Configurer DKIM

Utilisateurs Gmail : si vous recevez des messages de spam ou d'hameçonnage dans Gmail, cliquez ici. Si vous rencontrez des difficultés pour envoyer ou recevoir des e-mails dans Gmail, cliquez ici.

En tant qu'administrateur, vous pouvez configurer DKIM (également appelé signature DKIM) pour authentifier vos e-mails et protéger votre domaine contre le spoofing.

Sans DKIM, les messages envoyés par votre organisation ou votre domaine sont plus à risque d'être marqués comme spam par les serveurs de réception.

Sur cette page

Comment fonctionne DKIM ?

Pour configurer DKIM, vous devez générer une paire de clés DKIM pour votre domaine :

  • Une clé publique stockée dans l'enregistrement TXT DNS de votre domaine pour DKIM. Il s'agit de la clé que vous ajoutez à votre domaine.
  • Une clé privée importée sur votre serveur de messagerie. Cette clé génère et ajoute une signature DKIM à tous vos e-mails sortants.
1. Le serveur de messagerie de l'expéditeur avec une clé privée.
2. L'enregistrement TXT DKIM de l'expéditeur avec une clé publique.
3. La clé privée de l'expéditeur ajoute une signature DKIM à l'en-tête de l'e-mail sortant.
4. L'e-mail est envoyé au domaine du destinataire.
5. Le serveur de messagerie du destinataire récupère la clé publique de l'enregistrement TXT DKIM, qu'il utilise pour lire la signature DKIM et authentifier l'e-mail.

Si vous utilisez des passerelles de messagerie sortantes

Les passerelles sortantes peuvent être configurées de manière à modifier les messages sortants. Par exemple, certaines passerelles sortantes ajoutent un pied de page au bas de chaque message sortant. Les messages échouent alors aux contrôles DKIM, car leur contenu est modifié après leur envoi.

Assurez-vous que les paramètres de passerelle sortante n'interfèrent pas avec DKIM en choisissant l'une des méthodes suivantes : Avant de configurer DKIM, configurez la passerelle de sorte qu'elle ne modifie pas les messages sortants ou qu'elle modifie d'abord le contenu des messages. Consultez Configurer une passerelle sortante pour traiter les e-mails sortants.

Étape 1 : Vérifiez si DKIM est déjà configuré

La procédure de vérification varie selon que vous utilisez Google Workspace : 

  • Si vous utilisez Google Workspace, suivez les instructions de cette section. 
  • Si vous n'utilisez pas Google Workspace, contactez votre fournisseur de messagerie et/ou votre FAI (si c'est lui qui envoie les e-mails). Si vous gérez votre propre adresse e-mail, utilisez l'un des outils disponibles sur Internet.
Si votre fournisseur de domaine est Google Domains ou Squarespace, Google crée automatiquement une clé DKIM et l'ajoute aux enregistrements DNS de votre domaine. Passez à la section Activer et valider DKIM.
  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Accédez à Google Admin Toolbox.
  3. Saisissez votre domaine dans le champ Nom du domaine.

    Remarque : Dans certains cas, vous devrez peut-être saisir votre sélecteur de préfixe DKIM, qui identifie de manière unique la clé DKIM. La valeur par défaut est google.

  4. Cliquez sur Lancer la vérification.
  5. Une fois le test terminé, vérifiez si l'un des messages suivants apparaît :
  • Configuration du DNS à l'aide de l'authentification DKIM : une clé DKIM est configurée pour le domaine et le sélecteur. Nous vous recommandons également de configurer DMARC.
  • DKIM n'est pas configuré : le sélecteur de préfixe que vous avez saisi ne correspond à aucune clé DKIM pour votre domaine. Configurez une nouvelle clé à l'aide du sélecteur fourni. Passez à la section Générer une paire de clés DKIM.

