Defaults.Exposed › Configuration › DKIM

Comment configurer DKIM sur Cloudflare

Publiez la clé DKIM de votre messagerie dans le DNS Cloudflare pour que vos e-mails portent une signature infalsifiable.

Pourquoi cela compte pour votre activité

DKIM (DomainKeys Identified Mail) ajoute une signature numérique invisible à chaque e-mail que vous envoyez. La messagerie qui reçoit le message utilise une clé publique que vous avez publiée dans votre DNS pour vérifier deux choses : le message provient bien de votre domaine, et personne ne l’a modifié en chemin.

En clair : DKIM est un sceau d’authenticité posé sur votre courrier. Il rend l’usurpation plus difficile et augmente les chances que vos vrais e-mails arrivent dans la boîte de réception plutôt qu’en indésirable. Comme les autres, c’est gratuit et c’est une configuration unique.

Important : DKIM se joue à deux

DKIM est le seul enregistrement où savoir qui fait quoi compte vraiment :

• Votre messagerie génère la clé. Google Workspace, Microsoft 365 ou quiconque gère vos boîtes aux lettres crée la clé DKIM pour vous, à l’intérieur de leur console d’administration. Vous ne pouvez pas l’inventer : vous devez obtenir le nom d’hôte et la valeur exacts auprès d’eux. Cloudflare ne génère pas de clés DKIM ; c’est votre hébergeur DNS, pas votre fournisseur de boîtes aux lettres.
• Cloudflare la publie. Vous ajoutez ensuite cette clé au DNS de votre domaine dans Cloudflare (à condition que Cloudflare gère votre DNS, voir ci-dessous).

Donc : on génère dans la plateforme de messagerie, on publie chez l’hébergeur DNS.

D’abord, confirmez que Cloudflare gère votre DNS

Un enregistrement DKIM ne fonctionne que si c’est Cloudflare qui répond au DNS de votre domaine. Le DNS de Cloudflare n’est actif que lorsque les serveurs de noms de votre domaine (définis chez votre registraire) pointent vers les serveurs de noms Cloudflare affichés dans votre tableau de bord. Ouvrez votre domaine dans Cloudflare et regardez la page Overview : elle confirmera si Cloudflare est actif. Si vos serveurs de noms pointent vers un autre fournisseur, ajoutez plutôt l’enregistrement DKIM là-bas ; il ne prendra pas effet chez Cloudflare.

Récupérez la clé auprès de votre messagerie

Dans la console d’administration de votre messagerie, cherchez le paramètre DKIM ou d’authentification des e-mails et générez/activez une clé. Elle vous fournira deux éléments de texte :

• Un nom d’hôte / sélecteur, du genre google._domainkey ou selector1._domainkey.
• Une longue valeur commençant par v=DKIM1; suivie de k=rsa; p= et d’une très longue chaîne de caractères (la clé publique).

Copiez les deux à l’identique.

Pas à pas sur Cloudflare

1. Connectez-vous à Cloudflare et sélectionnez votre domaine.
2. Dans le menu de gauche, allez dans vos paramètres DNS (cherchez DNS / Records).
3. Cliquez sur Add record.
4. Réglez Type sur TXT pour la plupart des clés DKIM. N’utilisez CNAME que si votre fournisseur vous l’a explicitement demandé — certains fournisseurs, dont Microsoft 365, utilisent des CNAME qui renvoient vers leurs serveurs.
5. Dans le champ Name, saisissez uniquement la partie sélecteur — par exemple google._domainkey ou selector1._domainkey. N’ajoutez pas votre nom de domaine à la fin : Cloudflare l’ajoute automatiquement.
6. Dans le champ Content, collez la longue valeur de clé exactement comme votre fournisseur vous l’a donnée. (Pour un CNAME, collez plutôt l’hôte cible qu’ils vous ont fourni.)
7. Laissez TTL sur Auto.
8. Cliquez sur Save.

Pièges Cloudflare que les gens font

• Ne mettez pas le domaine complet dans Name. Si les instructions de votre fournisseur montrent selector1._domainkey.votredomaine.com, vous ne saisissez que selector1._domainkey dans Cloudflare : le reste est ajouté pour vous. Réinclure le domaine crée un hôte cassé du type ..votredomaine.com.votredomaine.com.
• Collez la clé en entier — elle est longue. Les clés publiques DKIM font des centaines de caractères. Assurez-vous que rien n’est tronqué et qu’aucun espace ou saut de ligne parasite ne s’est glissé lors du copier-coller. Cloudflare découpe en coulisses une longue valeur TXT en segments — c’est normal et sans souci.
• N’ajoutez pas vos propres guillemets. Collez la valeur brute ; Cloudflare gère la mise entre guillemets. Des guillemets ajoutés à la main peuvent corrompre l’enregistrement.
• TXT ou CNAME — suivez votre fournisseur. S’il dit CNAME, choisissez CNAME et collez leur hôte cible comme contenu ; ne le convertissez pas en TXT.
• Si vous ajoutez un CNAME, mettez-le en DNS only (nuage gris). Les enregistrements d’authentification ne doivent pas être proxifiés — vérifiez que le statut du proxy affiche le nuage gris, et non orange, afin que l’enregistrement renvoie la valeur de votre messagerie plutôt que celle du proxy Cloudflare.
• Reproduisez le sélecteur exactement. Le sélecteur dans le champ Name doit correspondre à ce qu’attend votre fournisseur, caractère pour caractère : c’est ainsi que le destinataire trouve la bonne clé.
• Laissez du temps. Les changements DNS peuvent mettre de quelques minutes à quelques heures à se propager avant que DKIM ne commence à valider.

Vérifiez que ça a marché

Après l’enregistrement et un petit délai de propagation, lancez la vérification gratuite sur ce site. Elle vous confirmera en langage clair si votre enregistrement DKIM est publié et lisible.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.