DKIM (DomainKeys Identified Mail) : Définition
Aussi appelé : Signature DKIM, Authentification DKIM
Le DKIM (DomainKeys Identified Mail) est un protocole d'authentification qui ajoute une signature cryptographique à chaque email envoyé. Cette signature permet aux serveurs destinataires de vérifier que l'email provient bien du domaine indiqué et qu'il n'a pas été modifié pendant le transit. DKIM est un pilier essentiel de la délivrabilité email moderne.
Qu'est-ce que le DKIM et pourquoi est-ce important ?
Le DKIM fonctionne selon un principe de cryptographie asymétrique : votre serveur d'envoi signe chaque email avec une clé privée, et les serveurs destinataires vérifient cette signature en consultant une clé publique publiée dans vos enregistrements DNS. Si la signature correspond, l'email est authentifié ; sinon, il risque d'être rejeté ou marqué comme spam.
DKIM fait partie de la trilogie d'authentification email moderne, aux côtés de SPF (Sender Policy Framework) et DMARC (Domain-based Message Authentication). Ensemble, ces protocoles protègent contre l'usurpation d'identité (spoofing), améliorent la réputation d'expéditeur et maximisent les taux de délivrabilité. Les grands fournisseurs (Gmail, Outlook, Yahoo) exigent désormais DKIM pour accepter les emails en masse, en particulier depuis les mises à jour 2024 de Gmail et Yahoo qui imposent DKIM + SPF + DMARC pour les expéditeurs de plus de 5000 emails/jour.
Exemple concret
Une entreprise e-commerce configure DKIM via son ESP (Mailchimp, Brevo, SendGrid). L'ESP génère une paire de clés cryptographiques, fournit la clé publique à ajouter en enregistrement DNS (généralement un TXT record comme default._domainkey.votredomaine.com), et signe automatiquement tous les emails envoyés avec la clé privée. Résultat : taux de délivrabilité passant de 75% à 95%, réduction drastique des emails en spam, et conformité aux exigences Gmail/Yahoo 2024.
Questions fréquentes
Quelle est la différence entre DKIM, SPF et DMARC ?
SPF autorise les serveurs à envoyer pour votre domaine. DKIM signe cryptographiquement chaque email pour certifier son intégrité. DMARC définit la politique si SPF ou DKIM échouent (rejeter, quarantaine, rien). Les trois sont complémentaires et recommandés ensemble.
Comment configurer DKIM sur mon domaine ?
Passez par votre ESP (Mailchimp, Brevo, SendGrid) qui génère les clés. Ajoutez l'enregistrement DNS TXT fourni (ex: default._domainkey.votredomaine.com) dans votre zone DNS (OVH, Cloudflare, etc.). Vérifiez avec un test d'email ou outil comme Mail-Tester.
DKIM est-il obligatoire pour envoyer des emails ?
Pas techniquement, mais fortement recommandé. Gmail et Yahoo exigent DKIM + SPF + DMARC pour les expéditeurs de 5000+ emails/jour depuis février 2024. Sans DKIM, vos emails risquent le spam ou le rejet.
Que se passe-t-il si ma signature DKIM échoue ?
L'email peut être marqué comme spam, rejeté, ou accepté selon la politique DMARC du domaine. Un échec DKIM indique soit une mauvaise config DNS, soit une altération de l'email en transit, soit un serveur non autorisé.
Dois-je renouveler mes clés DKIM régulièrement ?
Recommandé tous les 6-12 mois pour sécurité. Certains ESP gèrent la rotation automatiquement. Assurez-vous de publier la nouvelle clé DNS avant de retirer l'ancienne pour éviter les interruptions.
Termes connexes
Besoin d'aide pour comprendre vos métriques ?
On peut vous accompagner dans l'analyse de vos données et l'optimisation de vos performances marketing.