Defaults.Exposed › Corrections › DKIM

Comment corriger DKIM

Le DKIM est le sceau inviolable et invisible apposé sur chaque e-mail que votre entreprise envoie. Il permet au fournisseur de messagerie destinataire de confirmer que l'e-mail vient réellement de vous et qu'il est arrivé intact. Sans lui, vos e-mails sont plus faciles à falsifier, plus faciles à altérer, et bien plus susceptibles d'atterrir dans les spams.

En clair, pour votre entreprise : Sans DKIM, les e-mails que vous envoyez peuvent être altérés en transit, sont plus faciles à usurper pour les escrocs, et risquent davantage d'être filtrés vers les spams ou carrément rejetés — vous coûtant discrètement des affaires, des paiements et une confiance dont vous ne saurez jamais qu'ils vous ont échappé.

Ce que cela peut vous coûter

Une facture que vous avez envoyée par e-mail est interceptée et ses coordonnées bancaires sont modifiées avant d'atteindre votre client. L'e-mail semble toujours venir de vous, le client paie l'escroc, et quand tout se découvre, c'est vous qu'on blâme.
Vos vrais devis, contrats et factures continuent d'atterrir dans les spams de vos clients. Vous croyez que le client s'est tu ou a choisi quelqu'un d'autre — alors qu'il n'a tout simplement jamais vu votre e-mail.
L'équipe sécurité ou achats d'un client plus important effectue un contrôle rapide sur votre domaine avant de signer, ne voit aucun DKIM, et soit repousse l'affaire de plusieurs semaines le temps que vous corrigiez, soit choisit discrètement un concurrent qui a réussi le test.
Un escroc envoie de faux e-mails convaincants « de la part de votre entreprise » à vos propres clients. Comme rien ne prouve quels e-mails sont vraiment les vôtres, les faux sont tout aussi crédibles que les vrais — et c'est votre nom qui en pâtit.
Les grands fournisseurs de boîtes mail et les banques traitent de plus en plus les e-mails non signés comme suspects. Au fil du temps, une part croissante de vos e-mails professionnels quotidiens est ralentie, mise à la corbeille ou rejetée, et votre prospection cesse peu à peu de fonctionner.

Pourquoi c'est important. L'e-mail n'a jamais été conçu pour prouver qui l'a envoyé, et falsifier l'expéditeur est d'une simplicité enfantine. Le DKIM ajoute une signature cryptographique que le fournisseur destinataire vérifie automatiquement — confirmant que le message vient réellement de votre domaine et n'a pas été altéré en chemin. C'est l'une des trois choses que tout fournisseur de messagerie moderne recherche, cela détermine directement si votre e-mail est jugé fiable ou mis à la corbeille, et la correction est gratuite.

Ce que c’est, en clair

Chaque e-mail que votre entreprise envoie passe entre plusieurs mains avant d’atteindre la boîte de réception. En soi, un e-mail ne porte aucune preuve de qui l’a réellement envoyé ni de savoir si quelqu’un l’a modifié en chemin — la ligne « expéditeur » n’est que du texte que n’importe qui peut saisir.

Le DKIM corrige cela. Il appose un sceau invisible et inviolable sur chaque message que votre entreprise envoie. Quand l’e-mail arrive, le fournisseur de messagerie destinataire vérifie le sceau au regard d’une clé que vous publiez sur votre domaine. S’il correspond, le fournisseur sait deux choses avec certitude : l’e-mail vient bien de votre domaine, et pas un seul caractère n’a été modifié en transit. S’il ne correspond pas — parce que le message a été falsifié ou altéré — le sceau échoue, et le fournisseur traite l’e-mail avec méfiance.

Vous ne gérez rien de tout cela à la main. Une fois activé, la signature et la vérification se font automatiquement sur chaque e-mail, pour toujours. Tout l’intérêt du DKIM est de rendre vos vrais e-mails prouvablement authentiques — pour qu’on leur fasse confiance, et pour que les faux ressortent.

Ce que cela peut vous coûter

Ce n’est pas abstrait. Voici à quoi ressemble concrètement un sceau DKIM absent ou faible pour une petite ou moyenne entreprise.

