Échec DKIM : Signature Email Non Valide

Une signature DKIM invalide peut faire douter les destinataires de l'authenticité de vos emails.

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à vos emails, prouvant qu'ils proviennent bien de votre domaine et n'ont pas été modifiés en transit. Quand DKIM échoue, les destinataires voient "dkim=fail" et peuvent traiter vos emails comme suspects. Les causes : clé publique absente ou incorrecte dans le DNS, signature cassée par un relais intermédiaire, mauvais sélecteur, ou clé expirée. DKIM est essentiel pour DMARC et la réputation d'envoi.

Symptômes d'un Échec DKIM

  • Headers email montrent "dkim=fail" ou "dkim=neutral"
  • Les rapports DMARC indiquent des échecs DKIM
  • Certains destinataires rejettent ou classent en spam
  • Les tests mail-tester.com montrent un problème DKIM

Causes des Échecs DKIM

  • Clé DNS manquante : L'enregistrement TXT pour le sélecteur DKIM n'existe pas ou a été supprimé.
  • Sélecteur incorrect : L'email référence un sélecteur différent de celui configuré dans votre DNS.
  • Contenu modifié : Un relais intermédiaire (mailing list, forward) a modifié le corps ou les headers, cassant la signature.

Diagnostic DKIM

  1. Trouvez le sélecteur dans les headers de l'email : cherchez "s=" dans DKIM-Signature.
  2. Vérifiez l'enregistrement : dig TXT selecteur._domainkey.example.com
  3. Validez avec dkimvalidator.com ou mail-tester.com
  4. Vérifiez que votre serveur mail signe correctement les emails sortants.

Surveillance DKIM avec MoniTao

MoniTao surveille vos enregistrements DKIM :

  • Alerte si l'enregistrement DKIM disparaît ou change
  • Vérification de la présence de la clé publique
  • Monitoring des sélecteurs multiples si vous en utilisez

DKIM Robuste

  • Utilisez des clés de 2048 bits minimum pour la sécurité
  • Planifiez une rotation de clés annuelle avec des sélecteurs datés (s202401)
  • Gardez l'ancienne clé active 1-2 semaines pendant la rotation
  • Configurez DKIM pour chaque service d'envoi (transactionnel, marketing, etc.)

FAQ - DKIM Fail

Pourquoi DKIM échoue après un forward ?

Le forwarding peut modifier le contenu (footer, headers), cassant la signature. C'est normal et ARC tente de résoudre ça.

Puis-je avoir plusieurs sélecteurs DKIM ?

Oui, c'est recommandé. Chaque service d'envoi peut avoir son sélecteur, facilitant la rotation et le debug.

Comment générer une clé DKIM ?

Votre serveur mail ou service email le fait généralement pour vous. Sinon : openssl génère la paire clé publique/privée.

DKIM protège-t-il contre le phishing ?

Partiellement. DKIM prouve l'origine mais pas l'intention. Combiné avec DMARC, il empêche le spoofing de votre domaine.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs