Aller au contenu principal

Nouveau

Testez la délivrabilité de vos e-mails

Envoyez un e-mail de test et obtenez un diagnostic complet de votre authentification SPF, DKIM et DMARC en quelques secondes.

  • Test réel par envoi
  • Diagnostic instantané
  • Sans inscription
Lancer le test

DKIM Validator

Validate DKIM syntax before publishing - corrigez les erreurs en secondes

Comment corriger les erreurs de syntaxe DKIM ? Collez votre enregistrement DKIM ci-dessous et validez sa syntaxe instantanément. Détectez balises manquantes, clés tronquées et erreurs de format avant qu'elles ne cassent votre authentification email.

Validation instantanée

Collez votre valeur DKIM et obtenez un diagnostic complet en moins d'une seconde. Aucune attente, aucune requête DNS.

Détection des erreurs

Identifiez les balises manquantes, les clés tronquées, les guillemets résiduels et les séparateurs incorrects avant publication.

Analyse complète

Vérification des balises obligatoires (v, k, p), format base64, longueur de clé RSA et syntaxe des séparateurs.

Vérification de clé

Détecte les clés RSA trop courtes (moins de 2048 bits) et supporte les clés Ed25519 pour une sécurité renforcée.

Analyse locale

Aucune donnée envoyée à un serveur. L'analyse s'effectue entièrement dans votre navigateur pour une confidentialité totale.

Pourquoi valider la syntaxe DKIM avant publication ?

Vous venez de générer une nouvelle paire de clés DKIM ou de copier un enregistrement depuis votre fournisseur de messagerie. Avant de le publier dans votre zone DNS, une erreur de syntaxe peut tout casser : balise manquante, clé tronquée, guillemets mal placés.

Le vérificateur de syntaxe DKIM analyse votre valeur localement - sans requête DNS - pour détecter ces problèmes avant qu'ils n'impactent votre délivrabilité.

Trois cas d'usage principaux :

  • Nouvelle configuration DKIM : Validez la clé publique générée par votre serveur ou ESP avant de l'ajouter au DNS
  • Migration de fournisseur : Vérifiez que la valeur copiée est complète et correctement formatée
  • Rotation de clé : Assurez-vous que le nouveau sélecteur est prêt avant de remplacer l'ancien

Comment utiliser le vérificateur en 3 étapes

Étape 1 : Récupérer la valeur DKIM

Copiez la valeur de l'enregistrement DKIM depuis :

  • Votre serveur de messagerie (Postfix, Exchange, etc.)
  • Votre ESP (Google Workspace, Microsoft 365, Mailchimp, SendGrid...)
  • Un générateur de clés DKIM en ligne

Format attendu :

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Étape 2 : Coller dans le vérificateur

Collez la valeur complète dans le champ ci-dessus. L'outil analyse instantanément :

  • ✅ Présence des balises obligatoires (v, k, p)
  • ✅ Format de la clé publique (base64 valide)
  • ✅ Syntaxe des séparateurs et valeurs
  • ✅ Longueur et type de clé (RSA 2048+ bits recommandé)

Étape 3 : Corriger et publier

Le rapport indique :

  • Erreurs (rouge) : L'enregistrement est inutilisable - corrigez avant publication
  • Avertissements (orange) : Techniquement valide mais risqué - à évaluer
  • Succès (vert) : Prêt à publier dans votre zone DNS

Qu'est-ce qu'un enregistrement DKIM ?

Un enregistrement DKIM (DomainKeys Identified Mail) est un enregistrement TXT publié dans votre zone DNS. Il contient la clé publique permettant aux serveurs destinataires de vérifier la signature cryptographique de vos emails.

Anatomie d'un enregistrement DKIM :

BaliseObligatoireDescriptionExemple
vOuiVersion du protocolev=DKIM1
kOuiType de clék=rsa ou k=ed25519
pOuiClé publique en base64p=MIIBIjAN...
hNonAlgorithmes de hachageh=sha256
tNonFlags (test, strict)t=y ou t=s
sNonServices autoriséss=email

Exemple complet :

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu5oI...

Erreurs de syntaxe fréquentes

Le vérificateur détecte automatiquement ces problèmes courants :

1. Clé publique tronquée

Symptôme : Erreur invalid_p_base64 ou public_key_parse_error

Cause : La clé a été coupée lors du copier-coller (limite de caractères, retour à la ligne mal géré).

Solution : Récupérez la clé complète depuis la source. Une clé RSA 2048 bits fait environ 400 caractères en base64.

2. Guillemets résiduels

Symptôme : Erreur record_trailing_quote ou invalid_tag_syntax

Cause : La valeur copiée contient des guillemets (") ou guillemets typographiques ("").

