.
Mimecast Logo
Obtenir un devis

    Sélecteurs DKIM : de quoi s'agit-il et comment les trouver ?

    Le sélecteur DKIM identifie la clé utilisée pour la signature des e-mails. Découvrez comment fonctionnent les sélecteurs et comment les repérer et les gérer correctement.
    Essai gratuit de DMARC
    Sélecteur DKIM
    Essai gratuit de DMARC
    Points clés

    Ce que vous apprendrez dans cet article

    • Un sélecteur DKIM est l'identifiant figurant dans la balise « s= » de l'en-tête de signature DKIM. Cela indique au serveur destinataire quel enregistrement DNS interroger pour obtenir la bonne clé publique.
    • Le protocole DKIM fonctionne en signant les e-mails sortants à l'aide d'une clé privée, puis en validant la signature à l'aide de la clé publique correspondante publiée dans le DNS.
    • Pour identifier un sélecteur DKIM, les équipes examinent généralement les en-têtes des messages, consultent les paramètres d'administration du fournisseur de messagerie, utilisent un outil de vérification DKIM ou analysent les données de surveillance DMARC .
    • Les organisations utilisent souvent plusieurs sélecteurs DKIM pour séparer les flux de messagerie, prendre en charge différentes plateformes d'envoi et effectuer la rotation des clés sans interrompre l'authentification.
    • La publication des enregistrements TXT et CNAME permet toutes deux de prendre en charge un DKIM valide. Le choix approprié dépend de la mise en œuvre du fournisseur d'envoi ; les équipes doivent donc respecter exactement le type d'enregistrement requis par la plateforme.

    Comment fonctionne le protocole DKIM ?

    Le protocole DKIM, abréviation de « DomainKeys Identified Mail », ajoute une signature numérique à un e-mail sortant afin que le serveur destinataire puisse vérifier que le message provient bien d'un expéditeur autorisé et qu'il n'a pas été modifié après sa signature. Le système émetteur signe les parties du message électronique à l'aide d'une clé privée, et le destinataire recherche la clé publique correspondante dans le DNS afin de valider la signature.

    Les principaux éléments sont simples. La clé privée reste sur la plateforme d'envoi et est utilisée pour la signature DKIM. La clé publique est publiée dans le DNS afin que le serveur de messagerie destinataire puisse effectuer l'authentification DKIM. L'en-tête de signature DKIM « » inclut également le domaine expéditeur dans la balise « d= », qui indique aux destinataires quel domaine assume la responsabilité de la signature.

    Qu'est-ce qu'un sélecteur DKIM ?

    Un sélecteur DKIM est l'identifiant qui renvoie à la clé publique DKIM appropriée. Il apparaît dans l'attribut « s= » de l'en-tête « DKIM-Signature » de l' et permet au serveur destinataire de savoir quel enregistrement DNS interroger. Sans ce sélecteur, le serveur ne saurait pas quel enregistrement DKIM utiliser pour la vérification.

    Cela permet de distinguer le sélecteur des autres éléments du protocole DKIM. Le sélecteur n'est pas le même que le domaine d'origine indiqué dans la balise « d= » de l' . La valeur « d= » identifie le domaine associé à la signature DKIM, tandis que le sélecteur indique quelle clé, parmi celles disponibles à l'adresse , doit être utilisée pour ce domaine. Ensemble, ils pilotent la recherche DNS qui permet la validation DKIM. 

    Il est facile de confondre ces termes ; voici donc comment les distinguer :

    • Clé DKIM : la paire de clés cryptographiques utilisée pour la signature et la vérification.
    • Enregistrement DKIM : l'enregistrement DNS qui publie la clé publique.
    • Protocole DKIM : méthode d'authentification plus générale qui définit le fonctionnement de la signature et de la vérification.
    • Sélecteur DKIM : l'étiquette qui pointe vers l'enregistrement de clé publique approprié.

    Comment fonctionne un sélecteur DKIM ?

