Partie 6 de la série « Sécurité web dans l'UE : 10 étapes pour une meilleure note »
Le problème
SPF vérifie si le serveur de messagerie est autorisé. Mais SPF ne vérifie pas si le contenu de l'e-mail a été altéré en transit. Un serveur relais compromis peut modifier le texte, remplacer les liens, manipuler les pièces jointes — et SPF dit toujours « pass ».
DKIM résout ce problème : votre serveur de messagerie signe chaque e-mail sortant avec une clé privée. Le destinataire vérifie la signature à l'aide de la clé publique publiée dans votre DNS. Si l'e-mail a été altéré, la signature ne correspond pas — le destinataire sait : falsification.
Adoption de DKIM dans l'UE : 31,1%. Deux domaines sur trois ne signent pas leurs e-mails.
Pourquoi DKIM est essentiel pour DMARC
DMARC vérifie : SPF OU DKIM passe-t-il — et le domaine est-il aligné ? En pratique, SPF échoue fréquemment pour les e-mails transférés (le transfert casse SPF). DKIM survit au transfert car la signature est attachée à l'en-tête de l'e-mail, pas au serveur d'envoi.
Sans DKIM, votre politique DMARC échoue sur chaque e-mail transféré. Listes de diffusion, règles de transfert Outlook, transfert automatique — tous génèrent des échecs SPF. Seul DKIM sauve la délivrabilité.
Comment configurer DKIM
Google Workspace
- Console d'administration > Apps > Google Workspace > Gmail > Authentifier les e-mails
- « Générer une nouvelle clé DKIM » > Longueur de clé 2048 bits
- Ajoutez l'enregistrement TXT affiché à votre DNS (sous
google._domainkey.votre-domaine.com) - De retour dans la Console d'administration : « Démarrer l'authentification »
Microsoft 365
- Microsoft 365 Defender > Politiques > Authentification des e-mails > DKIM
- Sélectionner le domaine > « Créer une clé DKIM »
- Ajoutez deux enregistrements CNAME à votre DNS (Microsoft les affiche)
- Activer DKIM
Brevo / Mailchimp / Outils de newsletter
La plupart des outils de newsletter nécessitent la configuration de DKIM lors de la vérification du domaine :
- Dans l'outil : Ajouter un domaine > L'enregistrement DKIM est affiché
- Ajoutez l'enregistrement TXT à votre DNS
- Dans l'outil : Vérifier le domaine
Configuration manuelle (Postfix / Serveur de messagerie auto-hébergé)
# Installer OpenDKIM
apt install opendkim opendkim-tools
# Générer la paire de clés
opendkim-genkey -t -s mail -d votre-domaine.com
# Ajouter la clé publique au DNS
cat mail.txt # -> Enregistrement TXT sous mail._domainkey.votre-domaine.com
Longueur de clé
- 1024 bits : Minimum, encore accepté, mais cryptographiquement marginal
- 2048 bits : Standard, recommandé
- 4096 bits : Sécurité maximale, mais certains fournisseurs DNS ont des problèmes avec la longueur des enregistrements TXT (>255 caractères nécessitent un découpage)
D'après le benchmark : seuls 31% ont DKIM — et parmi ceux-ci, environ 60% utilisent encore des clés de 1024 bits. Nous recommandons la mise à niveau vers 2048 bits.
Erreurs courantes
1. Oublier DKIM pour les expéditeurs tiers. Chaque service qui envoie des e-mails en votre nom nécessite son propre sélecteur DKIM : Google Workspace, outil de newsletter, système de tickets, CRM. Chacun obtient son propre enregistrement selector._domainkey.
2. Ne jamais effectuer la rotation des clés. Les clés DKIM doivent être rotées tous les 6 à 12 mois. La plupart des fournisseurs le font automatiquement — mais vérifiez-le.
3. DKIM sans DMARC. DKIM seul ne fait que vérifier la signature. Sans DMARC, il ne dit pas au destinataire quoi faire des e-mails non signés.
Vérifiez la sécurité de vos e-mails
SiteGuardian vérifie SPF, DKIM (y compris la longueur de clé et la détection de sélecteur), DMARC et STARTTLS :
La semaine prochaine dans la Partie 7 : X-Content-Type-Options et Referrer-Policy — deux en-têtes, cinq minutes, une protection mesurablment meilleure.