DKIM

Pourquoi DKIM est important

Les spammeurs et les hameçonneurs adorent usurper l'identité de domaines légitimes. Ils envoient des e-mails qui semblent provenir de votre banque, de votre patron ou d'un service de confiance. DKIM met fin à cela.

DKIM comble une lacune que SPF ne peut pas combler : alors que SPF vérifie qu'un message provient d'une adresse IP autorisée, il ne dit rien sur le fait que le corps du message ou les en-têtes aient été altérés. Quelqu'un pourrait intercepter votre e-mail en cours de route et en modifier le contenu. DKIM détecte cela.

Les clients de messagerie comme Spark vérifient automatiquement les signatures DKIM lors de la réception du courrier. Spark synchronise ces paramètres côté fournisseur : si le fournisseur signale le message en raison de l'absence de DKIM et le déplace vers les spams, Spark affichera également ce message dans le dossier Spam. Si DKIM est validé, vos e-mails paraissent légitimes. En cas d'échec, les filtres anti-spam deviennent rapidement méfiants.

Dans la plupart des cas, les signatures DKIM ne sont pas visibles pour les utilisateurs finaux ; la validation s'effectue au niveau du serveur de messagerie. Vous ne le voyez jamais à l'œuvre, mais il s'exécute sur chaque e-mail que vous envoyez et recevez. 

Comment fonctionne DKIM

DKIM utilise la cryptographie à clé publique. Vous générez deux clés : une clé privée qui reste sur votre serveur de messagerie et une clé publique que vous publiez dans vos enregistrements DNS.

Lorsque vous envoyez un e-mail, votre serveur le signe avec la clé privée. Le serveur destinataire peut vérifier la signature en recherchant la clé publique de l'expéditeur dans le DNS. Si la signature correspond, l'e-mail est légitime. Si elle ne correspond pas ou si la signature est manquante, les alertes se déclenchent. 

La signature couvre des parties spécifiques de votre e-mail : des en-têtes comme De, À, Objet, ainsi que le corps du message. Si ne serait-ce qu'un seul caractère du contenu signé change, la signature devient invalide. C'est ainsi que fonctionne la détection des altérations. 

Les sélecteurs DKIM vous permettent d'utiliser plusieurs clés pour un même domaine. Le sélecteur est une valeur spécifique attribuée par le fournisseur de services de messagerie utilisé par le domaine. Le format ressemble à ceci : selector._domainkey.yourdomain.com. Différents services d'envoi peuvent avoir différents sélecteurs, et vous pouvez faire tourner les clés sans tout casser. 

Configurer DKIM

Votre fournisseur de services de messagerie s'occupe généralement de l'essentiel. Gmail, Outlook, Mailchimp et les autres grands fournisseurs activent DKIM automatiquement ou vous guident dans la configuration depuis leur tableau de bord d'administration.

Pour Gmail (Google Workspace) : vous devez attendre 24 à 72 heures après avoir activé Gmail avant de pouvoir obtenir votre clé DKIM dans la console d'administration. Allez dans Applications > Google Workspace > Gmail > Authentifier les e-mails, générez votre clé DKIM, puis ajoutez l'enregistrement TXT à votre DNS. 

Pour les serveurs de messagerie personnalisés : générez une paire de clés RSA de 2048 bits, publiez la clé publique sous forme d'enregistrement TXT à l'adresse selector._domainkey.yourdomain.com, et configurez votre serveur de messagerie pour signer les messages sortants avec la clé privée.

Les nouveaux enregistrements DNS doivent se propager, ce qui peut prendre jusqu'à 48 heures. Cela se fait généralement en quelques heures. Utilisez un outil de vérification DKIM pour confirmer que tout fonctionne. 

Questions courantes sur DKIM

DKIM garantit-il que mes e-mails n'iront pas dans le spam ? 

Non. Ajouter une signature DKIM ne garantit pas la livraison, mais cela augmente considérablement les chances d'un résultat positif. DKIM prouve l'authenticité, mais les filtres anti-spam vérifient aussi le contenu, la réputation de l'expéditeur, l'engagement et d'autres facteurs. 

Que se passe-t-il si ma signature DKIM échoue ? 

L'échec de la vérification de la signature n'entraîne pas forcément le rejet du message. La plupart des serveurs destinataires ajoutent un en-tête d'authentification indiquant l'échec et le prennent en compte dans leur évaluation du spam. Des échecs répétés nuisent à votre réputation d'expéditeur. 

Ai-je besoin de DKIM si j'ai déjà SPF ? 

Oui. SPF et DKIM protègent des choses différentes. SPF vérifie l'adresse IP du serveur d'envoi. DKIM vérifie l'intégrité du message et la propriété du domaine. Utilisez les deux. Ajoutez DMARC par-dessus pour une protection complète.

À quelle fréquence dois-je faire tourner les clés DKIM ? 

Les clés DKIM n'expirent pas, mais vous devriez les faire tourner périodiquement ; nous suggérons tous les 12 mois. Générez une nouvelle clé avec un nouveau sélecteur, ajoutez-la au DNS, basculez votre serveur de messagerie pour l'utiliser, puis supprimez l'ancienne après quelques jours. 

Puis-je utiliser la même clé DKIM pour plusieurs domaines ? 

Techniquement, oui, mais évitez-le. Chaque domaine devrait avoir sa propre paire de clés DKIM. Partager des clés entre domaines affaiblit la sécurité et complique la rotation des clés.

Quel est un bon nom de sélecteur DKIM ? Tout nom court et descriptif convient. Choix courants : default, mail, s1, google, ou quelque chose comme marketing2025 si vous gérez plusieurs sources d'envoi. Votre fournisseur de messagerie peut en attribuer un automatiquement.

Contenu associé

• Comment rédiger un e-mail professionnel
• Expressions à ne jamais utiliser dans un e-mail professionnel
• Comment créer une adresse e-mail professionnelle
• 12 règles utiles pour améliorer votre étiquette e-mail

Termes associés

• Authentification des e-mails
• Filtre anti-spam
• E-mail de hameçonnage
• Mise sur liste noire d'e-mails