    Le sélecteur intervient dans le processus de signature et de vérification DKIM. Chaque étape est simple en soi, mais prises dans leur ensemble , elles expliquent pourquoi le sélecteur est important :

    1. Le serveur émetteur signe le message

    Le système d'envoi applique une signature DKIM au courriel sortant à l'aide de sa clé privée. Cette signature est ajoutée à dans l'en-tête de l'e-mail. 

    2. Le sélecteur identifie la clé correspondante

    L'en-tête « DKIM-Signature » contient une valeur « s= ». Ce sélecteur indique aux destinataires quelle clé publique correspond à la signature utilisée dans le message. 

    3. Le serveur destinataire effectue la recherche DNS

    Le serveur destinataire associe le sélecteur au domaine figurant dans la balise « d= » afin de construire la requête DNS. En pratique, la recherche « » suit généralement le format « selector._domainkey.domain ». 

    4. La clé publique est renvoyée et utilisée à des fins de vérification

    Si l'enregistrement DNS correspondant est résolu, le serveur destinataire récupère la clé publique et l'utilise pour valider la signature DKIM . Si la signature est valide, l'authentification DKIM est réussie. 

    SPF DKIM DMARC Checker

    Les outils gratuits de vérification SPF, DKIM, BIMI et DMARC de Mimecast offrent aux équipes de sécurité et d'informatique un moyen rapide de vérifier la santé du domaine et d'identifier les mauvaises configurations.
    Vérifier maintenant

    Comment trouver un sélecteur DKIM ?

    Il existe plusieurs méthodes courantes pour trouver un sélecteur DKIM. Certaines sont manuelles, tandis que d'autres reposent sur des paramètres d'administration ou des outils de surveillance d' .

    Méthode A : Vérifier manuellement l'en-tête de l'e-mail

    L'une des méthodes les plus simples consiste à examiner l'en-tête de l'e-mail et à rechercher la valeur « s= » dans l'en-tête « DKIM-Signature ». Il s'agit du champ de sélection.

    Dans Gmail, ouvrez le message, sélectionnez « Afficher l'original », puis examinez les données d'authentification et les en-têtes bruts. Dans Microsoft Outlook, ouvrez les propriétés du message ou les en-têtes Internet et recherchez la ligne « DKIM-Signature ». Dans les deux cas, le sélecteur « » apparaît comme valeur après « s= ».

    Méthode B : Consultez votre fournisseur de messagerie ou la console d'administration

    De nombreuses plateformes affichent le sélecteur dans leurs écrans de configuration DKIM. Dans Google Workspace, les administrateurs génèrent la clé DKIM et le sélecteur « » depuis la console d'administration pour l'authentification Gmail. Microsoft 365 fournit également des informations sur les sélecteurs lorsque DKIM est configuré pour les domaines personnalisés.

    Méthode C : Utiliser un outil de recherche ou de vérification DKIM

    Un outil de vérification DKIM peut également vous aider à identifier ou à valider le sélecteur. L'outil de vérification des enregistrements DKIM de Mimecast, disponible à l'adresse, vous demande le sélecteur et le nom de domaine, puis vérifie si l'enregistrement est correctement configuré et visible dans le DNS. Cette s'avère utile pour le dépannage ou pour vérifier le bon fonctionnement d'une configuration DKIM en production.

    Méthode D : Utiliser la surveillance et le reporting DMARC

    Les outils de surveillance DMARC peuvent permettre de mettre en évidence les schémas DKIM au sein des domaines et des flux de messagerie. Le rapport agrégé ne remplace pas une vérification DKIM directe, mais il peut aider les équipes à identifier quels expéditeurs signent leurs messages, quels flux rencontrent des problèmes, et où apparaissent les différents sélecteurs DKIM au sein de l'environnement.

    Conventions courantes de nommage des sélecteurs

    Les sélecteurs se présentent généralement sous la forme « sélecteur._domainkey.domain ». De nombreuses organisations utilisent des noms descriptifs liés à le prestataire, l'objectif ou le calendrier de rotation. Les sélecteurs courants peuvent faire référence à une plateforme, à un environnement ou à une séquence, tels que « google », « selector1 », « selector2 », « mktg2026 » ou encore à une étiquette propre à un fournisseur. La meilleure pratique, c'est la cohérence. Un nom de sélecteur descriptif est plus facile à suivre, à faire tourner et à dépanner par la suite.