Étape 2 : Générez une paire de clés DKIM

  • Si vous utilisez Google Workspace, suivez les instructions de cette section. 
  • Si vous n'utilisez pas Google Workspace, utilisez un outil disponible sur Internet pour effectuer les opérations suivantes :
    • Recherchez votre sélecteur de préfixe DKIM. Vous pouvez envoyer un e-mail de test à votre boîte de réception, afficher la source du message et localiser la valeur s dans l'en-tête DKIM-Signature.
    • Spécifiez le nom de votre domaine, la longueur de la clé et le sélecteur de préfixe DKIM pour générer une paire de clés DKIM.
    • Stockez la clé privée dans la configuration de votre serveur de messagerie et ajoutez la clé publique à votre domaine.

Generate a DKIM key for your domain

Pour ce faire, vous devez être connecté en tant que super-administrateur.

Important : Dans Google Workspace, après avoir activé Gmail pour votre organisation, vous devez attendre entre 24 et 72 heures avant d'obtenir votre clé DKIM dans la console d'administration. Si vous essayez de générer une clé avant l'expiration de ce délai, un message d'erreur indiquant que l'enregistrement DKIM n'a pas été créé peut s'afficher.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Applications puis Google Workspace puis Gmail.
  3. Cliquez sur Authentifier les e-mails.
  4. Dans le menu Domaine sélectionné, choisissez le domaine pour lequel vous souhaitez configurer DKIM.
  5. Cliquez sur le bouton Générer un nouvel enregistrement.
  6. Dans la zone Générer un nouvel enregistrement, sélectionnez les paramètres de clé DKIM suivants :
    • Options concernant le nombre de bits de la clé DKIM :
      • 2 048 : sélectionnez cette option si votre fournisseur de domaine accepte les clés de 2 048 bits. Les clés avec un nombre de bits important sont plus sécurisées. Si vous disposiez auparavant d'une clé de 1 024 bits, vous pouvez passer à une clé de 2 048 bits si votre fournisseur de domaine le permet.
      • 1 024 : sélectionnez cette option si votre hébergeur de domaine n'accepte pas les clés de 2 048 bits.
    • Options du sélecteur de préfixe :
      • Le sélecteur de préfixe par défaut est google. Si vous utilisez Google Workspace, il s'agit de l'option recommandée.
      • Si votre domaine utilise déjà une clé DKIM avec le préfixe google, saisissez un autre préfixe dans ce champ. En savoir plus sur les sélecteurs DKIM
  7. Cliquez sur Générer. Sur la page "Authentifier les e-mails", la valeur de l'enregistrement TXT est mise à jour, et le message Paramètres d'authentification DKIM mis à jour s'affiche.

    Important : La page "Authentifier les e-mails" de votre console d'administration Google peut continuer d'afficher le message Vous devez mettre à jour les enregistrements DNS pour ce domaine pendant 48 heures. Si vous avez correctement ajouté votre clé DKIM sur le site de votre fournisseur de domaine, vous pouvez ignorer ce message.

  8. Copiez les valeurs DKIM affichées dans la fenêtre Authentifier les e-mails. Vous les ajouterez du côté de votre fournisseur de domaine à l'étape suivante :
      1. Nom d'hôte DNS (nom de l'enregistrement TXT) : le texte correspondant est le nom de l'enregistrement TXT DKIM que vous ajouterez aux enregistrements DNS de votre fournisseur de domaine. Saisissez ce nom dans le champ "Host" (Hôte).
      2. Valeur de l'enregistrement TXT : ce texte correspond à la clé DKIM. Vous l'ajouterez à votre enregistrement TXT DKIM. Saisissez la clé dans le champ "TXT Value" (Valeur TXT).
         
         
         
         

Étape 3 : Ajoutez la clé DKIM à votre domaine

Une fois que vous avez généré votre paire de clés DKIM, ajoutez la clé DKIM publique à votre domaine en créant un enregistrement TXT DKIM.

Pour obtenir de l'aide sur les informations de connexion à votre domaine, les paramètres ou les enregistrements TXT, contactez votre fournisseur de domaine. Google ne fournit pas d'assistance technique pour les fournisseurs de domaines tiers.

Add DKIM domain key to domain DNS records

Ajoutez la clé DKIM de la console d'administration Google aux enregistrements DNS de votre fournisseur de domaine.

