
- Type de clé : RSA ou Ed25519
- Longueur de clé : 1024, 2048, 4096 bits
- Validité de l'enregistrement
- Alertes de sécurité (clé faible, format invalide)
- Détection CNAME (délégation au fournisseur)
Quand utiliser cet outil ?
| Situation | Cet outil est fait pour vous |
|---|---|
| Vous ne connaissez pas votre sélecteur DKIM | Découverte automatique |
| Audit de sécurité d'un domaine tiers | Vision complète de la configuration DKIM |
| Migration de fournisseur email | Vérifier quels sélecteurs sont encore actifs |
| Déploiement DMARC en mode reject | S'assurer que tous les flux email signent en DKIM |
| Debugging de délivrabilité | Identifier les sélecteurs invalides ou les clés faibles |
Sélecteurs DKIM des principaux fournisseurs
| Fournisseur | Sélecteurs DKIM | Pattern MX |
|---|---|---|
| Google Workspace | google | *.google.com |
| Microsoft 365 | selector1, selector2 | *.outlook.com |
| SendGrid | s1, s2, smtpapi | *.sendgrid.net |
| Mailchimp | k1, k2, k3 | *.mcsv.net |
| Amazon SES | amazonses | *.amazonses.com |
| Postmark | pm | *.mtasv.net |
| HubSpot | hs1, hs2 | — |
| Brevo (Sendinblue) | mail, sendinblue | *.sendinblue.com |
| Zoho Mail | zoho, zmail | *.zoho.com |
| OVH | ovhmo* | *.ovh.net |
Cette table couvre les fournisseurs les plus courants. L'outil teste 100+ sélecteurs au total.
Limites de la découverte par brute-force
Le DNS ne permet pas de lister les sous-domaines d'une zone (pas de wildcard enumeration sur *._domainkey). La découverte repose sur un catalogue de sélecteurs connus.
Ce qui sera trouvé :
- Sélecteurs standard des 35+ fournisseurs du catalogue
- Sélecteurs génériques (
default,dkim,mail,s1,selector1, etc.) - Sélecteurs numériques courants (
dkim1,dkim2,k1,k2)
Ce qui ne sera pas trouvé :
- Sélecteurs personnalisés ou aléatoires (ex:
campaign-2024-q3) - Sélecteurs générés dynamiquement (hash, UUID)
- Sélecteurs sur des sous-domaines (ex:
bounce.votredomaine.com)
Pour ces cas, consultez les en-têtes de vos emails envoyés : DKIM-Signature: s=selecteur.
FAQ - Questions fréquentes
Q : Qu'est-ce qu'un sélecteur DKIM ?
R : Un sélecteur DKIM est un identifiant permettant de localiser la clé publique DKIM dans le DNS. Il est publié à l'adresse selecteur._domainkey.votredomaine.com. Chaque fournisseur email utilise son propre sélecteur, ce qui permet d'avoir plusieurs signatures DKIM actives simultanément.
Q : Comment trouver mes sélecteurs DKIM sans envoyer d'email ?
R : Cet outil découvre vos sélecteurs par brute-force DNS : il teste 50 à 120 sélecteurs connus directement sur votre zone DNS. Aucun email n'est envoyé. Le mode Smart détecte d'abord vos fournisseurs via les MX pour prioriser les bons sélecteurs.
Q : Quels sont les sélecteurs DKIM par défaut des principaux fournisseurs ?
R : Google Workspace utilise google. Microsoft 365 utilise selector1 et selector2. SendGrid utilise s1 et s2. Mailchimp utilise k1, k2 et k3. Postmark utilise pm. Consultez la table des fournisseurs ci-dessus pour la liste complète.
Q : Peut-on vérifier DKIM sans connaître le sélecteur ?
R : Oui, c'est exactement ce que fait cet outil. Contrairement aux DKIM checkers classiques, le Selector Finder teste automatiquement les sélecteurs connus par brute-force DNS.
Q : Que signifie « sélecteur DKIM introuvable » ?
R : Aucun enregistrement TXT n'existe pour ce sélecteur dans le DNS. Causes possibles : DKIM non configuré, sélecteur personnalisé absent du catalogue, enregistrement supprimé, ou propagation DNS incomplète.
Q : Quelle est la différence entre mode Smart et mode Full ?
R : Le mode Smart détecte vos fournisseurs via les MX et teste ~50 sélecteurs. Le mode Full teste ~120 sélecteurs sans filtrage. Utilisez Full si Smart ne trouve pas tous vos sélecteurs.
Q : L'outil peut-il trouver tous les sélecteurs DKIM ?
R : Non. Les sélecteurs personnalisés ou générés dynamiquement ne seront pas détectés. Pour ces cas, consultez les en-têtes de vos emails (DKIM-Signature: s=selecteur).
Outils complémentaires
| Outil | Utilité |
|---|---|
| DKIM Checker | Analyser un sélecteur DKIM spécifique en profondeur |
| Vérificateur de syntaxe DKIM | Valider la syntaxe d'un enregistrement DKIM avant publication |
| Générateur DKIM | Générer des paires de clés DKIM (RSA/Ed25519) |
| Audit de délivrabilité | Vérifier SPF, DKIM, DMARC et MX d'un domaine |
| Inspecteur DMARC | Tester votre politique DMARC |
| Analyseur d'en-têtes email | Extraire les sélecteurs DKIM depuis un email reçu |
Ressources utiles
- RFC 6376 - DKIM Signatures (spécification officielle)
- RFC 8463 - Ed25519 pour DKIM (signatures Ed25519)
- Google - Configurer DKIM (guide Google Workspace)
- Microsoft - DKIM dans Exchange Online (guide Microsoft 365)