    Comment configurer et publier un sélecteur DKIM

    La procédure de publication d'un DKIM est généralement rapide, mais la précision est essentielle. Même de petites erreurs dans le sélecteur ou dans l'enregistrement DNS « » peuvent empêcher les serveurs destinataires de valider correctement la signature.

    Étape 1 : Choisissez ou générez le sélecteur

    Commencez par choisir un nom de sélecteur unique qui corresponde à la configuration DKIM de la plateforme d'envoi. Certaines plateformes génèrent automatiquement cette « » pour vous. D'autres vous permettent de le définir manuellement.

    Étape 2 : Générer ou récupérer les informations relatives à la clé DKIM

    Veuillez vous procurer le sélecteur, le type d'enregistrement et la valeur DNS auprès de votre fournisseur de messagerie. Cela peut inclure un enregistrement TXT contenant la clé publique ou un enregistrement CNAME pointant vers une autre adresse, selon la plateforme.

    Étape 3 : Créer le nom d'hôte DNS

    Formatez le nom d'hôte sous la forme « selector._domainkey.domain ». Voici les informations que le serveur destinataire va demander lors de la vérification de l' DKIM.

    Étape 4 : Publier l'enregistrement DKIM dans le DNS public

    Veuillez saisir le nom d'hôte et la valeur exacts auprès du fournisseur DNS du domaine. Cette étape doit utiliser le type d'enregistrement et l' s de valeur requis par la plateforme émettrice.

    Étape 5 : Activez la signature DKIM dans la plateforme d'envoi

    Une fois l'enregistrement DNS mis en place, activez la signature DKIM auprès de votre fournisseur de messagerie. La simple publication de l'enregistrement ne garantit pas que les e-mails en temps réel soient signés.

    Étape 6 : Vérifiez que le sélecteur fonctionne

    Vérifiez la résolution DNS, puis examinez les messages en temps réel pour confirmer que les résultats de la validation DKIM sont corrects. Un enregistrement présent dans le DNS est utile, mais dans la pratique, les e-mails réels doivent tout de même passer la validation DKIM.

    Gestion des sélecteurs DKIM

    Les sélecteurs DKIM ne constituent pas une configuration ponctuelle. Il convient de les surveiller dans le cadre d'une politique d'authentification des e-mails rigoureuse, en particulier dans les environnements utilisant Google Workspace, Microsoft 365, Amazon SES et plusieurs expéditeurs tiers.

    Une bonne documentation permet de maintenir une gestion structurée des sélecteurs au fil du temps. Les équipes doivent consigner le nom du sélecteur, le domaine, l' le service d'envoi, la longueur de la clé, la date de publication et le calendrier prévu pour la rotation des clés. La visibilité en continu est également importante, et un outil de reporting DMARC peut aider les équipes à repérer les sources défaillantes, les problèmes liés aux sélecteurs et les failles d'authentification récurrentes dans les différents flux de messagerie.

    Le cycle de vie d'un sélecteur DKIM fonctionnant correctement comprend généralement :

    • Planification du sélecteur et de la convention de nommage
    • Publication de l'enregistrement
    • Activation de la signature
    • Rotation des clés au fil du temps<
    • Passer en revue les anciens sélecteurs avant de les mettre hors service

    Les anciens sélecteurs ne doivent pas être supprimés tant que les équipes n'ont pas confirmé qu'aucun flux de messagerie actif ne dépend plus d'eux. La suppression prématurée d'un sélecteur « » peut entraver l'authentification DKIM pour les systèmes qui continuent à signer avec celui-ci.

    Pourquoi les organisations utilisent-elles plusieurs sélecteurs DKIM ?

    Les organisations utilisent souvent plusieurs sélecteurs DKIM, car un même domaine peut prendre en charge plusieurs services d'envoi ou flux d' s par e-mail. Microsoft 365, Google Workspace, Amazon SES et les plateformes tierces peuvent chacune utiliser des sélecteurs distincts, et il en va de même pour différents types d'e-mails, tels que les e-mails marketing et transactionnels.

