Defaults.Exposed › Configuration › DKIM
Comment configurer DKIM sur AWS Route 53
Publiez la clé DKIM de votre messagerie dans votre zone hébergée Route 53 pour que vos e-mails portent une signature infalsifiable.
Pourquoi cela compte pour votre activité
DKIM (DomainKeys Identified Mail) ajoute une signature numérique invisible à chaque e-mail que vous envoyez. La messagerie qui reçoit le message utilise une clé publique que vous avez publiée dans votre DNS pour vérifier deux choses : le message provient bien de votre domaine, et personne ne l’a modifié en chemin.
En clair : DKIM est un sceau d’authenticité posé sur votre courrier. Il rend l’usurpation plus difficile et augmente les chances que vos vrais e-mails arrivent dans la boîte de réception plutôt qu’en indésirable. Comme les autres, c’est gratuit et c’est une configuration unique.
Important : DKIM se joue à deux
DKIM est le seul enregistrement où savoir qui fait quoi compte vraiment :
- Votre messagerie génère la clé. Google Workspace, Microsoft 365, Amazon SES ou quiconque gère vos envois génère la clé DKIM pour vous, à l’intérieur de leur console d’administration. Vous ne pouvez pas l’inventer : vous devez obtenir le nom d’hôte et la valeur exacts auprès d’eux. Route 53 ne génère pas de clés DKIM ; c’est votre hébergeur DNS, pas votre fournisseur de boîtes aux lettres.
- Route 53 la publie. Vous ajoutez ensuite cette clé au DNS de votre domaine dans Route 53 (à condition que Route 53 gère votre DNS, voir ci-dessous).
Donc : on génère dans la plateforme de messagerie, on publie chez l’hébergeur DNS.
D’abord, confirmez que Route 53 gère votre DNS
Un enregistrement DKIM ne fonctionne que si c’est Route 53 qui répond au DNS de votre domaine. Dans la console Route 53, ouvrez Hosted zones, sélectionnez votre domaine et notez les quatre valeurs NS (serveurs de noms). Elles doivent correspondre aux serveurs de noms définis chez votre registraire. Si vous avez enregistré le domaine via Route 53, elles correspondent généralement déjà ; s’il est enregistré ailleurs — ou si vous avez plus d’une zone hébergée pour le domaine — vérifiez attentivement. Si les serveurs de noms actifs pointent vers un autre fournisseur, ajoutez plutôt l’enregistrement DKIM là-bas ; il ne prendra pas effet chez Route 53.
Récupérez la clé auprès de votre messagerie
Dans la console d’administration de votre messagerie, cherchez le paramètre DKIM ou d’authentification des e-mails et générez/activez une clé. Ce que vous récupérez dépend du fournisseur, et cela change la façon de le saisir dans Route 53 :
- Google Workspace vous donne un enregistrement TXT : un nom de sélecteur comme
google._domainkeyet une longue valeur commençant parv=DKIM1; k=rsa; p=suivie d’une très longue chaîne. - Microsoft 365 vous donne deux enregistrements CNAME, avec des sélecteurs comme
selector1._domainkeyetselector2._domainkey, chacun pointant vers un hôte Microsoft. - Amazon SES vous donne trois enregistrements CNAME (sa fonction « Easy DKIM »). Si votre domaine est dans Route 53, SES peut souvent proposer de les ajouter automatiquement pour vous — mais vous pouvez aussi les ajouter à la main.
Copiez les noms d’hôtes et les valeurs à l’identique.
Pas à pas sur Route 53
- Connectez-vous à la console AWS et ouvrez Route 53.
- Dans le menu de gauche, choisissez Hosted zones, puis cliquez sur le nom de votre domaine.
- Cliquez sur Create record.
- Si un assistant avec des options de routage apparaît, basculez vers le formulaire simple (cherchez Quick create record).
- Dans Record name, saisissez uniquement la partie sélecteur — par exemple
google._domainkeyouselector1._domainkey. N’ajoutez pas votre nom de domaine à la fin : Route 53 ajoute la zone pour vous automatiquement (il affiche votre domaine à côté du champ). - Réglez Record type sur TXT ou CNAME pour correspondre exactement à ce que votre fournisseur vous a donné (Google = TXT ; Microsoft 365 et Amazon SES = CNAME).
- Dans Value :
- Pour une clé TXT, collez la longue valeur entourée de guillemets droits :
"v=DKIM1; k=rsa; p=...". - Pour un CNAME, collez l’hôte cible donné par votre fournisseur, sans guillemets (p. ex.
selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
- Pour une clé TXT, collez la longue valeur entourée de guillemets droits :
- Laissez TTL sur la valeur par défaut.
- Cliquez sur Create records. Répétez pour chaque enregistrement (Microsoft 365 en a besoin de deux ; Amazon SES de trois).
Pièges Route 53 que les gens font
- Les clés TXT ont besoin de guillemets ; les CNAME non. Cela coince les gens en permanence. Une valeur DKIM TXT se saisit comme
"v=DKIM1; ... p=..."avec les guillemets. Une valeur CNAME est juste le simple hôte cible, sans guillemets. Confondre les deux casse l’enregistrement. - Ne mettez pas le domaine complet dans Record name. Si les instructions de votre fournisseur montrent
selector1._domainkey.votredomaine.com, vous ne saisissez queselector1._domainkeydans Route 53 : le reste est ajouté pour vous. Réinclure le domaine crée un hôte casséselector1._domainkey.votredomaine.com.votredomaine.com. - Collez la clé en entier — elle est longue. Les clés publiques DKIM en TXT font des centaines de caractères. Assurez-vous que rien n’est tronqué et qu’aucun espace ou saut de ligne parasite ne s’est glissé lors du copier-coller.
- Ajoutez tous les enregistrements demandés par votre fournisseur. Microsoft 365 ne validera pas avec un seul de ses deux CNAME ; Amazon SES a besoin des trois. Un ensemble partiel laisse DKIM échouer silencieusement.
- TXT ou CNAME — suivez votre fournisseur. Ne convertissez pas un CNAME en TXT ni l’inverse. Utilisez le type qu’ils indiquent.
- La bonne zone hébergée, le bon compte. Avec plusieurs zones ou comptes AWS, il est facile de modifier le mauvais. Vérifiez que les quatre valeurs NS de la zone correspondent à vos serveurs de noms actifs.
- Laissez du temps. Les changements DNS peuvent mettre de quelques minutes à quelques heures à se propager avant que DKIM ne commence à valider.
Vérifiez que ça a marché
Après l’enregistrement et un petit délai de propagation, lancez la vérification gratuite sur ce site. Elle vous confirmera en langage clair si votre enregistrement DKIM est publié et lisible.
Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.