Générateur d'enregistrement DNS DKIM
Saisissez un nom de sélecteur et une clé publique (format PEM) pour générer l'enregistrement DNS TXT de signature DKIM (v=DKIM1; k=rsa; p=...). Les clés publiques de plus de 255 caractères sont automatiquement découpées au format fichier de zone BIND.
Astuces
- Vous pouvez coller directement le contenu d'un fichier PEM généré avec opendkim-genkey ou avec openssl genrsa → openssl rsa -pubout d'OpenSSL. Les sauts de ligne et les en-têtes sont supprimés automatiquement.
- Activer le mode test (t=y) peut inciter certains serveurs destinataires à se montrer plus tolérants face à un échec DKIM plutôt que de rejeter le message. C'est une option plus sûre pendant la période de validation avant la mise en production.
- Après avoir publié l'enregistrement généré dans le DNS, nous vous recommandons de vérifier sa prise en compte avec l'outil de diagnostic de délivrabilité de ce site (diagnostic SPF/DKIM/DMARC).
- Les longueurs de clé courantes sont 1024 et 2048 bits ; avec 2048 bits, la chaîne de la clé publique dépasse généralement 255 caractères et se retrouve découpée en plusieurs chaînes. Ce découpage n'est pas une erreur.
- Le nom du sélecteur est libre, mais si un domaine utilise plusieurs prestataires de messagerie, inclure le nom du prestataire (par exemple « google », « mailgun ») facilite la gestion.
Questions fréquentes
Anecdote — comment la cryptographie à clé publique empêche l'usurpation d'identité par courriel
DKIM (DomainKeys Identified Mail) a été standardisé en 2004 en fusionnant deux technologies développées séparément par Yahoo! et Cisco — DomainKeys et Identified Internet Mail. Le principe repose sur la cryptographie à clé publique : l'expéditeur chiffre avec sa clé privée une empreinte calculée à partir des en-têtes et d'une partie du corps du message, puis l'ajoute sous forme d'en-tête DKIM-Signature. Le destinataire vérifie cette signature à l'aide de la clé publique publiée dans le DNS et, si la paire de clés correspond, peut confirmer mathématiquement que le contenu n'a pas été altéré après l'envoi.
Alors que SPF vérifie la légitimité au niveau réseau — l'adresse IP d'envoi —, DKIM est fondamentalement différent puisqu'il applique une signature numérique au contenu même du courriel. Ainsi, même si un message est retransmis plusieurs fois par des serveurs légitimes (un cas où SPF est reconnu pour mal se comporter), la signature DKIM reste valide tant que le corps du message n'est pas modifié. C'est pourquoi DKIM est jugé plus fiable que SPF sur les chemins de livraison impliquant un renvoi, comme les listes de diffusion.
Le mécanisme de sélecteur est également important en pratique. Lorsqu'un même domaine utilise plusieurs prestataires de messagerie (serveur interne, Gmail, SendGrid, etc.), attribuer à chacun une paire de clés et un nom de sélecteur distincts permet de révoquer ou de renouveler les clés indépendamment par prestataire. Cette souplesse opérationnelle — une clé compromise n'affectant que son propre sélecteur — explique en partie pourquoi DKIM, bien que reposant sur un simple enregistrement DNS, reste largement utilisé dans les infrastructures de messagerie à grande échelle.