Aller au contenu
D1
FR

Authentification e-mail

Vérificateur et validateur d'enregistrements DKIM

Interrogez l'enregistrement TXT selector._domainkey de n'importe quel domaine et validez les balises DKIM, le type et la longueur de la clé.

Ce formulaire appelle le point de terminaison relatif: /site-api/tools/dkim

Que vérifie le validateur DKIM ?

  1. Saisissez le sélecteur DKIM (par exemple google, default ou k1) et le domaine. L'outil interroge l'enregistrement TXT {selector}._domainkey.{domaine} via le DNS public.
  2. L'enregistrement est analysé balise par balise : version v=DKIM1, type de clé k=, clé publique p=, algorithmes h=, types de service s= et drapeaux t=, ainsi que la longueur de clé décodée.
  3. Consultez le verdict et les avertissements : enregistrement manquant, balise p= vide (clé révoquée), clé faible de 1024 bits ou drapeau t=y — chaque cas est expliqué clairement.

Balises DKIM à examiner

Le validateur couvre la moitié DNS de DKIM : l'enregistrement de clé publique publié. Il confirme son existence, analyse chaque balise et signale les clés faibles ou révoquées — il ne signe ni ne reçoit de courrier à votre place.

BalisePourquoi c'est importantExemple
v=DKIM1Balise de version obligatoire en tête de tout enregistrement DKIM validev=DKIM1
k / pType de clé et clé publique Base64 utilisée pour vérifier les signaturesk=rsa; p=MIIBIjANBg…
Longueur de cléTaille du module RSA — les clés de 1024 bits sont considérées comme faibles2048 bits
t=yDrapeau de test : les destinataires traitent les signatures comme si le domaine ne signait past=y

Quand vérifier un enregistrement DKIM

Lancez une vérification juste après avoir ajouté ou modifié l'enregistrement DNS d'un fournisseur de messagerie. Google Workspace utilise généralement le sélecteur google, Microsoft 365 utilise selector1 et selector2, Amazon SES émet trois sélecteurs CNAME aléatoires, Mailchimp utilise k1 (et k2/k3) et SendGrid utilise couramment s1 et s2.

Vérifiez DKIM quand les messages arrivent en spam ou que les rapports DMARC affichent dkim=fail. Un enregistrement manquant ou mal formé est l'une des causes les plus fréquentes.

Vérifiez les deux sélecteurs pendant une rotation de clés : les fournisseurs publient la nouvelle clé sur un second sélecteur avant de retirer l'ancienne, et les deux doivent résoudre tant que d'anciennes signatures circulent encore.

Corriger un enregistrement DKIM manquant ou invalide

Si aucun enregistrement n'est trouvé, vérifiez l'orthographe exacte du sélecteur et que le TXT (ou CNAME) est bien publié sur selector._domainkey.votredomaine.com — l'erreur classique consiste à le publier sur l'apex ou à doubler le domaine dans le champ hôte.

Si l'enregistrement existe mais est invalide, regardez les balises analysées : un v=DKIM1 manquant, une valeur p= tronquée (les panneaux DNS coupent souvent les clés longues en plusieurs chaînes entre guillemets) ou des espaces parasites cassent la vérification.

Une balise p= vide signifie que la clé a été révoquée volontairement. Le drapeau t=y indique le mode test : les destinataires vérifient la signature sans l'appliquer strictement ; retirez-le une fois le déploiement confirmé.

Sélecteurs, clés et rotation DKIM

DKIM permet au serveur émetteur de signer chaque message avec une clé privée ; les destinataires récupèrent la clé publique dans le DNS via le sélecteur indiqué dans l'en-tête DKIM-Signature (balise s=). Les sélecteurs permettent à un domaine de publier plusieurs clés en même temps.

La longueur compte : les clés RSA de 1024 bits sont encore acceptées mais jugées faibles, et la plupart des fournisseurs émettent désormais des clés de 2048 bits. Certains panneaux DNS exigent de couper la longue chaîne Base64 en deux fragments entre guillemets.

Pour la rotation, publiez la nouvelle clé sous un nouveau sélecteur, basculez la signature, puis seulement retirez ou révoquez l'ancien enregistrement. Vérifier chaque sélecteur individuellement confirme chaque étape.

