Trouvez et validez votre clé publique DKIM
DNS et enregistrements
Lookup DNS Tous les enregistrements DNS d'un domaine Lookup d'enregistrement A Adresses IPv4 d'un domaine Lookup d'enregistrement AAAA Adresses IPv6 d'un domaine Lookup MX Serveurs de messagerie d'un domaine Lookup NS Serveurs de noms faisant autorité Lookup TXT Enregistrements TXT, SPF, vérification Lookup CNAME Enregistrements de nom canonique (alias) Lookup SOA Enregistrement Start of Authority Lookup SRV Enregistrements de localisation de service Lookup CAA Quelles CA peuvent émettre des certificats DNS inversé (PTR) Adresse IP vers nom d'hôte Vérification DNSSEC Le domaine est-il signé et validé ? Diagnostic DNS Un bilan complet de délégation et de DNSDélivrabilité des e-mails
Vérification SPF Validez votre enregistrement Sender Policy Framework Vérification DMARC Inspectez et évaluez votre politique DMARC Vérification DKIM Trouvez et validez votre clé publique DKIM Vérification de liste noire Vérifiez une IP face aux listes de blocage e-mail (DNSBL) Test SMTP Connectez-vous à un serveur de messagerie et vérifiez STARTTLS Vérification MTA-STS Politique TLS imposée pour le courrier entrant Vérification BIMI Enregistrement de logo de marque pour l'e-mail Vérification TLS-RPT Politique de rapport TLS SMTPRéseau et web
Vérification de certificat SSL Inspectez le certificat TLS d'un site et son expiration Vérification des en-têtes HTTP Inspectez les en-têtes de réponse, redirections et sécurité Ping (TCP) Accessibilité et latence via TCP Vérification de ports Quels ports courants sont ouvertsDomaine
Lookup WHOIS Données d'enregistrement pour domaines, IP et ASNDKIM ajoute une signature cryptographique à vos e-mails sortants ; les destinataires la vérifient à l'aide d'une clé publique que vous publiez dans le DNS à selector._domainkey.votre-domaine. Comme le DNS ne permet pas de lister les sélecteurs, IPeek sonde ceux qu'utilisent Google, Microsoft, Amazon SES et d'autres grands fournisseurs.
Lorsque vous envoyez un e-mail, votre fournisseur signe certains en-têtes et le corps du message avec une clé privée, en ajoutant un en-tête DKIM-Signature au message. Le destinataire lit les balises d= (domaine) et s= (sélecteur) de cet en-tête, récupère la clé publique correspondante à selector._domainkey.d et vérifie la signature. Si elle est valide, le contenu n'a pas été altéré en transit et provient bien d'un détenteur de clé pour ce domaine. La clé privée reste sur le serveur d'envoi ; seule la clé publique réside dans le DNS.
Un sélecteur permet à un même domaine de publier plusieurs clés DKIM — utile pour la rotation ou pour différents services d'envoi. La clé publique est un enregistrement TXT à selector._domainkey.votre-domaine, par exemple google._domainkey.example.com, contenant v=DKIM1; k=rsa; p=<clé publique base64>. Comme le DNS n'offre aucun annuaire des sélecteurs, vous ne pouvez pas simplement demander lesquels un domaine utilise. C'est pourquoi IPeek sonde les sélecteurs courants utilisés par Google (google), Microsoft, Amazon SES et d'autres grands fournisseurs pour localiser vos clés publiées.
DKIM est la couche d'authentification du contenu parmi les trois. Là où le SPF autorise les hôtes d'envoi par leur IP, DKIM prouve cryptographiquement que les en-têtes et le corps d'un message n'ont pas été falsifiés et le relie à un domaine de signature. DMARC vérifie ensuite que le domaine de signature DKIM s'aligne sur l'adresse From visible. DKIM possède un avantage clé sur le SPF : comme la signature voyage avec le message, elle survit au transfert, qui brise souvent le SPF. Pour une délivrabilité solide, publiez DKIM et alignez-le sous DMARC.
Un sélecteur est une étiquette qui pointe vers une clé publique DKIM précise dans le DNS, permettant à un même domaine de publier plusieurs clés pour la rotation ou pour différents services d'envoi. Il apparaît sous la forme de la balise s= dans l'en-tête DKIM-Signature et constitue une partie de l'emplacement DNS selector._domainkey.votre-domaine. Par exemple, Google Workspace utilise couramment le sélecteur google.
Les enregistrements DKIM résident à selector._domainkey.votre-domaine, et le DNS ne permet pas de lister les sélecteurs qu'utilise un domaine — il faut donc connaître le sélecteur pour l'interroger. Les fournisseurs utilisent des sélecteurs différents. IPeek résout ce problème en sondant les sélecteurs courants utilisés par Google, Microsoft, Amazon SES et d'autres grands fournisseurs afin de localiser automatiquement vos clés publiées.
Une clé publique DKIM est publiée sous la forme d'un enregistrement TXT dans le DNS à selector._domainkey.votre-domaine — par exemple, google._domainkey.example.com. L'enregistrement contient des balises telles que v=DKIM1; k=rsa; p= suivies de la clé publique encodée en base64. La clé privée correspondante reste sur votre serveur de messagerie d'envoi et n'est jamais publiée. Les destinataires récupèrent la clé publique pour vérifier chaque signature.
Oui, dans la plupart des cas. Comme la signature DKIM voyage à l'intérieur des en-têtes du message, elle reste valide après un transfert tant que les en-têtes signés et le corps ne sont pas modifiés. C'est un avantage majeur sur le SPF, qui se brise généralement lors d'un transfert parce que l'IP d'envoi change. C'est aussi pourquoi DMARC peut encore réussir via DKIM lorsque le SPF échoue sur un e-mail transféré.
Le SPF autorise quels hôtes peuvent envoyer des e-mails au nom de votre domaine en vérifiant l'IP d'envoi, tandis que DKIM signe cryptographiquement chaque message afin que les destinataires puissent vérifier que son contenu n'a pas été altéré et qu'il provient bien de votre domaine. Le SPF valide le chemin ; DKIM valide le message. Ils sont complémentaires, et DMARC relie les deux à votre adresse From visible.