Anatomie d'une signature DKIM : chaque champ décrypté

Fri, 20 Mar 2026 00:00:00 +0000

Vous savez que DKIM signe vos emails. Mais que contient exactement cet en-tête DKIM-Signature ? Décortiquons chaque champ et suivons le processus de vérification de bout en bout.

Un en-tête DKIM réel, disséqué

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=example.com; s=selector2024;
 h=from:to:subject:date:mime-version:content-type;
 bh=2jUSOH9NhtVGCQWNr9BrIAPreKQjO6Sn7XIkfJVOzv8=;
 t=1714123456;
 b=dHJ5aW5nIHRvIHJlYWQgdGhpcyBzaWduYXR1cmU/IE5pY2Ug
 dHJ5IDspIFRoaXMgaXMganVzdCBhIGR1bW15IGV4YW1wbGU=

Chaque champ expliqué

`v=1` : version

La version du protocole DKIM. Il n’existe qu’une seule version (1), définie par la RFC 6376. Ce champ est obligatoire.

`a=rsa-sha256` : algorithme

Deux éléments combinés :

Taille de clé DKIM RSA : 1024 vs 2048 bits et l'avenir avec Ed25519

Thu, 12 Mar 2026 00:00:00 +0000

Votre configuration DKIM fonctionne, les signatures passent. Mais avez-vous vérifié la taille de votre clé RSA ? Une clé trop courte est une bombe à retardement : elle pourrait être cassée, permettant à un attaquant de signer des emails en votre nom.

L’histoire des clés DKIM : de 512 à 2048 bits

2012 : la fin des clés 512 bits

En 2012, des chercheurs ont démontré qu’une clé RSA 512 bits pouvait être cassée en moins de 72 heures avec de la puissance cloud bon marché. Résultat : n’importe qui pouvait usurper un domaine utilisant une clé 512 bits et envoyer des emails parfaitement signés DKIM.

Cryptographie on Sender Audit Blog