La facture altérée. Vous envoyez une facture à un client. Quelque part entre votre serveur et le sien, un attaquant l’intercepte et remplace vos coordonnées bancaires par les siennes. L’e-mail semble toujours venir de vous, le client paie — sur le compte de l’escroc. Sans DKIM, rien ne signale que le message a été falsifié. Avec lui, cette altération silencieuse brise le sceau et est détectée.
Les affaires mortes dans les spams. Vos devis, propositions et relances glissent sans cesse dans les dossiers indésirables de vos clients. Vous n’avez aucune réponse et supposez qu’ils n’étaient pas intéressés. En réalité, un e-mail non signé est un fort signal de spam — votre vrai e-mail professionnel n’a tout simplement pas été vu.
Le contrat perdu. L’équipe achats ou sécurité d’un client plus important examine votre domaine avant de signer. Elle ne voit aucun DKIM et le traite comme un signal rouge — soit en retardant l’affaire de plusieurs semaines le temps que vous corrigiez, soit en choisissant discrètement un fournisseur dont la sécurité e-mail était en règle.
Votre nom retourné contre vos propres clients. Un escroc diffuse des e-mails convaincants « de la part de votre entreprise » à votre base de clients. Comme rien ne prouve quels messages sont vraiment les vôtres, les faux paraissent aussi légitimes que les vrais — et c’est votre réputation qui en pâtit quand les gens se font piéger.
L’étouffement lent de vos e-mails. Les banques, les grands fournisseurs de boîtes mail et les filtres d’entreprise se méfient de plus en plus des e-mails non signés. L’effet s’installe avec le temps : plus de ralentissement, plus de mises à la corbeille, plus de rejets — jusqu’à ce que votre prospection quotidienne cesse discrètement d’arriver à destination.

Ce que c’est réellement

DKIM signifie DomainKeys Identified Mail. Voici comment fonctionne le sceau, sans le jargon :

Vous publiez une clé publique sur votre domaine (dans vos réglages DNS). Tout le monde peut la lire — c’est le but.
Votre fournisseur de messagerie détient la clé privée correspondante et l’utilise pour signer chaque e-mail que vous envoyez, en ajoutant un en-tête caché.
Quand l’e-mail arrive, le fournisseur du destinataire récupère votre clé publique, vérifie la signature au regard du message, et confirme qu’il est authentique et inaltéré.

Quelques termes que vous entendrez peut-être de la bouche de votre informaticien :

Sélecteur — une étiquette pointant vers une clé précise, par ex. selector1._domainkey.votredomaine. Il permet d’utiliser et de faire tourner plusieurs clés proprement. Votre fournisseur le met en place.
Robustesse de la clé — les clés DKIM existent en plusieurs tailles. La référence moderne est RSA 2048 bits ; les clés RSA 4096 bits ou Ed25519 sont encore plus robustes. Les anciennes clés 1024 bits fonctionnent encore mais sont considérées comme faibles selon les normes actuelles (NIST SP 800-131A / RFC 8301).

À quoi ressemble le « bon » réglage : une clé DKIM valide est publiée sur un sélecteur de votre domaine, vos e-mails sortants sont signés avec elle, et la clé fait 2048 bits ou plus. C’est la réussite complète.

Une note sur la notation. Ce contrôle recherche une clé DKIM authentique et bien formée publiée sur les sélecteurs que les fournisseurs de messagerie utilisent couramment. Une clé valide publiée est le signal positif — un scanner tiers ne peut pas rejouer vos signatures en direct, c’est donc la présence d’une clé correcte qui est mesurée. Aucune clé trouvée échoue au contrôle (c’est une lacune de gravité élevée). Une clé valide mais faible (RSA 1024 bits) rapporte environ la moitié des points — elle fonctionne mais devrait être renforcée. Une clé robuste (RSA 2048 bits ou plus, ou Ed25519) obtient la note maximale. C’est l’un des contrôles de sécurité e-mail qui comptent pour votre note, avec une part significative.

Comment corriger (gratuit, ~15 minutes)

Cette partie est destinée à la personne qui gère votre messagerie ou votre domaine — si ce n’est pas vous, transmettez-lui cette section. La correction est gratuite. Nous facturons uniquement la surveillance du bon état de vos protections dans le temps, pas leur mise en place.