Flux d'authentification e-mail

  1. Confirmez les enregistrements MX et SPF avec le DNS Checker.
  2. Validez chaque sélecteur DKIM utilisé par vos fournisseurs.
  3. Vérifiez l'enregistrement TXT _dmarc et sa politique.
  4. Re-testez après toute migration de fournisseur ou rotation de clés.

Validateur DKIM vs dig et en-têtes de courrier

Vous pouvez interroger l'enregistrement avec dig TXT selector._domainkey.example.com, mais il faut ensuite analyser les balises et décoder la longueur de clé soi-même. Le validateur le fait automatiquement et explique chaque constat.

Lire les en-têtes Authentication-Results d'un message reçu indique si ce message précis a réussi. Le validateur répond à la question en amont : l'enregistrement publié existe-t-il et est-il valide ?

Les suites de délivrabilité complètes testent des boîtes de test et la réputation. Cet outil couvre la fondation DNS dont tout le reste dépend — rapide, gratuit et automatisable via l'API.

Pourquoi utiliser le validateur DKIM DN01

  • Recherche par sélecteur qui analyse chaque balise DKIM et rapporte le type et la longueur de clé, pas seulement le TXT brut.
  • Avertissements clairs pour les clés révoquées (p= vide), le mode test (t=y) et les clés faibles de 1024 bits.
  • S'intègre au flux DN01 aux côtés des vérifications DNS, SPF/TXT et listes noires, avec une interface en 8 langues.

FAQ

FAQ du validateur DKIM

Sélecteurs, enregistrements TXT DNS, longueur de clé et signification des drapeaux de test ou de révocation.

Qu'est-ce qu'un sélecteur DKIM ?

Le sélecteur est le libellé indiqué dans la balise s= de l'en-tête DKIM-Signature du message. Le destinataire le combine avec votre domaine pour interroger l'enregistrement TXT selector._domainkey.votredomaine.com — un domaine peut ainsi publier plusieurs clés à la fois.

Comment trouver mon sélecteur DKIM ?

Ouvrez un message envoyé et regardez l'en-tête DKIM-Signature : la balise s= est le sélecteur. Valeurs courantes : google chez Google Workspace, selector1/selector2 chez Microsoft 365, k1 chez Mailchimp et s1/s2 chez SendGrid. Vous pouvez confirmer l'existence du TXT avec le DNS Checker.

Pourquoi mon enregistrement DKIM est-il invalide ?

Causes fréquentes : balise v=DKIM1 manquante, valeur p= tronquée après un mauvais découpage de la clé longue dans le panneau DNS, guillemets ou espaces parasites, ou enregistrement publié sur le mauvais hostname. Le validateur analyse chaque balise et pointe le problème exact.

Que signifie t=y dans un enregistrement DKIM ?

C'est le drapeau de test : les destinataires vérifient la signature mais traitent les échecs comme si le message n'était pas signé. C'est acceptable pendant le déploiement, mais retirez-le dès que vos rapports DMARC montrent DKIM en réussite constante.

Clé DKIM de 1024 ou 2048 bits ?

Utilisez 2048 bits. Les clés RSA de 1024 bits sont encore vérifiées mais jugées faibles, et les grands fournisseurs émettent désormais du 2048 bits par défaut. Si votre panneau DNS refuse la valeur longue, coupez la chaîne Base64 en deux fragments entre guillemets.

Un domaine peut-il avoir plusieurs sélecteurs DKIM ?

Oui, et c'est généralement souhaitable. Chaque fournisseur de messagerie signe avec son propre sélecteur, et la rotation des clés repose sur la publication d'une nouvelle clé sous un nouveau sélecteur avant de révoquer l'ancienne. Validez chaque sélecteur séparément.

Sélecteur d'outil

Choisissez la prochaine étape de votre flux de travail domaine ou sécurité.

Catalogue complet d'outils

Guides

Guides pratiques pour les tâches courantes avec Validateur DKIM — enregistrements DNS, dépannage et liens vers nos outils gratuits.

Retour à Validateur DKIM