Résoudre les problèmes liés à DKIM

Suivez la procédure de dépannage de cet article si les messages envoyés depuis votre domaine :

  • ne sont pas validés par l'authentification DKIM ;
  • sont rejetés par les serveurs de réception ;
  • arrivent dans le dossier "Spam" des destinataires.

De nombreux problèmes liés à DKIM peuvent être identifiés et résolus en suivant la procédure décrite dans cet article.

Sur cette page

Vérifier la configuration de DKIM

Vérifiez que DKIM est correctement configuré en suivant la procédure décrite dans Configurer DKIM.

Vérifier que les messages sont authentifiés par DKIM

Vous pouvez examiner les en-têtes des e-mails pour voir si les messages envoyés depuis votre domaine passent les contrôles d'authentification DKIM.

Recommandations :

  • Vérifiez les en-têtes d'un message envoyé depuis votre domaine pour vous assurer qu'il a été authentifié par DKIM.
  • Si le message n'est pas authentifié par DKIM, essayez de l'envoyer à un autre destinataire, par exemple une adresse Gmail personnelle. Cela devrait vous permettre d'exclure les problèmes liés au serveur de réception.
  • Dans Gmail, cliquez sur Afficher l'original pour un message, puis vérifiez l'état DKIM dans le message d'origine. En savoir plus sur la vérification des en-têtes de messages dans Gmail.
  • Saisissez les en-têtes de messages dans l'outil En-tête message de Google Admin Toolbox et vérifiez l'état DKIM.

Consultez également Contrôler l'authentification d'un message Gmail.

Vérifier que la clé DKIM est correcte auprès du fournisseur de domaine

La plupart des enregistrements TXT DKIM peuvent comporter jusqu'à 255 caractères. Vous ne pouvez pas saisir de clé de 2 048 bits sous la forme d'une seule chaîne de texte avec une limite d'enregistrement TXT de 255 caractères. Il est possible que votre clé DKIM soit tronquée, ou que vos enregistrements DKIM aient été envoyés dans le désordre.

Recommandations :

  • Si vous ne parvenez pas à saisir l'intégralité de la valeur de votre enregistrement TXT DKIM sous la forme d'une chaîne de texte unique, suivez la procédure décrite dans Vérifier le nombre maximal de caractères autorisé pour l'enregistrement TXT de votre fournisseur de domaine.
  • Comparez la valeur de l'enregistrement DKIM du côté de votre fournisseur avec celle de la console d'administration et vérifiez que votre clé DKIM est correcte :
    1. Obtenez la valeur de l'enregistrement TXT DKIM dans la console d'administration, par exemple google._domainkey.
    2. Accédez à l'outil Dig de Google Admin Toolbox.
    3. Cliquez sur TXT.
    4. Saisissez la valeur de l'enregistrement TXT DKIM générée à l'étape 1, puis ajoutez un point (.) et le nom de votre domaine à cette valeur.
      Par exemple, si votre domaine est example.com et que la valeur de l'enregistrement TXT DKIM est google._domainkey, saisissez google._domainkey.example.com.
    5. Comparez les résultats avec les valeurs indiquées dans la console d'administration. Si tous les caractères de clé sont inclus et dans le bon ordre, la clé DKIM est peut-être en deux parties.

Vérifier le transfert de messages

Même lorsque DKIM est correctement configuré pour votre domaine, les messages transférés peuvent être rejetés par le contrôle DKIM. Cela peut être dû à la façon dont un serveur de messagerie transfère les messages.

Recommandation pour les expéditeurs d'e-mails :

  • Assurez-vous que le message n'a pas été modifié pendant le transfert. Recherchez l'en-tête Authentication-results:. Si le texte à côté de l'entrée dkim est body hash did not verify (le hachage du corps n'a pas été validé), cela signifie que le message a été modifié lors du transit.
  • Si vous utilisez une passerelle sortante, assurez-vous qu'elle ne modifie pas les messages sortants avant leur envoi. Par exemple, certaines passerelles sortantes ajoutent un pied de page au bas de chaque message sortant. Cela peut entraîner l'échec de DKIM, car le contenu du message est modifié après son envoi.

Recommandations pour les destinataires d'e-mails :

  • Utilisez la recherche dans le journal des e-mails pour vérifier que le message a été transféré. Si la personne qui a signalé le message comme étant du spam n'est pas le destinataire d'origine, il est probable que le message ait été transféré.
  • Contactez le service qui a transféré le message pour découvrir s'il est possible de transférer les messages autrement.

