Defaults.Exposed › Configuration › DKIM

Comment configurer DKIM sur Microsoft 365

Publiez deux enregistrements DKIM dans votre DNS et activez DKIM dans Microsoft 365 pour que vos e-mails portent une signature infalsifiable.

Pourquoi cela compte pour votre activité

DKIM (DomainKeys Identified Mail) ajoute une signature numérique invisible à chaque e-mail que vous envoyez. La messagerie qui reçoit le message utilise une clé publique que vous avez publiée dans votre DNS pour vérifier deux choses : le message provient bien de votre domaine, et personne ne l’a modifié en chemin.

En clair : DKIM est un sceau d’authenticité posé sur votre courrier. Il rend l’usurpation plus difficile et augmente les chances que vos vrais e-mails arrivent dans la boîte de réception plutôt qu’en indésirable. C’est gratuit et c’est une configuration unique.

Important : sur Microsoft 365, DKIM se fait à deux endroits

DKIM est le seul enregistrement où savoir qui fait quoi compte vraiment. Microsoft 365 s’y prend aussi un peu différemment de la plupart des fournisseurs — bon à savoir pour ne pas rester bloqué :

• Microsoft utilise deux enregistrements CNAME, pas une longue clé TXT. La plupart des fournisseurs vous remettent une seule clé publique TXT géante. Microsoft vous fait plutôt publier deux courts enregistrements CNAME (appelés selector1 et selector2) qui renvoient vers Microsoft. Microsoft détient les vraies clés et peut les renouveler en toute sécurité derrière ces pointeurs.
• Votre hébergeur DNS publie les deux CNAME. Vous les ajoutez là où pointent les serveurs de noms de votre domaine — votre registraire, votre hébergeur web, Cloudflare, etc. Ce n’est généralement pas Microsoft (sauf si vous laissez Microsoft gérer votre DNS).
• Vous activez ensuite DKIM à l’intérieur de Microsoft. Publier les enregistrements ne suffit pas ; il y a une étape finale dans le portail de sécurité Microsoft où vous activez la signature.

Donc : on publie deux CNAME chez l’hébergeur DNS, puis on va dans Microsoft activer DKIM.

Étape 1 — Récupérez les deux valeurs auprès de Microsoft

1. Connectez-vous en tant qu’administrateur et ouvrez le portail de sécurité Microsoft sur security.microsoft.com.
2. Allez dans l’espace Email & collaboration et trouvez Policies & rules → Threat policies → Email authentication settings → DKIM (Microsoft déplace parfois ces libellés — cherchez DKIM sous les paramètres d’authentification des e-mails ou anti-spam).
3. Sélectionnez votre domaine.
4. Microsoft vous affichera les deux enregistrements à créer. Ils ressemblent à ceci, avec votre propre domaine et vos codes uniques renseignés :
   • Host 1 : selector1._domainkey → pointe vers selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
   • Host 2 : selector2._domainkey → pointe vers selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
5. Copiez les deux valeurs cibles à l’identique. Vous ne pouvez pas les inventer — Microsoft les génère pour votre tenant.

Étape 2 — Publiez les deux CNAME chez votre hébergeur DNS

D’abord, assurez-vous de travailler chez la société qui gère réellement votre DNS. Les enregistrements ne fonctionnent que s’ils sont ajoutés là où pointent les serveurs de noms de votre domaine. En cas de doute, vérifiez la section Nameservers dans votre compte registraire, ou demandez à la personne qui gère votre site web.

1. Connectez-vous chez votre hébergeur DNS et ouvrez les paramètres DNS de votre domaine (cherchez DNS / Records / Advanced DNS).
2. Ajoutez un nouvel enregistrement et choisissez CNAME (pas TXT — c’est là que les gens se trompent).
3. Pour le premier enregistrement, dans le champ Name / Host, saisissez uniquement selector1._domainkey. N’ajoutez pas votre domaine à la fin : l’hébergeur DNS l’ajoute automatiquement.
4. Dans le champ Value / Points to / Target, collez la première cible de Microsoft, p. ex. selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com.
5. Répétez pour le second enregistrement : Name = selector2._domainkey, Value = la seconde cible de Microsoft.
6. Laissez TTL sur la valeur par défaut.
7. Enregistrez les deux.

Étape 3 — Activez DKIM, de retour dans Microsoft

Publier les enregistrements ne suffit pas — vous devez dire à Microsoft de commencer à signer.

1. Revenez sur la page DKIM dans le portail de sécurité Microsoft.
2. Sélectionnez votre domaine et basculez Sign messages for this domain with DKIM signatures sur On (le bouton peut être libellé Enable).
3. Microsoft vérifie que les deux enregistrements sont visibles dans votre DNS. S’il ne les trouve pas encore, laissez au DNS un peu de temps pour se propager (de quelques minutes à quelques heures) et réessayez.

Pièges que les gens font

• CNAME, pas TXT. Le DKIM de Microsoft utilise deux enregistrements CNAME qui renvoient vers Microsoft. Essayer de coller une clé publique TXT (comme le font les autres fournisseurs) ne fonctionnera pas ici.
• Les deux enregistrements, puis le bouton. Il vous faut selector1 et selector2 publiés, puis l’étape d’activation à l’intérieur de Microsoft. Sauter le bouton signifie que les enregistrements existent mais que Microsoft ne signe jamais votre courrier.
• Ne mettez pas le domaine complet dans Host. Saisissez uniquement selector1._domainkey / selector2._domainkey — le reste est ajouté pour vous. Réinclure votre domaine crée un hôte cassé du type selector1._domainkey.votredomaine.com.votredomaine.com.
• Collez les cibles à l’identique. Les cibles onmicrosoft.com contiennent le nom de votre tenant et des codes uniques — un seul caractère erroné et DKIM ne validera pas.
• Attention aux guillemets. Une cible CNAME est un simple nom d’hôte ; ne l’entourez pas de guillemets. Les guillemets vont sur les enregistrements TXT, pas sur les CNAME.
• Laissez du temps. Les changements DNS peuvent mettre de quelques minutes à quelques heures avant que Microsoft puisse confirmer et que DKIM commence à valider.

Vérifiez que ça a marché

Après avoir publié les deux enregistrements, activé DKIM et laissé un petit délai de propagation, lancez la vérification gratuite sur Defaults.Exposed. Elle vous confirmera en langage clair si votre DKIM est publié et lisible. Vos données sont traitées dans l’UE.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.