Aller au contenu principal
Gaprod

Glossaire

DKIM

DomainKeys Identified Mail — mécanisme d'authentification des emails qui ajoute une signature cryptographique numérique aux messages sortants. Cette signature permet au serveur de réception de vérifier que l'email provient bien du domaine déclaré et n'a pas été altéré en transit.

Qu'est-ce que DKIM ?

DKIM (DomainKeys Identified Mail) est un standard d'authentification email défini dans la RFC 6376. Il utilise la cryptographie asymétrique pour signer numériquement les emails au niveau du domaine expéditeur, permettant au destinataire de vérifier l'authenticité du message.

DKIM résout un problème fondamental de l'email : le protocole SMTP originel ne prévoyait aucun mécanisme d'authentification — n'importe qui pouvait envoyer un email en prétendant être n'importe qui d'autre.

Comment fonctionne DKIM ?

Le principe de signature/vérification

DKIM repose sur la cryptographie à clé publique/privée :

  1. Côté expéditeur : Le serveur mail signe les emails avec une clé privée secrète, générée par l'administrateur du domaine. La signature est ajoutée dans l'en-tête DKIM-Signature du message.

  2. Publication de la clé publique : L'administrateur publie la clé publique correspondante dans un enregistrement DNS TXT du domaine.

  3. Côté destinataire : Le serveur de réception récupère la clé publique via DNS et l'utilise pour vérifier la signature. Si elle correspond, l'email est authentique et non modifié.

L'en-tête DKIM-Signature

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=gaprod.fr; s=mail;
  h=from:to:subject:date:message-id;
  bh=Xk3ZFaX...;
  b=T5Gsh7HLk...
  • d= : Le domaine signataire
  • s= : Le sélecteur (permet d'avoir plusieurs clés)
  • h= : Les en-têtes signés
  • bh= : Hash du corps du message
  • b= : La signature cryptographique

L'enregistrement DNS DKIM

La clé publique est publiée sous la forme :

mail._domainkey.gaprod.fr IN TXT "v=DKIM1; k=rsa; p=MIGfMA0G..."

Le format est [sélecteur]._domainkey.[domaine].

DKIM et intégrité du message

Un avantage crucial de DKIM : il détecte non seulement les usurpations d'identité mais aussi les altérations en transit. Si un élément malveillant modifie le contenu d'un email après son envoi (attaque MITM), la signature DKIM devient invalide et le serveur destinataire peut rejeter ou signaler le message.

Configurer DKIM dans cPanel

cPanel simplifie la mise en place de DKIM :

  1. Accédez à cPanel → Email → Authentification
  2. Cliquez sur Activer sous la section DKIM
  3. cPanel génère automatiquement la paire de clés et crée l'enregistrement DNS

Si vos DNS sont gérés ailleurs qu'en cPanel, vous devrez copier manuellement l'enregistrement TXT DKIM dans votre zone DNS.

DKIM, SPF et DMARC : la trinité anti-spam

DKIM seul n'est pas suffisant. Il s'utilise en complément de :

  • SPF — Autorise les serveurs à envoyer en votre nom (liste d'IP)
  • DKIM — Signe cryptographiquement les messages (intégrité)
  • DMARC — Définit la politique à appliquer en cas d'échec SPF/DKIM

Les trois ensemble forment la protection email la plus robuste disponible aujourd'hui.

Vérifier votre configuration DKIM

Plusieurs outils gratuits permettent de vérifier votre configuration DKIM :

  • MXToolbox (mxtoolbox.com) — Vérification complète de la configuration email
  • Mail-tester.com — Envoyez un email de test et obtenez un score de délivrabilité
  • Google Postmaster Tools — Suivi de la réputation de domaine chez Gmail

DKIM et délivrabilité email

Une configuration DKIM correcte améliore significativement la délivrabilité de vos emails :

  • Gmail favorise les emails avec DKIM valide
  • Outlook.com a des exigences similaires
  • Les filtres anti-spam considèrent DKIM comme un signal positif fort
  • DMARC requiert DKIM (et/ou SPF) pour fonctionner

Sans DKIM, vos emails légitimes risquent davantage d'atterrir dans les spams de vos destinataires.

Rotation des clés DKIM

Il est recommandé de renouveler les clés DKIM périodiquement (tous les 6 à 12 mois) pour limiter les risques en cas de compromission. Grâce aux sélecteurs DKIM, vous pouvez générer une nouvelle clé et la déployer progressivement sans interrompre la signature des emails.

Prêt à démarrer avec Gaprod ?

Hébergement web, VPS et solutions cloud 100% français, avec support expert inclus.

30j rembourséMigration gratuiteSupport 7j/7