Defaults.Exposed › Configuration › DKIM

Comment configurer DKIM sur Google Workspace

Générez une clé DKIM dans la console d'administration Google et publiez-la dans votre DNS pour que vos e-mails portent une signature infalsifiable.

Pourquoi cela compte pour votre activité

DKIM (DomainKeys Identified Mail) ajoute une signature numérique invisible à chaque e-mail que vous envoyez. La messagerie qui reçoit le message utilise une clé publique que vous avez publiée dans votre DNS pour vérifier deux choses : le message provient bien de votre domaine, et personne ne l’a modifié en chemin.

En clair : DKIM est un sceau d’authenticité posé sur votre courrier. Il rend l’usurpation plus difficile et augmente les chances que vos vrais e-mails arrivent dans la boîte de réception plutôt qu’en indésirable. C’est gratuit et c’est une configuration unique.

Important : DKIM se joue à deux

DKIM est le seul enregistrement où savoir qui fait quoi compte vraiment :

• Google génère la clé — dans la console d’administration Google. Vous vous connectez à admin.google.com et demandez à Google de créer la clé DKIM pour votre domaine. Vous ne pouvez pas inventer cette valeur ; c’est Google qui la produit pour vous.
• Votre hébergeur DNS la publie. Vous ajoutez ensuite cette clé au DNS de votre domaine — chez la société qui gère vos serveurs de noms (votre registraire, votre hébergeur web, Cloudflare, etc.). Ce n’est généralement pas Google.

Donc : on génère dans Google Workspace, on publie chez l’hébergeur DNS. Les deux moitiés sont nécessaires, et il y a une étape supplémentaire à la fin où vous revenez dans Google pour activer DKIM.

Étape 1 — Générez la clé dans la console d’administration Google

1. Connectez-vous à la console d’administration Google sur admin.google.com avec un compte administrateur.
2. Allez dans Applications → Google Workspace → Gmail, puis ouvrez Authentifier l’e-mail (c’est la section DKIM).
3. Sélectionnez votre domaine dans la liste.
4. Si on vous le demande, choisissez la longueur de la clé (la valeur par défaut, généralement 2048 bits, convient) et cliquez sur Générer un nouvel enregistrement.
5. Google vous affiche alors deux éléments de texte :
   • Un nom d’hôte DNS / sélecteur, qui pour Google est généralement google._domainkey.
   • Une longue valeur d’enregistrement TXT commençant par v=DKIM1; k=rsa; p= suivie d’une très longue chaîne de caractères (la clé publique).
6. Laissez cette page ouverte — vous allez copier ces éléments dans votre DNS, puis revenir pour activer DKIM.

Étape 2 — Publiez la clé chez votre hébergeur DNS

D’abord, assurez-vous de travailler chez la société qui gère réellement votre DNS. Un enregistrement DKIM ne fonctionne que s’il est ajouté là où pointent les serveurs de noms de votre domaine. En cas de doute, vérifiez la section Nameservers dans votre compte registraire, ou demandez à la personne qui gère votre site web.

1. Connectez-vous chez votre hébergeur DNS et ouvrez les paramètres DNS de votre domaine (cherchez DNS / Records / Advanced DNS).
2. Ajoutez un nouvel enregistrement et choisissez TXT.
3. Dans le champ Name / Host, saisissez uniquement la partie sélecteur — pour Google c’est généralement google._domainkey. N’ajoutez pas votre nom de domaine à la fin : l’hébergeur DNS l’ajoute automatiquement.
4. Dans le champ Value, collez exactement la longue valeur de clé donnée par Google.
5. Laissez TTL sur la valeur par défaut.
6. Enregistrez.

Étape 3 — Activez DKIM, de retour dans Google

Publier l’enregistrement ne suffit pas — vous devez dire à Google de commencer à signer.

1. Revenez sur la page Authentifier l’e-mail dans la console d’administration Google.
2. Cliquez sur Démarrer l’authentification.
3. Google vérifie que l’enregistrement est visible dans votre DNS. S’il ne le trouve pas encore, laissez au DNS un peu de temps pour se propager (de quelques minutes à quelques heures) et réessayez.

Pièges que les gens font

• Deux endroits, dans l’ordre. Générez dans Google, publiez dans le DNS, puis revenez cliquer sur Démarrer l’authentification. Sauter la dernière étape signifie que la clé est publiée mais que Google ne signe jamais votre courrier.
• Ne mettez pas le domaine complet dans Host. Si les instructions montrent google._domainkey.votredomaine.com, vous ne saisissez que google._domainkey chez votre hébergeur DNS : le reste est ajouté pour vous. Réinclure le domaine crée un hôte cassé du type google._domainkey.votredomaine.com.votredomaine.com.
• Collez la clé en entier — elle est longue. Les clés publiques DKIM font des centaines de caractères. Certains hébergeurs DNS limitent le nombre de caractères d’un champ et découpent les longues valeurs TXT en plusieurs chaînes entre guillemets — c’est normal et Google le gère, mais vérifiez que rien n’est tronqué et qu’aucun espace ou saut de ligne parasite ne s’est glissé.
• Attention aux guillemets. Collez la valeur brute ; la plupart des hébergeurs DNS ajoutent les guillemets pour vous. En ajouter à la main par-dessus peut corrompre l’enregistrement.
• Reproduisez le sélecteur exactement. L’hôte dans votre DNS doit correspondre à ce qu’attend Google (google._domainkey) caractère pour caractère : c’est ainsi que le destinataire trouve la bonne clé.
• Laissez du temps. Les changements DNS peuvent mettre de quelques minutes à quelques heures avant que Google puisse confirmer et que DKIM commence à valider.

Vérifiez que ça a marché

Après avoir publié l’enregistrement, activé l’authentification et laissé un petit délai de propagation, lancez la vérification gratuite sur Defaults.Exposed. Elle vous confirmera en langage clair si votre enregistrement DKIM est publié et lisible. Vos données sont traitées dans l’UE.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.