Authentication · RFC 6376 · Mis à jour May 2026

DKIM

DomainKeys Identified Mail

DKIM (DomainKeys Identified Mail) est un standard cryptographique d'authentification d'email (RFC 6376) dans lequel l'expéditeur signe chaque message sortant avec une clé privée, et le récepteur vérifie la signature face à une clé publique publiée dans le DNS.

§1

Définition

DKIM (DomainKeys Identified Mail) est un standard d'authentification d'email défini par la RFC 6376. Le système d'envoi signe chaque message sortant avec une clé cryptographique privée ; un en-tête nommé DKIM-Signature embarque la signature, l'algorithme et un pointeur vers la clé publique. Le serveur récepteur récupère la clé publique dans le DNS et vérifie que la signature correspond au corps du message et aux en-têtes listés — prouvant à la fois que le message provient d'un serveur détenteur de la clé privée et que les portions signées n'ont pas été altérées en transit.

§2

Selectors et rotation des clés

La clé publique vit à {selector}._domainkey.{domain} sous forme d'enregistrement TXT. Les selectors sont des identifiants arbitraires — typiquement s1, s2, mail, ou des noms spécifiques au vendor comme amazonses. Les selectors permettent la rotation des clés : on publie une nouvelle clé sous un selector frais, on bascule le signer sur ce nouveau selector, on laisse l'ancienne clé dans le DNS le temps que les messages signés en cours de route soient drainés, puis on supprime l'ancien enregistrement TXT. La rotation relève de l'hygiène de base — la plupart des ESP rotent au moins une fois par an et à la moindre suspicion de compromission.

§3

Comment AcelleMail utilise DKIM

Pour les envois adossés à un vendor (Amazon SES, Mailgun, SendGrid, SparkPost — tous drivers intégrés sous app/SendingServers/Drivers/Vendors/), DKIM est signé par le vendor. Le travail de l'opérateur consiste à publier les enregistrements CNAME ou TXT fournis par le vendor sur son domaine d'envoi. Pour le driver SMTP générique, la signature DKIM est assurée par le MTA en amont (milter opendkim de Postfix, signer intégré de Postal, etc.) — AcelleMail ne signe pas DKIM lui-même.

Le walkthrough complet d'installation — à quoi ressemblent les enregistrements pour les principaux vendors et comment vérifier la signature — est dans le guide pillar de délivrabilité.

§4

DKIM vs SPF

SPF authentifie l'adresse IP ; DKIM authentifie le message lui-même. Un email transféré qui casse SPF (parce qu'il provient désormais des IP du relayeur) passe en général toujours DKIM (la signature couvre le corps, pas le chemin). DMARC vient alors aligner l'un ou les deux signaux face à l'en-tête From: visible. Les trois couches se composent — la délivrabilité moderne suppose que vous publiez les trois.

Sources

Chaque affirmation de cette page renvoie à l'une d'entre elles.

Voir aussi

Délivrabilité email — walkthrough complet de configuration DKIM →

Termes connexes du glossaire

Continuez à parcourir l'amas thématique.

Authentication RFC 7208

SPF

Sender Policy Framework

Authentication RFC 7489

DMARC

Domain-based Message Authentication, Reporting and Conformance

Vendor

Amazon SES

Amazon Simple Email Service

Metric

Email deliverability

Le taux auquel les messages envoyés atteignent la boîte de réception du destinataire

← Retour à tous les termes du glossaire

Envie de le faire tourner en production ?

AcelleMail est une plateforme email auto-hébergée à licence unique, avec une prise en charge de premier ordre de chaque terme de ce glossaire. Aucun frais récurrent, aucune tarification à l'abonné, code source complet.

Essayer la démo en direct