Vérifiez les clés et signatures DKIM en quelques secondes. Validez les sélecteurs, la longueur des clés et les enregistrements TXT pour prévenir l'usurpation et les problèmes de livraison.
Saisissez votre domaine et (optionnellement) un sélecteur pour valider votre configuration DKIM.
Le vérificateur DKIM de DMARCFlow teste et vérifie la configuration DKIM de votre domaine pour s'assurer qu'elle est correctement configurée. Il confirme que les e-mails sont signés avec votre clé privée et que la signature reste intacte — garantissant l'authenticité et l'intégrité des messages.
Validez qu'une clé publique est correctement publiée sous un sélecteur et détectez les problèmes avant qu'ils n'affectent la livraison ou la sécurité.
Un enregistrement DKIM est une entrée TXT DNS contenant un sélecteur et une clé publique. Le sélecteur pointe vers la clé privée qui signe les e-mails ; la clé publique permet aux destinataires de vérifier la signature et de confirmer l'intégrité.
Analyser le domaineExemple : mailo est le sélecteur et dmarcflow.online est le domaine. v=DKIM1 marque le type d'enregistrement, k=rsa l'algorithme de clé, et p=... contient la clé publique.
DKIM ajoute une signature numérique aux e-mails sortants. Votre serveur signe avec une clé privée ; les destinataires récupèrent votre clé publique dans le DNS et vérifient la signature. Des signatures correspondantes indiquent l'authenticité ; les non-correspondances signalent un risque. Résultat : meilleure réputation et meilleur placement en boîte de réception.
Une liste de contrôle rapide pour maintenir une authentification solide et une délivrabilité élevée
Préférez des clés 2048 bits pour une meilleure sécurité et une meilleure acceptation par les principaux serveurs de messagerie.
Utilisez des sélecteurs distincts par flux de courrier (marketing, transactionnel) pour une rotation sûre.
Publiez directement des enregistrements TXT sauf si votre fournisseur exige un alias géré.
Introduisez de nouveaux sélecteurs, mettez à jour les signataires, puis supprimez les anciennes clés après la bascule.
Ce que chaque statut de vérification DKIM signifie et ce qu'il faut faire.
La signature DKIM est valide. La clé publique dans le DNS correspond à la clé privée qui a signé le message, et le contenu de l'e-mail n'a pas été modifié en transit. Votre configuration DKIM fonctionne correctement.
La signature n'a pas été vérifiée. Soit le message a été modifié après signature, soit la mauvaise clé privée a été utilisée, soit la clé publique dans le DNS ne correspond pas. Vérifiez si le corps ou les en-têtes de l'e-mail ont été modifiés — les listes de diffusion en sont une cause courante.
Aucun enregistrement TXT DKIM n'existe au sélecteur et au domaine spécifiés. Soit le sélecteur est incorrect, soit l'enregistrement n'a jamais été publié, soit il a été supprimé. Vérifiez le nom du sélecteur avec votre fournisseur de messagerie et republiez l'enregistrement.
La clé publique fait moins de 1024 bits. Les normes modernes exigent des clés RSA d'au moins 2048 bits. Les clés courtes sont considérées comme faibles et certains fournisseurs rejetteront les messages signés avec elles. Passez immédiatement à une clé 2048 bits.
La signature est présente mais le hachage du corps ne correspond pas. Le contenu de l'e-mail a été modifié après la signature — cela se produit souvent quand un relais ou une liste de diffusion ajoute un pied de page ou modifie des en-têtes. Configurez votre liste de diffusion pour casser la signature DKIM proprement plutôt que de la corrompre silencieusement.
Le lookup DNS pour l'enregistrement DKIM a expiré. C'est une erreur transitoire mais si elle se répète, cela indique un problème d'infrastructure DNS. Vérifiez la santé de votre fournisseur DNS et vérifiez si l'enregistrement est publié avec un TTL suffisamment court.
Les causes les plus fréquentes d'échecs DKIM observées dans les rapports DMARC — et leurs solutions.
Chaque signature DKIM fait référence à un sélecteur. Si vous ne connaissez pas votre sélecteur, vérifiez l'en-tête DKIM-Signature d'un e-mail envoyé — la balise s= contient le nom du sélecteur.
Correction : Utilisez le sélecteur de la documentation de votre serveur de messagerie ou fournisseur. Sélecteurs courants : google, s1, s2, default, mail.
Que DKIM passe n'est pas suffisant pour DMARC. Le domaine dans la balise DKIM d= doit être aligné avec le domaine d'en-tête From:. Si votre ESP signe avec son propre domaine plutôt que le vôtre, l'alignement échoue.
Correction : Configurez votre ESP pour signer avec votre domaine. La plupart des plateformes majeures (Mailchimp, HubSpot, SendGrid) prennent en charge la signature DKIM personnalisée.
Les messages transférés voient souvent leur corps modifié (pieds de page ajoutés, encodage modifié), ce qui casse le hachage du corps DKIM et provoque un échec. C'est un comportement attendu — ce n'est pas votre faute.
Correction : Utilisez la canonicalisation relaxée (c=relaxed/relaxed) qui tolère les changements mineurs d'espaces. Pour les scénarios de transfert, DMARC passera quand même si l'alignement SPF tient.
Lors de la rotation des clés DKIM, l'ancien sélecteur est supprimé du DNS avant que le serveur de messagerie ait basculé vers la nouvelle clé — ou le nouvel enregistrement DNS n'a pas encore été propagé.
Correction : Publiez toujours le nouveau sélecteur en premier, attendez la propagation DNS (jusqu'à 48 heures), puis basculez le serveur de messagerie pour signer avec la nouvelle clé. Seulement ensuite retirez l'ancien sélecteur.
Questions courantes sur DKIM & DMARCFlow
Des questions ? Nous avons des réponses !sélecteur._domainkey.exemple.com.