DKIM on Sender Audit Blog

Email et DNS : tous les records que vous devez connaître

Fri, 24 Apr 2026 00:00:00 +0000

Le DNS est le socle invisible de l’email. Sans les bons enregistrements, vos emails ne seront pas délivrés, pas authentifiés, ou pas chiffrés. Voici tous les records DNS qu’un domaine d’envoi doit connaître et configurer.

Vue d’ensemble

Record	Type	Rôle
MX	MX	Où livrer les emails pour votre domaine
SPF	TXT	Qui peut envoyer pour votre domaine
DKIM	TXT/CNAME	Clé publique pour vérifier les signatures
DMARC	TXT	Politique d’alignement SPF + DKIM
MTA-STS	TXT + HTTPS	Forcer le chiffrement TLS
TLS-RPT	TXT	Rapports sur les échecs TLS
BIMI	TXT	Logo vérifié dans la boîte de réception
PTR	PTR	Reverse DNS de vos IP d’envoi

MX : où livrer les emails

Le record MX (Mail Exchange) indique quels serveurs reçoivent les emails pour votre domaine.

Les en-têtes email décryptés : de Received à ARC

Fri, 17 Apr 2026 00:00:00 +0000

Les en-têtes d’un email contiennent toute l’histoire de son parcours : qui l’a envoyé, par quels serveurs il est passé, si l’authentification a réussi, et pourquoi il a atterri en spam. Savoir les lire, c’est savoir diagnostiquer.

Comment accéder aux en-têtes

Gmail : ouvrez l’email → ⋮ → “Afficher l’original”
Outlook : ouvrez l’email → Fichier → Propriétés → “En-têtes Internet”
Apple Mail : Présentation → Message → Tous les en-têtes
Thunderbird : Affichage → Code source du message

Ou collez-les directement dans le Header Analyzer de Sender Audit pour une analyse visuelle.

Anatomie d'une signature DKIM : chaque champ décrypté

Fri, 20 Mar 2026 00:00:00 +0000

Vous savez que DKIM signe vos emails. Mais que contient exactement cet en-tête DKIM-Signature ? Décortiquons chaque champ et suivons le processus de vérification de bout en bout.

Un en-tête DKIM réel, disséqué

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=example.com; s=selector2024;
 h=from:to:subject:date:mime-version:content-type;
 bh=2jUSOH9NhtVGCQWNr9BrIAPreKQjO6Sn7XIkfJVOzv8=;
 t=1714123456;
 b=dHJ5aW5nIHRvIHJlYWQgdGhpcyBzaWduYXR1cmU/IE5pY2Ug
 dHJ5IDspIFRoaXMgaXMganVzdCBhIGR1bW15IGV4YW1wbGU=

Chaque champ expliqué

`v=1` : version

La version du protocole DKIM. Il n’existe qu’une seule version (1), définie par la RFC 6376. Ce champ est obligatoire.

`a=rsa-sha256` : algorithme

Deux éléments combinés :

Taille de clé DKIM RSA : 1024 vs 2048 bits et l'avenir avec Ed25519

Thu, 12 Mar 2026 00:00:00 +0000

Votre configuration DKIM fonctionne, les signatures passent. Mais avez-vous vérifié la taille de votre clé RSA ? Une clé trop courte est une bombe à retardement : elle pourrait être cassée, permettant à un attaquant de signer des emails en votre nom.

L’histoire des clés DKIM : de 512 à 2048 bits

2012 : la fin des clés 512 bits

En 2012, des chercheurs ont démontré qu’une clé RSA 512 bits pouvait être cassée en moins de 72 heures avec de la puissance cloud bon marché. Résultat : n’importe qui pouvait usurper un domaine utilisant une clé 512 bits et envoyer des emails parfaitement signés DKIM.

Pourquoi voit-on deux signatures DKIM sur un même email ?

Wed, 04 Mar 2026 00:00:00 +0000

Vous analysez les en-têtes d’un email envoyé via votre ESP (Brevo, Mailchimp, SendGrid…) et vous remarquez deux signatures DKIM distinctes : une avec votre domaine, une avec celui de l’ESP. Est-ce normal ? Absolument, et c’est même souhaitable.

Ce que ça donne dans les headers

Voici un exemple typique d’Authentication-Results :

Authentication-Results: mx.google.com;
 dkim=pass header.i=@votredomaine.com header.s=mail header.b=xjAWgYt1;
 dkim=pass header.i=@esp-domaine.com header.s=mail header.b=zNRqfud1;
 spf=pass ...
 dmarc=pass (p=REJECT) header.from=votredomaine.com

Et deux blocs DKIM-Signature: dans le message : un avec d=votredomaine.com, l’autre avec d=esp-domaine.com.

DKIM : signer vos emails pour prouver leur authenticité

Fri, 23 Jan 2026 00:00:00 +0000

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email sortant. Le serveur de réception peut vérifier que le message n’a pas été modifié en transit et qu’il provient bien d’un expéditeur autorisé. C’est le deuxième pilier de l’authentification email, après SPF.

Comment DKIM fonctionne, en simple

Imaginez que vous envoyez une lettre recommandée avec un sceau de cire. Le destinataire peut vérifier que le sceau n’a pas été brisé (le message est intact) et que le sceau correspond bien à votre blason (vous êtes l’expéditeur légitime).