La logique générale est partout la même : activez le DKIM dans votre fournisseur de messagerie, récupérez la clé qu’il génère, publiez-la dans votre DNS, puis confirmez qu’elle est active. Les étapes exactes dépendent de qui gère votre messagerie — voici les plus courantes.

Google Workspace (Gmail)

Console d’administration → Apps → Google Workspace → Gmail → Authentifier les e-mails.
Sélectionnez votre domaine et cliquez sur Générer un nouvel enregistrement (choisissez la longueur de clé 2048 bits).
Google vous donne un enregistrement DNS. Ajoutez-le chez votre hébergeur DNS comme enregistrement TXT, host google._domainkey.votredomaine, avec la valeur fournie par Google.
Attendez la propagation (de quelques minutes à quelques heures), puis revenez au même écran et cliquez sur Démarrer l’authentification.

Microsoft 365 (Outlook / Exchange Online)

Allez dans le portail Microsoft Defender → E-mail et collaboration → Stratégies et règles → Stratégies de menace → Paramètres d’authentification des e-mails → DKIM.
Sélectionnez votre domaine. Microsoft vous indique deux enregistrements CNAME à publier (selector1 et selector2).
Ajoutez les deux enregistrements CNAME chez votre hébergeur DNS exactement tels qu’indiqués.
De retour sur l’écran DKIM, basculez la signature DKIM sur Activé pour le domaine.

Zoho Mail

Panneau de configuration → Authentification des e-mails → DKIM.
Générez une clé (utilisez un sélecteur comme zoho), puis ajoutez l’enregistrement TXT fourni à zoho._domainkey.votredomaine dans votre DNS.
Vérifiez dans le panneau Zoho une fois l’enregistrement actif.

Autres fournisseurs / votre propre serveur de messagerie Le schéma est identique : le fournisseur (ou votre logiciel de messagerie) génère une paire de clés, signe vos e-mails sortants avec la clé privée, et vous fournit un enregistrement public à publier. Cela ressemble généralement à :

Host :  selector1._domainkey.votredomaine
Type :  TXT (ou CNAME, selon le fournisseur)
Valeur : (la longue chaîne de clé fournie par votre fournisseur)

Où ajouter les enregistrements DNS : dans les réglages DNS de votre domaine — généralement chez votre bureau d’enregistrement ou votre hébergeur DNS (par ex. Cloudflare, GoDaddy, le panneau de contrôle de votre hébergement). Si votre fournisseur de messagerie fournit un CNAME, il pointe vers un enregistrement qu’il héberge, si bien que vous ne voyez jamais la clé brute — c’est normal et sans problème.

Confirmez que cela fonctionne : envoyez-vous un e-mail de test vers un compte Gmail, ouvrez-le, choisissez Afficher l’original, et vérifiez que DKIM : PASS apparaît. Puis recontrôlez votre domaine ici pour confirmer que la clé est bien arrivée en 2048 bits ou plus, et non en faible 1024 bits.

Erreurs fréquentes

Croire qu’un grand fournisseur l’a activé par défaut. Beaucoup de domaines chez Google ou Microsoft ont encore besoin que le DKIM soit activé et qu’un enregistrement soit publié. « Nous utilisons Microsoft 365 » n’est pas la même chose que « le DKIM est activé ».
Générer une clé faible de 1024 bits. Certains fournisseurs proposent encore le 1024 bits par défaut ou en option. Choisissez 2048 bits quand on vous laisse le choix — une clé faible ne rapporte que la moitié des points et est signalée par les destinataires plus stricts.
Publier l’enregistrement sans jamais activer la signature. Ajouter l’enregistrement DNS n’est que la moitié du travail. Si vous n’activez pas la signature chez le fournisseur (le dernier bouton), vos e-mails partent toujours non signés.
Mal saisir ou tronquer la clé. Les clés DKIM sont longues. Un copier-coller qui perd un caractère ou découpe mal la valeur produit un sceau cassé qui échoue sur chaque e-mail. Collez la valeur exactement telle qu’elle est fournie.
Oublier vos autres expéditeurs. Si vous envoyez des e-mails via un outil d’infolettre, un CRM, un logiciel de facturation ou une plateforme e-commerce, chacun peut avoir besoin de sa propre clé DKIM et de son propre sélecteur. Signez les e-mails de tous les services qui envoient en votre nom, pas seulement de votre boîte mail.

