Ce que vous apprendrez dans cet article
- Pour configurer correctement Office 365 DKIM, chaque domaine personnalisé qui envoie du courrier doit avoir sa propre configuration DKIM et des enregistrements CNAME basés sur des sélecteurs publiés dans le DNS public.
- Microsoft 365 ne signe le courrier pour les domaines personnalisés qu'après avoir ajouté les entrées DNS DKIM fournies par Microsoft, puis avoir explicitement activé la signature dans la page des paramètres DKIM.
- La validation doit comprendre à la fois des contrôles DNS et l'inspection en direct des en-têtes de messages, afin que vous puissiez confirmer que le domaine applique effectivement une signature DKIM au courrier sortant.
- DKIM est plus efficace lorsqu'il est associé à SPF et DMARC dans le cadre d'une stratégie plus large de sécurité des emails Office 365.
Si vous utilisez Microsoft 365 pour envoyer des e-mails à partir d'un domaine personnalisé, DKIM est l'un des contrôles les plus importants à activer. DKIM, ou DomainKeys Identified Mail, ajoute une signature cryptographique au courrier sortant afin que les systèmes destinataires puissent vérifier l'authenticité de et l'intégrité du message.
Lorsqu'il est configuré correctement, DKIM contribue à réduire l'usurpation d'identité, à renforcer l'authentification des courriels et à améliorer la délivrabilité des courriels . Ce guide couvre les étapes clés de la configuration de DKIM dans les environnements Office 365.
Étape 1 : Confirmer les conditions préalables avant d'activer DKIM
Avant de configurer un enregistrement DKIM dans Office 365, assurez-vous que l'environnement est prêt. Le processus de Microsoft suppose que le domaine est déjà actif dans Microsoft 365 et que votre équipe peut gérer à la fois le côté DNS et le côté Microsoft 365 de la configuration.
Confirmez les points suivants avant d'aller plus loin :
- Le domaine personnalisé a déjà été ajouté et vérifié dans Microsoft 365.
- Vous avez accès au DNS public du domaine
- Vous disposez de droits d'administration suffisants dans Microsoft 365
- Vous avez identifié tous les domaines et sous-domaines personnalisés qui envoient du courrier.
- Vous comprenez que le domaine par défaut .onMicrosoft.com ne nécessite pas d'installation manuelle de DKIM.
Cette étape de planification permet d'éviter des domaines manqués, une couverture de signature incomplète et des erreurs de configuration évitables plus tard dans le processus .
Étape 2 : Générer ou afficher les clés DKIM dans Microsoft 365
Microsoft gère Office 365 DKIM par le biais de la page des paramètres DKIM sur le site Microsoft 365 security experience.
Les chemins d'administration et l'interface utilisateur de Microsoft changent au fil du temps, il est donc plus prudent de se référer à la page des paramètres DKIM dans l'environnement de sécurité Microsoft 365, qui apparaît souvent dans Microsoft 365 Defender ou dans l'expérience plus large de Microsoft Defender. Il s'agit généralement d'une meilleure option que de se fier à un chemin de clic exact.
Sélectionnez le domaine d'envoi personnalisé sur la page DKIM. Si Microsoft affiche une option permettant de créer des clés DKIM, utilisez-la. Si le bouton n'apparaît pas, passez à l'étape suivante et utilisez les valeurs de sélection déjà fournies par Microsoft pour le domaine .
À ce stade, vous devez capturer les deux valeurs basées sur les sélecteurs fournies par Microsoft. Ces derniers utilisent généralement le modèle de dénomination :
- selector1._domainkey
- selector2._domainkey
Notez qu'il ne s'agit pas d'enregistrements TXT. Il s'agit des deux enregistrements CNAME que Microsoft s'attend à ce que vous publiiez avant d'activer la signature DKIM sur . Chaque sélecteur fait office de sélecteur DKIM et Microsoft les utilise pour prendre en charge la signature et la gestion future de la clé , y compris la possibilité d'effectuer une rotation DKIM ultérieurement sans perturber le flux de courrier.