Solution : Supprimez tous les guillemets avant de coller la valeur.

3. Balise version manquante

Symptôme : Erreur missing_version_tag

Cause : L'enregistrement ne commence pas par v=DKIM1.

Solution : Ajoutez v=DKIM1; au début de l'enregistrement.

4. Clé RSA trop courte

Symptôme : Avertissement weak_key_length

Cause : Clé RSA inférieure à 2048 bits (souvent 1024 bits).

Solution : Générez une nouvelle paire de clés avec au minimum 2048 bits.

5. Séparateurs incorrects

Symptôme : Erreur invalid_tag_syntax

Cause : Points-virgules multiples (;;), espaces mal placés, ou caractères spéciaux.

Solution : Utilisez un seul ; entre chaque balise, sans espace avant le séparateur.

Différence entre vérification de syntaxe et inspection DNS

AspectVérificateur de syntaxeInspecteur d'enregistrement
MéthodeAnalyse locale de la valeurRequête DNS réelle
Quand l'utiliserAvant publicationAprès publication
Ce qu'il vérifieFormat, balises, structurePropagation, résolution, alignement DMARC
InputValeur DKIM copiéeDomaine + sélecteur

Workflow recommandé :

  1. Syntaxe : Validez la valeur avec ce vérificateur
  2. Publication : Ajoutez l'enregistrement TXT dans votre zone DNS
  3. Inspection : Utilisez l'inspecteur DKIM pour confirmer la propagation

Bonnes pratiques DKIM

Génération de clés

  • Utilisez RSA 2048 bits minimum (4096 bits pour une sécurité maximale)
  • Ed25519 émerge mais reste peu supporté par les destinataires
  • Stockez la clé privée de manière sécurisée (jamais dans le DNS !)

Nommage du sélecteur

  • Choisissez un nom court et unique : google, mailchimp, s1, 2024
  • Le sélecteur complet sera : selecteur._domainkey.captaindns.com
  • Utilisez des noms différents par fournisseur pour faciliter les rotations

TTL recommandé

  • 300-600 secondes pendant le déploiement (propagation rapide)
  • 3600-86400 secondes une fois stable (moins de requêtes DNS)
  • TTL court facilite les révocations d'urgence

Rotation régulière

  • Planifiez une rotation annuelle minimum
  • Documentez le responsable et la date de dernière rotation
  • Conservez l'ancien sélecteur quelques jours après rotation

FAQ - Questions fréquentes

Q : Quelle est la différence entre ce vérificateur et l'inspecteur DKIM ?

R : Le vérificateur de syntaxe analyse une valeur que vous collez pour détecter les erreurs de format avant publication. L'inspecteur d'enregistrement effectue une requête DNS réelle pour vérifier un enregistrement déjà publié. Utilisez la syntaxe d'abord, l'inspecteur ensuite.

Q : Pourquoi ma clé est-elle marquée comme "trop courte" ?

R : Les clés RSA inférieures à 2048 bits sont considérées comme faibles. Gmail et d'autres fournisseurs peuvent rejeter les signatures avec des clés 1024 bits. Générez une nouvelle paire de clés avec 2048 bits minimum.

Q : Dois-je inclure les guillemets dans la valeur ?

R : Non. Les guillemets sont parfois ajoutés par les interfaces de gestion DNS pour délimiter les chaînes longues, mais ils ne font pas partie de la valeur DKIM elle-même. Supprimez-les avant de valider.

Q : Mon ESP dit que DKIM est configuré, mais la syntaxe échoue ici. Pourquoi ?

R : Les ESP valident souvent leur configuration interne, pas nécessairement ce que vous avez copié. Vérifiez que vous avez copié la valeur complète sans troncature, et sans les guillemets d'encapsulation.

Q : Ed25519 est-il supporté ?

R : Oui, le vérificateur reconnaît les clés Ed25519 (k=ed25519). Cependant, le support côté destinataire reste limité. RSA 2048 bits reste le choix le plus compatible.

Q : Comment savoir quel sélecteur utiliser ?

R : Le sélecteur est choisi lors de la configuration DKIM sur votre serveur ou ESP. Consultez la documentation de votre fournisseur. Les sélecteurs courants incluent : google, selector1, selector2, s1, default, mail.

Outils complémentaires

OutilUtilité
Inspecteur DKIMVérifier un enregistrement DKIM déjà publié dans le DNS
Inspecteur SPFValider votre enregistrement SPF
Inspecteur DMARCConfigurer et tester votre politique DMARC
Analyseur d'en-têtes emailDiagnostiquer les échecs d'authentification sur un email reçu

Ressources utiles