  1. Connectez-vous à l'hébergeur de votre domaine. En général, il s'agit de l'entreprise qui vous a vendu le nom du domaine. Si vous ne savez pas qui est l'hébergeur de votre domaine, consultez Identifier le bureau d'enregistrement de votre domaine.
  2. Accédez à la page vous permettant de mettre à jour les enregistrements TXT DNS de votre domaine. Pour savoir comment trouver cette page, consultez la documentation de votre domaine.
  3. Ajoutez ou mettez à jour l'enregistrement TXT avec ces informations (reportez-vous à la documentation pour votre domaine) :

    Nom du champ Valeur à saisir
    Type Le type d'enregistrement est TXT.
    Hôte Le domaine (ou sous-domaine) peut également être appelé "Nom", "Nom d'hôte" ou "Alias". Si l'hôte est le même domaine (et non le sous-domaine) auquel vous ajoutez l'enregistrement TXT, spécifiez le symbole @.
    Valeur

    Chaîne qui compose l'enregistrement TXT :

    TTL (SPF et BIMI uniquement)

    La valeur TTL détermine le nombre de secondes qui s'écoulent avant que les modifications apportées à l'enregistrement soient prises en compte.

    Vous pouvez définir cette valeur sur 1 heure ou 3 600 secondes.

    Si votre domaine ne vous permet pas de modifier la valeur de ce champ, utilisez la valeur actuelle.

    Remarque : Certains fournisseurs de domaine limitent la longueur des enregistrements TXT. Si c'est le cas du vôtre, consultez Vérifier le nombre maximal de caractères autorisé pour l'enregistrement TXT de votre fournisseur de domaine.
  4. Enregistrez les modifications.
  5. Si vous utilisez des sous-domaines, demandez à votre fournisseur de domaine comment ajouter un enregistrement TXT pour les sous-domaines. 
  6. Si vous configurez DKIM pour plusieurs domaines, procédez comme suit pour chacun d'entre eux. Vous devez obtenir une clé DKIM unique dans la console d'administration pour chaque domaine.

Après avoir ajouté une clé DKIM, un délai maximal de 48 heures peut être nécessaire pour que l'authentification DKIM fonctionne.

Étape 4 : Activez et vérifiez DKIM

  • Si vous utilisez Google Workspace, suivez les instructions de cette section. 
  • Si vous n'utilisez pas Google Workspace, utilisez l'un des outils disponibles sur Internet.

Turn on DKIM signing

Après avoir ajouté votre clé DKIM auprès de votre fournisseur de domaine, activez la signature DKIM dans la console d'administration Google.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Applications puis Google Workspace puis Gmail.
  3. Cliquez sur Authentifier les e-mails.
  4. Dans le menu Domaine sélectionné, choisissez le domaine pour lequel vous souhaitez activer DKIM. 
  5. Cliquez sur Lancer l'authentification. Lorsque la configuration de DKIM est terminée et que la méthode fonctionne, l'état affiché en haut de la page indique Authentification des e-mails avec DKIM.
  6. Envoyez un e-mail à un utilisateur Gmail ou Google Workspace. (Vous ne pouvez pas vérifier que DKIM est activé en vous envoyant à vous-même un message test.)
  7. Ouvrez le message dans la boîte de réception du destinataire et localisez l'en-tête complet du message.

    Remarque : La procédure d'affichage de l'en-tête du message diffère selon l'application de messagerie. Pour afficher les en-têtes des messages dans Gmail, cliquez à côté de Répondre sur Plus puisAfficher l'original.

  8. Dans l'en-tête du message, recherchez Authentication-Results. Les services de réception utilisent différents formats pour les en-têtes de message entrants, mais les résultats DKIM ressemblent normalement à DKIM=pass ou DKIM=pass.

    Si l'en-tête de message n'inclut pas de ligne concernant DKIM, cela signifie que les messages envoyés depuis votre domaine ne sont pas signés avec DKIM :

Étapes suivantes

  • Google vous recommande également de configurer l'authentification DMARC pour votre organisation.
  • Si vous ne parvenez pas à déterminer si DKIM fonctionne ou si des messages provenant de votre domaine sont classés comme spam, consultez Résoudre les problèmes liés à DKIM.
  • Vous pouvez également configurer BIMI pour ajouter le logo de votre organisation aux messages sortants.

Articles associés


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal