Outils de diagnostic réseau

Vérification DKIM

Trouvez et validez votre clé publique DKIM

esc
Votre IP 8.8.8.8 ou google.com

DNS et enregistrements

Lookup DNS Tous les enregistrements DNS d'un domaine Lookup d'enregistrement A Adresses IPv4 d'un domaine Lookup d'enregistrement AAAA Adresses IPv6 d'un domaine Lookup MX Serveurs de messagerie d'un domaine Lookup NS Serveurs de noms faisant autorité Lookup TXT Enregistrements TXT, SPF, vérification Lookup CNAME Enregistrements de nom canonique (alias) Lookup SOA Enregistrement Start of Authority Lookup SRV Enregistrements de localisation de service Lookup CAA Quelles CA peuvent émettre des certificats DNS inversé (PTR) Adresse IP vers nom d'hôte Vérification DNSSEC Le domaine est-il signé et validé ? Diagnostic DNS Un bilan complet de délégation et de DNS

Délivrabilité des e-mails

Vérification SPF Validez votre enregistrement Sender Policy Framework Vérification DMARC Inspectez et évaluez votre politique DMARC Vérification DKIM Trouvez et validez votre clé publique DKIM Vérification de liste noire Vérifiez une IP face aux listes de blocage e-mail (DNSBL) Test SMTP Connectez-vous à un serveur de messagerie et vérifiez STARTTLS Vérification MTA-STS Politique TLS imposée pour le courrier entrant Vérification BIMI Enregistrement de logo de marque pour l'e-mail Vérification TLS-RPT Politique de rapport TLS SMTP

Réseau et web

Vérification de certificat SSL Inspectez le certificat TLS d'un site et son expiration Vérification des en-têtes HTTP Inspectez les en-têtes de réponse, redirections et sécurité Ping (TCP) Accessibilité et latence via TCP Vérification de ports Quels ports courants sont ouverts

Domaine

Lookup WHOIS Données d'enregistrement pour domaines, IP et ASN

Qu'est-ce qu'un enregistrement DKIM ?

DKIM ajoute une signature cryptographique à vos e-mails sortants ; les destinataires la vérifient à l'aide d'une clé publique que vous publiez dans le DNS à selector._domainkey.votre-domaine. Comme le DNS ne permet pas de lister les sélecteurs, IPeek sonde ceux qu'utilisent Google, Microsoft, Amazon SES et d'autres grands fournisseurs.

Comment fonctionnent la signature et la vérification DKIM

Lorsque vous envoyez un e-mail, votre fournisseur signe certains en-têtes et le corps du message avec une clé privée, en ajoutant un en-tête DKIM-Signature au message. Le destinataire lit les balises d= (domaine) et s= (sélecteur) de cet en-tête, récupère la clé publique correspondante à selector._domainkey.d et vérifie la signature. Si elle est valide, le contenu n'a pas été altéré en transit et provient bien d'un détenteur de clé pour ce domaine. La clé privée reste sur le serveur d'envoi ; seule la clé publique réside dans le DNS.

Les sélecteurs et la clé publique dans le DNS

Un sélecteur permet à un même domaine de publier plusieurs clés DKIM — utile pour la rotation ou pour différents services d'envoi. La clé publique est un enregistrement TXT à selector._domainkey.votre-domaine, par exemple google._domainkey.example.com, contenant v=DKIM1; k=rsa; p=<clé publique base64>. Comme le DNS n'offre aucun annuaire des sélecteurs, vous ne pouvez pas simplement demander lesquels un domaine utilise. C'est pourquoi IPeek sonde les sélecteurs courants utilisés par Google (google), Microsoft, Amazon SES et d'autres grands fournisseurs pour localiser vos clés publiées.

Comment DKIM s'articule avec SPF et DMARC

DKIM est la couche d'authentification du contenu parmi les trois. Là où le SPF autorise les hôtes d'envoi par leur IP, DKIM prouve cryptographiquement que les en-têtes et le corps d'un message n'ont pas été falsifiés et le relie à un domaine de signature. DMARC vérifie ensuite que le domaine de signature DKIM s'aligne sur l'adresse From visible. DKIM possède un avantage clé sur le SPF : comme la signature voyage avec le message, elle survit au transfert, qui brise souvent le SPF. Pour une délivrabilité solide, publiez DKIM et alignez-le sous DMARC.

Questions fréquentes

Qu'est-ce qu'un sélecteur DKIM ?

Un sélecteur est une étiquette qui pointe vers une clé publique DKIM précise dans le DNS, permettant à un même domaine de publier plusieurs clés pour la rotation ou pour différents services d'envoi. Il apparaît sous la forme de la balise s= dans l'en-tête DKIM-Signature et constitue une partie de l'emplacement DNS selector._domainkey.votre-domaine. Par exemple, Google Workspace utilise couramment le sélecteur google.

Pourquoi n'arrive-t-on pas à trouver mon enregistrement DKIM ?

Les enregistrements DKIM résident à selector._domainkey.votre-domaine, et le DNS ne permet pas de lister les sélecteurs qu'utilise un domaine — il faut donc connaître le sélecteur pour l'interroger. Les fournisseurs utilisent des sélecteurs différents. IPeek résout ce problème en sondant les sélecteurs courants utilisés par Google, Microsoft, Amazon SES et d'autres grands fournisseurs afin de localiser automatiquement vos clés publiées.

Où est stockée une clé publique DKIM ?

Une clé publique DKIM est publiée sous la forme d'un enregistrement TXT dans le DNS à selector._domainkey.votre-domaine — par exemple, google._domainkey.example.com. L'enregistrement contient des balises telles que v=DKIM1; k=rsa; p= suivies de la clé publique encodée en base64. La clé privée correspondante reste sur votre serveur de messagerie d'envoi et n'est jamais publiée. Les destinataires récupèrent la clé publique pour vérifier chaque signature.

DKIM survit-il au transfert d'e-mails ?

Oui, dans la plupart des cas. Comme la signature DKIM voyage à l'intérieur des en-têtes du message, elle reste valide après un transfert tant que les en-têtes signés et le corps ne sont pas modifiés. C'est un avantage majeur sur le SPF, qui se brise généralement lors d'un transfert parce que l'IP d'envoi change. C'est aussi pourquoi DMARC peut encore réussir via DKIM lorsque le SPF échoue sur un e-mail transféré.

Quelle est la différence entre DKIM et SPF ?

Le SPF autorise quels hôtes peuvent envoyer des e-mails au nom de votre domaine en vérifiant l'IP d'envoi, tandis que DKIM signe cryptographiquement chaque message afin que les destinataires puissent vérifier que son contenu n'a pas été altéré et qu'il provient bien de votre domaine. Le SPF valide le chemin ; DKIM valide le message. Ils sont complémentaires, et DMARC relie les deux à votre adresse From visible.

Outils connexes

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어