Ce que vous apprendrez dans cet article
- Un domaine peut avoir plusieurs enregistrements DKIM à condition que chacun d'entre eux utilise un sélecteur unique.
- Les enregistrements multiples sont courants dans les environnements de messagerie modernes où différentes plateformes, telles que Google Workspace, Microsoft 365, les CRM et les outils de marketing, envoient toutes du courrier à partir du même domaine.
- C'est le sélecteur DKIM qui rend cela possible, car chaque sélecteur pointe vers un enregistrement DNS distinct avec sa propre clé publique.
- Bien géré, le DKIM permet une authentification plus forte des messages électroniques, une meilleure délivrabilité des messages et une plus grande fiabilité des domaines dans les communications électroniques critiques pour l'entreprise.
Les organisations modernes envoient rarement tous leurs courriels à partir d'un seul endroit. Les plateformes de marketing, les systèmes d'assistance, les suites de productivité et les outils transactionnels peuvent tous envoyer du courrier à partir du même domaine.
Cela soulève une question fréquente : pouvez-vous publier plusieurs enregistrements DKIM sur un même domaine ? Oui, vous pouvez, et dans de nombreux cas, vous devriez. La clé est de comprendre comment fonctionnent les sélecteurs et comment les gérer proprement à l'échelle.
Qu'est-ce que DKIM ?
DKIM, ou DomainKeys Identified Mail, est une méthode d'authentification du courrier électronique qui permet de vérifier qu'un message a été envoyé par un domaine autorisé et qu'il n'a pas été modifié en cours de route ( ).
Il s'agit d'ajouter une signature numérique au courrier électronique sortant. Le service d'envoi signe le message à l'aide d'une clé privée, , et le serveur de réception le vérifie à l'aide d'une clé publique correspondante publiée dans le DNS.
Pour les organisations, DKIM permet de protéger l'intégrité des messages, de renforcer la confiance dans les domaines et de soutenir les efforts de sécurité du courrier électronique sur le site. Il fonctionne également avec SPF et DMARC pour améliorer les résultats de l'authentification.
Un enregistrement DKIM est l'entrée DNS qui publie la clé publique utilisée pour vérifier la signature DKIM d'un message . Il est généralement publié sous la forme d'un enregistrement TXT dans un sous-domaine basé sur un sélecteur, par exemple :
|
selector1._domainkey.example.com IN TXT "v=DKIM1 ; k=rsa ; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ...." |
Dans cet exemple, selector1 est le sélecteur DKIM, qui indique au destinataire la clé à rechercher. Les sélecteurs permettent de publier plusieurs enregistrements DKIM sur le même domaine, ce qui aide les organisations à séparer les services d'envoi, à faire pivoter les clés et à gérer l'authentification plus proprement.
Puis-je avoir plusieurs enregistrements DKIM sur le même domaine ?
Oui. Vous pouvez publier en toute sécurité plusieurs enregistrements DKIM sur le même domaine, et il s'agit d'une configuration normale pour de nombreuses organisations .
La raison pour laquelle cela fonctionne est simple : Les enregistrements DKIM ne se trouvent pas tous dans un espace de noms plat. Chacun d'entre eux est lié à un sélecteur différent, de sorte que chaque enregistrement se trouve à son propre emplacement DNS. Cette séparation permet d'éviter les conflits directs.
Par exemple, un domaine peut avoir :
- mktg._domainkey.example.com
- support._domainkey.example.com
- espace de travail._domainkey.example.com
Chacun d'entre eux est un enregistrement DKIM distinct, même s'ils appartiennent tous au même domaine.
Qu'est-ce qui constitue une configuration valide ?
Une configuration DKIM valide utilise :
- Un sélecteur unique par service d'envoi ou cas d'utilisation
- Une clé publique par sélecteur
- Une correspondance claire entre le sélecteur et la plate-forme d'envoi qui l'utilise
Ce qui pose problème, c'est le fait de ne pas avoir d'enregistrements multiples en général. Le problème commence généralement lorsque deux systèmes différents essaient d'utiliser le même sélecteur, ou lorsque des entrées DNS en double existent pour le même sélecteur. Cela peut entraîner des échecs de la vérification , des résultats de recherche DNS ambigus ou une authentification DKIM erronée.
La règle de sécurité est donc la suivante : Les enregistrements DKIM multiples sont acceptables si chacun d'entre eux utilise un sélecteur unique.
Quand les organisations peuvent-elles utiliser plusieurs enregistrements DKIM ?
De nombreuses organisations ont besoin de plus d'un enregistrement DKIM car l'infrastructure de messagerie moderne est répartie entre de nombreux outils et équipes.
Les exemples les plus courants sont les suivants :
- Microsoft 365 pour le courrier des employés
- Google Workspace pour la communication professionnelle
- Plateformes d'automatisation du marketing
- Systèmes de gestion de la relation client (CRM)
- Outils d'assistance ou de billetterie
- Systèmes de facturation ou de courrier transactionnel
Ces services envoient souvent différents types de courrier électronique à partir du même domaine ou de plusieurs domaines apparentés, et chaque peut nécessiter sa propre clé DKIM.
Les entreprises séparent également les sélecteurs par flux de courrier, comme les courriels transactionnels, les messages de marketing, l'infrastructure d'envoi régionale , ou la communication par courriel des cadres ou des personnes de confiance. Cela présente une réelle valeur opérationnelle, car la séparation des sélecteurs facilite la tâche :
- Attribuer la propriété par plate-forme ou par équipe
- Isolez les problèmes lorsqu'un message échoue à l'authentification.
- Rotation d'une touche sans interruption d'un autre service
- Gardez un meilleur contrôle dans les environnements informatiques décentralisés
En d'autres termes, les clés DKIM multiples sont souvent le reflet du fonctionnement réel du courrier électronique dans les environnements d'entreprise aujourd'hui.
Comment ajouter plusieurs enregistrements DKIM
L'ajout de plusieurs enregistrements DKIM est généralement simple, mais il doit être effectué dans un ordre contrôlé.
1. Inventorier tous les expéditeurs autorisés
Commencez par identifier tous les systèmes autorisés à envoyer du courrier électronique à partir du domaine. Il s'agit notamment des principales plateformes de courrier électronique, des outils de marketing , des systèmes d'assistance et des applications tierces. Si vous sautez cette étape, vous risquez d'activer DKIM pour un expéditeur tout en laissant les autres non authentifiés.
2. Générez ou obtenez la clé DKIM pour chaque expéditeur.
Chaque plateforme d'envoi génère sa propre paire de clés ou vous demande d'en créer une. L'expéditeur utilise la clé privée pour la signature DKIM, tandis que la clé publique correspondante est publiée dans le DNS.
3. Attribuez un sélecteur différent à chaque service
Chaque expéditeur doit utiliser un sélecteur différent. C'est ce qui permet à plusieurs sélecteurs de coexister sur le même domaine en toute sécurité. Les noms des sélecteurs doivent être clairs et cohérents. Par exemple :
- m365
- crm
- marketing-us
4. Publier les enregistrements DNS
Pour chaque expéditeur, ajoutez l'enregistrement DNS TXT correspondant à la configuration DNS de votre domaine. Chaque sélecteur doit diriger vers sa propre clé publique.
5. Activez DKIM dans la plate-forme d'envoi
Une fois le DNS publié, activez le DKIM dans les paramètres de l'application d'envoi ou du serveur de messagerie afin qu'il commence à signer les messages avec ce sélecteur.
6. Validez la configuration
Utilisez un vérificateur d'enregistrements DKIM sur ou inspectez l'en-tête d'un message test pour confirmer que le sélecteur est utilisé et que la signature valide correctement .
7. Documenter la propriété et les changements
Dans les entreprises, la gouvernance est aussi importante que la configuration technique. Tenez des registres :
- Conventions d'appellation des sélecteurs
- Propriétaire d'entreprise ou propriétaire technique pour chaque sélecteur
- Modifier l'historique
- Dates clés de la rotation
La coordination entre les équipes chargées du DNS, du courrier électronique et de la sécurité réduit le risque de défaillances silencieuses.
Bonnes pratiques pour la gestion de plusieurs enregistrements DKIM à grande échelle
À mesure que le nombre d'expéditeurs augmente, DKIM devient moins une question de configuration simple et plus une question de gestion du cycle de vie. Quelques bonnes pratiques font une grande différence.
Utilisez des clés solides et faites-les tourner régulièrement
Des clés anciennes ou faibles créent des risques inutiles. La rotation régulière des clés permet de maintenir la confiance et de limiter les risques en cas de compromission d'une clé ( ).
Utiliser des sélecteurs par service
Évitez d'utiliser un seul sélecteur dans plusieurs systèmes. Les sélecteurs par service facilitent le dépannage et réduisent le rayon d'action des erreurs de configuration.
Veiller à la cohérence des noms des sélecteurs
Une convention de dénomination permet aux équipes de comprendre rapidement à quoi sert chaque sélecteur. Ce point est d'autant plus important que le nombre d'enregistrements multiples augmente.
Maintenir un inventaire centralisé des expéditeurs
Vous devez savoir quel service envoie à partir de quel domaine, quel sélecteur il utilise, s'il signe avec DKIM, et si il s'aligne également sur votre enregistrement SPF et votre enregistrement DMARC .
Nettoyer les enregistrements inutilisés
Les anciens sélecteurs des systèmes obsolètes ne doivent pas rester éternellement dans le DNS. La suppression des entrées périmées réduit l'encombrement et rend le suivi de plus précis.
Contrôler les performances de l'authentification
La gestion de DKIM devrait faire partie d'un contrôle plus large, et non pas être une tâche que l'on fixe et que l'on oublie. Des audits réguliers vous permettent d'attraper :
- Signatures manquées
- Les clés expirées ou renouvelées ne sont pas mises à jour dans le DNS
- Expéditeurs non autorisés
- Problèmes d'alignement affectant la faisabilité
C'est là que DKIM devient un élément d'une stratégie plus large d'authentification et de réduction des risques humains, plutôt qu'une simple case à cocher technique sur le site .
Plusieurs enregistrements DKIM peuvent renforcer l'authentification s'ils sont bien gérés
Vous pouvez avoir plusieurs enregistrements DKIM sur le même domaine, et dans de nombreuses organisations, c'est la bonne approche. L'exigence de la clé est simple : chaque enregistrement doit utiliser un sélecteur unique.
Lorsque les sélecteurs sont bien gérés, DKIM permet d'assurer l'intégrité des messages, de renforcer la confiance dans les domaines et de rendre plus fiable l'authentification du courrier électronique dans les environnements d'envoi modernes basés sur l'informatique en nuage.