    Les sélecteurs multiples facilitent également la gestion des clés. Elles permettent une rotation plus fluide des clés, des changements progressifs, des tests ainsi que des transitions entre fournisseurs d' , sans interrompre l'authentification du courrier. Il est courant d'utiliser plusieurs sélecteurs. Le véritable enjeu ne réside pas dans le nombre de sélecteurs, mais dans le fait de savoir si chacun d'entre eux est correctement publié et associé au service d'envoi approprié.

    Signature DKIM : enregistrements TXT et CNAME

    Le DKIM peut être mis en place à l'aide de modèles basés sur TXT ou sur CNAME.

    DKIM basé sur le format TXT

    Avec le protocole DKIM basé sur les enregistrements TXT, la clé publique est publiée directement dans le DNS du domaine sous la forme d'un enregistrement DNS de type TXT. C'est courant sur les plateformes de type « » telles que Google Workspace, où le propriétaire du domaine publie directement les clés DKIM.

    DKIM basé sur CNAME

    Avec le DKIM basé sur CNAME, l'enregistrement de sélecteur pointe vers un autre domaine qui héberge les clés DKIM. , de Microsoft 365, utilise couramment ce modèle et nécessite des enregistrements CNAME pour DKIM sur les domaines personnalisés.

    Ces deux modèles prennent en charge l'authentification DKIM valide. La règle principale consiste à respecter scrupuleusement le type et le format d'enregistrement exigés par le fournisseur de messagerie. Les équipes ne doivent pas imposer l'utilisation d'enregistrements TXT ou CNAME en fonction de leurs préférences si le fournisseur s'attend à autre chose.

    Problèmes courants liés au sélecteur DKIM : dépannage de &

    Les problèmes liés au sélecteur sont généralement faciles à résoudre dès lors que les équipes savent où chercher. Parmi les problèmes les plus courants, on peut citer :

    • Incohérence entre le sélecteur figurant dans l'en-tête de l'e-mail et celui publié dans le DNS
    • Enregistrement DKIM manquant ou obsolète
    • Enregistrement DNS incorrect
    • Le « Selector » est toujours utilisé alors que les équipes pensaient qu'il avait été abandonné

    Ces erreurs peuvent entraver les vérifications DKIM, contribuer à une mauvaise configuration DMARC() et nuire à la délivrabilité des e-mails. Elles peuvent également entamer la confiance accordée à l'expéditeur au fil du temps si les échecs d'authentification se répètent de manière dans les flux de messagerie importants. La solution pratique consiste à comparer côte à côte l'en-tête de signature DKIM en temps réel, l'enregistrement DNS « » et la configuration DKIM de la plateforme d'envoi avant d'effectuer des modifications.

    Veiller à ce que la vérification DKIM soit correctement orientée

    Les sélecteurs DKIM jouent un rôle simple mais important dans l'authentification des e-mails. Ils aident les serveurs destinataires à trouver la clé publique appropriée pour la vérification DKIM, ce qui permet de garantir que la vérification de la signature soit bien associée à l'enregistrement DNS et au domaine corrects.

    Pour les organisations gérant des environnements d'envoi complexes, Mimecast peut vous aider à améliorer la visibilité sur l', le DKIM, le SPF et le DMARC, tous domaines, fournisseurs et flux de messagerie confondus. Des outils tels que « DKIM Record Checker » et « DMARC Analyzer » sont particulièrement utiles pour détecter les problèmes liés aux sélecteurs, les lacunes en matière de signature et les problèmes d'authentification plus généraux.

    Découvrez Mimecast DMARC Analyzer

    Ressources connexes sur les sélecteurs DKIM

    Resources_47.jpg
    Email & Collaboration Threat Protection

    Get More from Microsoft 365 with Mimecast

    Infographic
    Resources_12.jpg
    Email & Collaboration Threat Protection

    Email Security: API-Based Proof of Value

    Datasheet
    tumbnail_senata.png
    Email & Collaboration Threat Protection

    How senata Took Back Control of Email Security with Mimecast

    Case Study
    Haut de la page