Générateur d'enregistrement DNS DKIM

Saisissez un nom de sélecteur et une clé publique (format PEM) pour générer l'enregistrement DNS TXT de signature DKIM (v=DKIM1; k=rsa; p=...). Les clés publiques de plus de 255 caractères sont automatiquement découpées au format fichier de zone BIND.

Astuces

  • Vous pouvez coller directement le contenu d'un fichier PEM généré avec opendkim-genkey ou avec openssl genrsa → openssl rsa -pubout d'OpenSSL. Les sauts de ligne et les en-têtes sont supprimés automatiquement.
  • Activer le mode test (t=y) peut inciter certains serveurs destinataires à se montrer plus tolérants face à un échec DKIM plutôt que de rejeter le message. C'est une option plus sûre pendant la période de validation avant la mise en production.
  • Après avoir publié l'enregistrement généré dans le DNS, nous vous recommandons de vérifier sa prise en compte avec l'outil de diagnostic de délivrabilité de ce site (diagnostic SPF/DKIM/DMARC).
  • Les longueurs de clé courantes sont 1024 et 2048 bits ; avec 2048 bits, la chaîne de la clé publique dépasse généralement 255 caractères et se retrouve découpée en plusieurs chaînes. Ce découpage n'est pas une erreur.
  • Le nom du sélecteur est libre, mais si un domaine utilise plusieurs prestataires de messagerie, inclure le nom du prestataire (par exemple « google », « mailgun ») facilite la gestion.

Questions fréquentes

C'est un identifiant qui permet à un même domaine d'utiliser plusieurs clés DKIM à la fois. L'enregistrement est publié dans le DNS sous le nom « sélecteur._domainkey.domaine », et la signature est vérifiée avec la clé publique du sélecteur correspondant à la valeur de la balise s= indiquée dans l'en-tête DKIM-Signature du courriel envoyé.

Comme une chaîne de caractères d'un enregistrement TXT DNS est limitée à 255 octets, tout ce qui dépasse cette limite est découpé en plusieurs chaînes entre guillemets, concaténées sans espace en un seul enregistrement TXT. Le format BIND généré par cet outil gère déjà ce découpage.

Non. Cet outil ne fait qu'assembler l'enregistrement que vous publiez dans le DNS ; il ne génère pas de clé privée. Générez et conservez votre clé privée en sécurité dans votre propre environnement, avec un outil de confiance comme opendkim-genkey ou OpenSSL.

Utilisez-le juste après le déploiement de DKIM, pendant la période où vous vérifiez que la signature et la validation fonctionnent correctement dans votre environnement d'envoi réel. Certains destinataires traitent plus indulgemment les échecs DKIM des domaines marqués t=y, ce qui sert de filet de sécurité avant le passage complet en production.

À ce jour, RSA (k=rsa) reste la norme de facto car pris en charge par le plus grand nombre de serveurs d'envoi et de réception. Ed25519 (k=ed25519, RFC 8463) offre des clés plus courtes et une signature plus rapide, mais certains serveurs de messagerie ne le prennent pas encore en charge : n'adoptez-le que si vous pouvez vérifier son bon fonctionnement des deux côtés.
ツールくん

Anecdote — comment la cryptographie à clé publique empêche l'usurpation d'identité par courriel

DKIM (DomainKeys Identified Mail) a été standardisé en 2004 en fusionnant deux technologies développées séparément par Yahoo! et Cisco — DomainKeys et Identified Internet Mail. Le principe repose sur la cryptographie à clé publique : l'expéditeur chiffre avec sa clé privée une empreinte calculée à partir des en-têtes et d'une partie du corps du message, puis l'ajoute sous forme d'en-tête DKIM-Signature. Le destinataire vérifie cette signature à l'aide de la clé publique publiée dans le DNS et, si la paire de clés correspond, peut confirmer mathématiquement que le contenu n'a pas été altéré après l'envoi.

Alors que SPF vérifie la légitimité au niveau réseau — l'adresse IP d'envoi —, DKIM est fondamentalement différent puisqu'il applique une signature numérique au contenu même du courriel. Ainsi, même si un message est retransmis plusieurs fois par des serveurs légitimes (un cas où SPF est reconnu pour mal se comporter), la signature DKIM reste valide tant que le corps du message n'est pas modifié. C'est pourquoi DKIM est jugé plus fiable que SPF sur les chemins de livraison impliquant un renvoi, comme les listes de diffusion.

Le mécanisme de sélecteur est également important en pratique. Lorsqu'un même domaine utilise plusieurs prestataires de messagerie (serveur interne, Gmail, SendGrid, etc.), attribuer à chacun une paire de clés et un nom de sélecteur distincts permet de révoquer ou de renouveler les clés indépendamment par prestataire. Cette souplesse opérationnelle — une clé compromise n'affectant que son propre sélecteur — explique en partie pourquoi DKIM, bien que reposant sur un simple enregistrement DNS, reste largement utilisé dans les infrastructures de messagerie à grande échelle.