Vous analysez les en-têtes d’un email envoyé via votre ESP (Brevo, Mailchimp, SendGrid…) et vous remarquez deux signatures DKIM distinctes : une avec votre domaine, une avec celui de l’ESP. Est-ce normal ? Absolument, et c’est même souhaitable.

Ce que ça donne dans les headers

Voici un exemple typique d’Authentication-Results :

Authentication-Results: mx.google.com;
  dkim=pass header.i=@votredomaine.com header.s=mail header.b=xjAWgYt1;
  dkim=pass header.i=@esp-domaine.com header.s=mail header.b=zNRqfud1;
  spf=pass ...
  dmarc=pass (p=REJECT) header.from=votredomaine.com

Et deux blocs DKIM-Signature: dans le message : un avec d=votredomaine.com, l’autre avec d=esp-domaine.com.

Pourquoi votre domaine signe

La première signature, celle qui utilise votre domaine (d=votredomaine.com), sert à :

  • Prouver l’authenticité : le serveur destinataire peut vérifier que le message n’a pas été modifié
  • Satisfaire l’alignement DMARC : le domaine d= de la signature doit correspondre au domaine From: pour que DMARC passe
  • Construire votre réputation de domaine : les fournisseurs de messagerie associent la qualité de vos envois à votre domaine signataire

Pour en savoir plus sur le fonctionnement de DKIM, consultez notre guide DKIM complet.

Pourquoi l’ESP ajoute sa propre signature

La deuxième signature, avec le domaine de l’ESP, existe pour une raison précise : les Feedback Loops (FBL).

Le problème des FBL classiques

La plupart des programmes FBL sont basés sur l’IP. L’ESP inscrit ses IP d’envoi auprès des fournisseurs (Outlook, La Poste, etc.) et reçoit un rapport à chaque fois qu’un destinataire marque un message comme spam.

L’exception Gmail et Yahoo

Gmail et Yahoo (anciennement Verizon Media Group, incluant AOL) fonctionnent différemment : leurs programmes FBL sont basés sur le domaine DKIM, pas sur l’IP.

Concrètement :

  • Gmail : si vous inscrivez votre domaine sur Google Postmaster Tools, vous accédez aux taux de plaintes associés à votre domaine DKIM
  • Yahoo/AOL : le programme FBL envoie les plaintes au format ARF au propriétaire du domaine DKIM

Le problème : votre ESP a aussi besoin de recevoir ces plaintes pour bloquer les destinataires mécontents et vous éviter des envois futurs vers des personnes qui ne veulent plus de vos emails.

Solution : l’ESP ajoute une seconde signature DKIM avec son propre domaine, déjà inscrit sur Google Postmaster Tools et le programme FBL Yahoo. Ainsi, les deux parties reçoivent les plaintes.

Impact sur DMARC

Toutes les signatures DKIM présentes sur un email sont évaluées par le serveur destinataire. Cependant, pour l’alignement DMARC, seule la signature dont le domaine d= correspond au domaine From: est prise en compte.

SignatureDomaine d=Utilisée pour DMARC ?
La vôtrevotredomaine.comOui (s’aligne avec From:)
Celle de l’ESPesp-domaine.comNon (pas d’alignement)

La signature de l’ESP n’interfère pas avec votre DMARC. Elle coexiste silencieusement pour les besoins de FBL.

Comment vérifier vos signatures DKIM

  1. Header Analyzer : collez les en-têtes d’un email reçu pour voir toutes les signatures DKIM et leur résultat
  2. DKIM Checker : vérifiez que votre record DNS DKIM est correctement publié
  3. Audit gratuit : envoyez un email de test pour valider l’ensemble de votre configuration

Que faire si vous ne voyez qu’une seule signature ?

Si seul le domaine de l’ESP apparaît dans la signature DKIM, cela signifie que vous n’avez pas activé DKIM avec votre propre domaine chez votre ESP. Conséquences :

  • DMARC échouera sur l’alignement DKIM (le d= ne correspond pas à votre From:)
  • Votre réputation de domaine ne se construit pas
  • Vous dépendez entièrement de la réputation IP de l’ESP

La plupart des ESP proposent une option pour signer avec votre domaine. Cherchez dans les paramètres : “Authentifier votre domaine”, “DKIM personnalisé”, ou “Domain authentication”. Cela implique généralement d’ajouter un enregistrement CNAME ou TXT dans votre zone DNS.

Pour aller plus loin