Une note sur DKIM, SPF et DMARC

Le DKIM fonctionne rarement seul. C’est l’un des trois réglages qui, ensemble, rendent votre e-mail digne de confiance :

SPF indique quels serveurs sont autorisés à envoyer des e-mails pour votre domaine.
DKIM (cette page) est le sceau inviolable prouvant qu’un message est bien le vôtre et inchangé.
DMARC est l’instruction qui dit aux fournisseurs quoi faire de tout ce qui échoue — et il s’appuie sur DKIM et SPF pour cette décision.

Si vous corrigez le DKIM, il vaut la peine de vérifier SPF et DMARC en même temps. Ensemble, ils empêchent l’usurpation de votre entreprise et permettent à vos vrais e-mails d’atterrir là où ils le doivent.

Configurez-le chez votre hébergeur

Étape par étape pour les fournisseurs courants :

FAQ

Je ne suis pas technique — est-ce quelque chose que je peux régler moi-même ?

Vous n'avez pas besoin de comprendre la cryptographie. Dans la plupart des cas, c'est un réglage à activer dans votre fournisseur de messagerie (Google Workspace, Microsoft 365, Zoho, etc.), qui vous donne ensuite un ou deux enregistrements à ajouter à votre domaine. Transmettez la section « Comment corriger » à la personne qui gère votre messagerie ou votre domaine — c'est un travail rapide et gratuit, généralement autour de 15 minutes.

Activer le DKIM risque-t-il de casser mes e-mails ?

Ajouter correctement le DKIM est sans danger — cela ne change pas la façon dont vos e-mails sont envoyés, cela ajoute simplement une signature que les destinataires peuvent vérifier. La seule chose à bien faire est de publier la clé générée par votre fournisseur exactement telle qu'elle est fournie, et de n'activer la signature qu'une fois l'enregistrement actif dans le DNS. Fait dans cet ordre, il n'y a aucune perturbation pour vous ni pour vos clients.

Nous utilisons déjà un grand fournisseur comme Google ou Microsoft — ne sommes-nous pas couverts automatiquement ?

Pas toujours. Les grands fournisseurs facilitent le DKIM, mais pour de nombreux domaines il faut encore l'activer et ajouter un enregistrement à votre DNS — il n'est pas toujours actif par défaut. C'est précisément pourquoi un domaine chez un grand fournisseur peut quand même échouer à ce contrôle. Cela prend quelques minutes à vérifier et à activer.

Quelle est la différence entre DKIM, SPF et DMARC ? Ai-je besoin des trois ?

Voyez-les comme un ensemble. Le SPF liste quels serveurs sont autorisés à envoyer des e-mails pour vous. Le DKIM est le sceau inviolable qui prouve qu'un message est bien le vôtre et inchangé. Le DMARC est l'instruction qui dit aux fournisseurs de bloquer tout ce qui échoue à ces contrôles. Ils fonctionnent au mieux ensemble — le DMARC en particulier s'appuie sur le DKIM pour faire son travail — donc oui, vous voulez les trois.

Mon informaticien dit que le DKIM est « activé » — comment savoir s'il fonctionne vraiment et s'il est assez robuste ?

Deux choses comptent : qu'une signature valide soit publiée sur un sélecteur de votre domaine, et que la clé derrière elle soit robuste (RSA 2048 bits ou plus). Une ancienne clé de 1024 bits fonctionne encore mais est considérée comme faible selon les normes modernes et compte ici comme une réussite partielle. Refaire un contrôle sur votre domaine confirme les deux d'un coup.

C'est quoi un « sélecteur » et pourquoi est-ce important ?

Un sélecteur n'est qu'une étiquette qui pointe vers une clé DKIM précise dans votre DNS — il vous permet d'utiliser plusieurs clés à la fois (par exemple une pour votre boîte mail et une pour votre outil d'infolettre) et de faire tourner les clés en toute sécurité. Vous ne le gérez pas à la main ; votre fournisseur crée le sélecteur et vous indique l'enregistrement à publier. Il importe ici uniquement parce que le contrôle recherche une clé valide sur les sélecteurs que les fournisseurs de messagerie utilisent couramment.