Étape 3 : Publier les deux enregistrements DKIM CNAME dans le DNS public
Utilisez les noms de sélecteurs et les valeurs cibles exacts fournis par Microsoft. Publiez les deux enregistrements du sélecteur, et non un seul. Cette adresse est un point de confusion courant car les administrateurs pensent parfois qu'un seul enregistrement suffit, alors que la configuration DKIM documentée par Microsoft ( ) prévoit l'existence de deux enregistrements.
Effectuez les modifications sur l'hôte DNS externe du domaine, et non sur le DNS interne. Selon votre fournisseur DNS, les champs peuvent être libellés comme suit :
- Hôte ou nom
- Cible ou points de repère
- TTL
Laissez le TTL à la valeur par défaut, à moins que votre organisation ne dispose d'une politique DNS spécifique. La question la plus importante est celle de la précision de . Les fautes de frappe, les doublons, les espaces supplémentaires ou la publication des enregistrements dans le mauvais contexte de domaine sont parmi les raisons les plus courantes pour lesquelles Microsoft ne peut pas détecter les enregistrements ultérieurement.
C'est également à ce niveau que les administrateurs confondent parfois DKIM et SPF. DKIM pour Microsoft 365 utilise ici des entrées CNAME, et non un enregistrement TXT comme un enregistrement SPF. SPF est une partie distincte des paramètres d'authentification de votre courrier électronique, généralement publiée sous la forme d'une entrée TXT pour Sender Policy Framework. Microsoft documente SPF séparément pour les domaines personnalisés dans Microsoft 365.
Étape 4 : Attendez la propagation du DNS, puis activez la signature DKIM
Après avoir publié les entrées DNS, attendez la propagation du DNS avant d'essayer d'activer la signature. La documentation de Microsoft indique que les enregistrements peuvent ne pas être visibles immédiatement et que le temps de propagation dépend du fournisseur DNS et du comportement existant de TTL.
Une fois que les enregistrements sont visibles de l'extérieur, retournez à la page des paramètres DKIM dans Microsoft 365, sélectionnez à nouveau le domaine, et activez la signature pour ce domaine. Dans de nombreux environnements, Microsoft indique qu'il s'agit d'activer le DKIM pour le domaine sélectionné.
Quelques minutes peuvent suffire dans certains environnements DNS, mais il est également normal que ce processus prenne de 24 à 48 heures. Si Microsoft indique qu'il ne trouve pas les entrées CNAME, ne supposez pas immédiatement que les valeurs sont erronées.
Attendez un peu, vérifiez à nouveau les enregistrements en externe, puis réessayez. Le timing DNS est l'une des raisons les plus courantes pour lesquelles les administrateurs de pensent que le processus d'office DKIM a échoué alors qu'il s'agit simplement d'un retard de propagation.
Étape 5 : Valider le fonctionnement de DKIM
Après l'activation, vérifiez à la fois le côté DNS et le flux de courrier réel.
Tout d'abord, utilisez une recherche DKIM ou DKIM record checker pour confirmer que les deux entrées d'enregistrement CNAME basées sur des sélecteurs sont correctement résolues. Ceci montre que le côté DNS est en place.
Deuxièmement, vérifiez la signature en direct. Envoyez un message de test depuis le domaine configuré vers une boîte aux lettres externe, puis inspectez les en-têtes du message . Vous souhaitez confirmer :
- Le message contient une signature DKIM
- Le résultat montre un succès DKIM
- Le domaine de signature correspond au domaine que vous avez l'intention de protéger
Il s'agit de l'étape de validation la plus importante, car un enregistrement DNS visible ne prouve pas à lui seul que l'authentification DKIM s'applique à du courrier réel ( ). Un domaine peut avoir l'enregistrement publié et néanmoins échouer si le mauvais expéditeur est testé, si le domaine n'a pas été activé correctement, ou si un autre système modifie le message en cours de route.