Consultez également les bonnes pratiques de transfert des e-mails vers Gmail.

Vérifier le nombre maximal de caractères autorisé pour l'enregistrement TXT de votre fournisseur de domaine

Si une erreur s'affiche lorsque vous saisissez la valeur DKIM, c'est peut-être parce que votre fournisseur de domaine limite le nombre de caractères autorisés dans l'enregistrement TXT DNS. 

Recommandations :

Si vous utilisez une clé DKIM de 2 048 bits, vous ne pouvez pas la saisir en tant que chaîne de texte unique dans un enregistrement DNS limité à 255 caractères. Dans ce cas, suivez la procédure ci-après :

  1. Divisez les caractères de la clé en plusieurs chaînes de texte.
  2. Placez chaque chaîne entre guillemets.
  3. Saisissez les chaînes les unes après les autres dans le champ "Valeur de l'enregistrement TXT" de votre fournisseur de domaine.

Dans cet exemple, une longue clé DKIM est divisée en deux chaînes de texte, chacune entre guillemets :

"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAraC3pqvqTkAfXhUn7Kn3JUNMwDkZ65ftwXH58anno/bElnTDAd/idk8kWpslrQIMsvVKAe+mvmBEnpXzJL+0LgTNVTQctUujyilWvcONRd/z37I34y6WUIbFn4ytkzkdoVmeTt32f5LxegfYP4P/"

"w7QGN1mOcnE2Qd5SKIZv3Ia1p9d6uCaVGI8brE/7zM5c/zMthVPE2WZKA28+QomQDH7ludLGhXGxpc7kZZCoB5lQiP0o07Ful33fcED73BS9Bt1SNhnrs5v7oq1pIab0LEtHsFHAZmGJDjybPA7OWWaV3L814r/JfU2NK1eNu9xYJwA8YW7WosL45CSkyp4QeQIDAQAB"

Vous pouvez également essayer les solutions suivantes :

  • Sélectionnez une clé de 1 024 bits lorsque vous générez une paire de clés DKIM.
  • Contactez votre hébergeur de domaine pour savoir s'il accepte les enregistrements TXT de plus de 255 caractères. Si c'est le cas, vous pouvez mettre à jour votre enregistrement DNS avec une clé DKIM de 2 048 bits en suivant la procédure décrite dans Générer une paire de clés DKIM.

Nous vous recommandons de ne pas ajouter plus de 49 enregistrements TXT au niveau de votre fournisseur de domaine, car il s'agit du nombre maximal accepté par la plupart des fournisseurs de domaine.

Vérifier le nombre de signatures DKIM

Les messages peuvent être signés avec plusieurs signatures DKIM. Toutefois, Gmail ne vérifie que les cinq premières signatures, qui sont listées dans l'en-tête du message Authentication-Results:. Gmail vérifie les signatures dans l'ordre dans lequel elles apparaissent dans l'en-tête. Si la signature d'authentification ne figure pas parmi les cinq premières signatures listées dans l'en-tête, l'authentification DKIM du message échoue. Cela peut également entraîner un échec du contrôle DMARC.

Pour vérifier les signatures que Gmail vérifie pour chaque message, consultez l'en-tête Authentication-Results: du message. Pour savoir comment vérifier les en-têtes des messages Gmail, consultez Utiliser les en-têtes complets d'un message pour savoir d'où il provient.

Vérifier les pratiques d'envoi de messages

Si DKIM est correctement configuré, mais que les messages sont envoyés dans le dossier "Spam", il se peut que le problème ne soit pas lié à DKIM. 

Recommandation :

Contacter les administrateurs des serveurs rejetant les messages signés avec DKIM

Si DKIM est correctement configuré, les serveurs de réception peuvent tout de même rejeter les messages envoyés depuis votre domaine ou envoyer des messages vers le dossier "Spam" des destinataires.

Recommandations :

  • Contactez l'administrateur du serveur de messagerie à l'origine du rejet.
  • Configurez DMARC afin d'obtenir des rapports sur les résultats d'authentification DKIM. Consultez Configurer DMARC.
  • Si vous configurez DKIM avec un système de messagerie autre que Google Workspace, n'utilisez pas le tag de longueur DKIM (l=) dans les messages sortants. Les messages utilisant ce tag sont vulnérables aux utilisations abusives. Pour en savoir plus, consultez la section 8.2 du document RFC 6376.


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

 

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal