DKIM Checker
Validateur de syntaxe pour enregistrements DKIM (DomainKeys Identified Mail)
Collez la valeur de votre enregistrement DNS TXT DKIM (exemple : selector._domainkey.votredomaine.com)
Comprendre le principe
DKIM (DomainKeys Identified Mail) est un protocole d'authentification d'email qui utilise la cryptographie asymétrique pour signer numériquement les messages sortants. Le serveur émetteur signe les en-têtes et le corps de l'email avec une clé privée, puis le serveur récepteur vérifie cette signature en récupérant la clé publique depuis le DNS. L'enregistrement DKIM est publié sous forme de TXT record au format selector._domainkey.domain.com et contient la clé publique RSA ou Ed25519. Il comprend plusieurs tags obligatoires (v=, p=) et optionnels (k=, h=, t=, s=). Ce validateur vérifie la syntaxe RFC 6376, détecte les tags manquants ou malformés, analyse la robustesse cryptographique (longueur de clé, algorithme de hachage), et signale les configurations à risque comme les clés révoquées, le mode test en production, ou l'usage de SHA-1 obsolète.
Bonnes pratiques DKIM
- Utiliser des clés RSA d'au moins 2048 bits (jamais moins de 1024 bits)
- Privilégier l'algorithme de hachage SHA-256 plutôt que SHA-1 (obsolète)
- Effectuer une rotation des clés tous les 6 à 12 mois pour limiter l'exposition
- Utiliser des sélecteurs uniques par service ou application (mail, newsletter, notifications)
- Tester avec
t=y(mode test) avant la mise en production définitive - Révoquer les anciennes clés en publiant un enregistrement avec
p=vide - Surveiller les rapports DMARC pour détecter les échecs de signature DKIM
- Nommer les sélecteurs de manière explicite (ex:
google2024,newsletter-jan26)