Étape 6 : Résoudre les problèmes courants de configuration de DKIM dans Office 365
La plupart des problèmes d'activation de DKIM se résument à quelques problèmes d'installation courants. Si Microsoft 365 ne peut pas détecter les enregistrements ou si la signature de ne semble pas fonctionner, vérifiez d'abord les points suivants :
- Confirmez que les noms des sélecteurs et les valeurs cibles correspondent exactement à la sortie de Microsoft - Même une petite faute de frappe dans le sélecteur ou la cible peut empêcher Microsoft de trouver les enregistrements.
- Assurez-vous que les enregistrements ont été ajoutés en tant que CNAME - Ces entrées doivent être publiées en tant qu'enregistrements CNAME, et non en tant qu'enregistrement TXT ou autre type de DNS.
- Vérifiez que les enregistrements existent dans la zone DNS publique correcte - Les enregistrements doivent être ajoutés à la zone DNS externe pour le domaine personnalisé correct, et non à une zone interne ou au mauvais domaine.
- Laissez plus de temps pour la propagation du DNS - Une configuration correcte peut encore échouer aux contrôles initiaux si le DNS public n'a pas encore été entièrement mis à jour à l'adresse .
- Séparez la signature Microsoft 365 des autres services d'envoi - Une configuration DKIM Microsoft 365 valide ne s'applique qu'au courrier signé par Microsoft 365. Si d'autres outils envoient du courrier à partir du même domaine, comme les CRM, les plateformes de billetterie ou les services de courrier sécurisé , ils peuvent avoir besoin de leur propre configuration DKIM et d'un examen de l'alignement.
Étape 7 : Étendre la protection au-delà de la configuration initiale
Le DKIM ne doit pas être considéré comme un contrôle autonome. Il fonctionne au mieux avec SPF et DMARC. DKIM signe le message et permet d'en confirmer l'intégrité. SPF identifie les sources de courrier approuvées pour le domaine.
DMARC applique une politique et des rapports en cas d'échec de l'authentification, ce qui rend l'usurpation d'identité plus difficile et contribue à améliorer la délivrabilité et la confiance dans le courrier électronique . Microsoft recommande explicitement d'utiliser DKIM, SPF et DMARC ensemble pour les domaines Microsoft 365.
Dans les environnements multi-domaines, répétez le processus pour chaque domaine personnalisé qui envoie du courrier à partir du locataire. Si vous gérez de nombreux domaines, PowerShell peut vous aider à échelonner le travail. Le guide DKIM de Microsoft fait référence à des vérifications de domaine basées sur PowerShell, et dans les grands environnements, les équipes utilisent souvent Exchange Online PowerShell pour l'inventaire, la validation et l'automatisation de la configuration du courrier.
Il convient également de rappeler que certains domaines non expéditeurs peuvent encore être protégés contre l'usurpation d'identité grâce à des choix de politique d'authentification plus stricts sur , en particulier une fois que DMARC dans Office 365 est en place. L'objectif n'est pas seulement de signer le courrier, mais de réduire les abus dans l'ensemble du portefeuille de domaines de l'organisation.
Mettre en place DKIM dans Office 365 dans le cadre d'une stratégie d'authentification renforcée
Pour configurer DKIM Office 365 avec succès, commencez par les bases : vérifiez le domaine, rassemblez les valeurs de sélecteur fournies par Microsoft, publiez les deux entrées CNAME requises dans le DNS public, attendez la propagation, puis activez la signature dans Microsoft 365. Ensuite, validez les résultats à l'aide de contrôles DNS et d'en-têtes de messages en direct.
Lorsqu'il est configuré correctement pour chaque domaine personnalisé, le DKIM renforce la protection du domaine, favorise la distribution du courrier électronique, et améliore la confiance dans le courrier électronique essentiel pour les entreprises. Et lorsqu'il est associé à SPF et DMARC, il fait partie d'une base de sécurité du courrier électronique beaucoup plus efficace ( ).