Détecte automatiquement les sélecteurs DKIM

Outil gratuit

Vérificateur DKIM

Vérifiez les enregistrements DKIM de tout domaine, sans connaître le sélecteur

Vérificateur DKIM gratuit pour tout domaine. Saisissez un domaine : nous détectons automatiquement ses sélecteurs DKIM, vous n'avez donc pas besoin de connaître leur nom à l'avance. Consultez chaque clé trouvée, son type, sa force, et si elle est active, révoquée ou mal configurée.

Saisissez un domaine. Ajoutez un sélecteur si vous le connaissez déjà, sinon nous détectons les plus courants.

La vérification s'exécute dans votre navigateur via DNS-over-HTTPS. Nous ne voyons jamais le contenu des messages ni les clés privées. Si un sélecteur actif est trouvé, son nom et les métadonnées de la clé publique peuvent être conservés pour accélérer les prochaines vérifications et alimenter la surveillance du domaine.

Comment utiliser ce vérificateur DKIM

Trois étapes pour passer d'un nom de domaine à une réponse fiable sur sa configuration DKIM.

  1. 1

    Saisissez un domaine

    Tapez n'importe quel domaine dans le formulaire ci-dessus. Si vous connaissez déjà le sélecteur, ajoutez-le aussi pour une vérification directe.

  2. 2

    Lancez la vérification

    Avec un sélecteur, nous le vérifions directement. Sans sélecteur, nous identifions le fournisseur email du domaine et testons une centaine de noms de sélecteurs courants via DNS-over-HTTPS depuis votre navigateur.

  3. 3

    Lisez le verdict, les clés et les éventuelles lacunes

    Chaque sélecteur trouvé est noté : actif, faible, en mode test, révoqué ou rompu. Les sélecteurs attendus mais absents sont signalés par fournisseur, pour savoir exactement quoi activer.

Ce qu'un vérificateur DKIM vous apprend

Un contrôle DKIM répond à des questions qu'une vérification DMARC ou SPF seule ne peut pas résoudre. Utilisez-le pour :

  • Confirmer que la signature DKIM est bien activée après avoir connecté Google Workspace, Microsoft 365 ou un ESP.
  • Retrouver le nom du sélecteur utilisé par un fournisseur, sans fouiller dans les en-têtes bruts des emails.
  • Détecter une délégation CNAME rompue, la panne DKIM la plus fréquente sous Microsoft 365.
  • Repérer une clé faible ou obsolète avant qu'un destinataire ne commence à la rejeter.
  • Vérifier qu'une clé a bien été révoquée après avoir abandonné un sélecteur compromis.
  • Auditer la configuration DKIM d'un prestataire ou partenaire avant de faire confiance aux emails envoyés en son nom.

Comprendre le DKIM

Qu'est-ce qu'un sélecteur DKIM ?

Un sélecteur est l'étiquette du DNS d'un domaine qui pointe vers une clé publique DKIM précise, publiée comme enregistrement TXT à {selector}._domainkey.{domain}. Les sélecteurs permettent à un domaine de faire tourner plusieurs clés à la fois, par exemple une par plateforme d'envoi, et de remplacer une clé sans toucher aux autres sélecteurs.

Pourquoi certains enregistrements DKIM sont des CNAME

Microsoft 365 et plusieurs autres fournisseurs publient leurs sélecteurs DKIM sous forme d'enregistrements CNAME pointant vers un nom d'hôte qu'ils contrôlent, plutôt qu'un enregistrement TXT direct. Cela permet au fournisseur de remplacer la clé sous-jacente sans que le titulaire du domaine touche au DNS. Mais cela signifie aussi qu'une cible CNAME rompue ou supprimée désactive silencieusement le DKIM jusqu'à ce que quelqu'un s'en aperçoive.

Clés de 1024 bits contre 2048 bits

Le RFC 8301 fixe le plancher : les destinataires doivent rejeter toute clé DKIM de moins de 1024 bits. Les clés RSA de 1024 bits fonctionnent encore, mais sont jugées faibles face aux attaques de factorisation modernes ; 2048 bits ou plus est la recommandation actuelle pour toute nouvelle clé. Les clés Ed25519 (RFC 8463) atteignent une force équivalente avec une taille fixe de 256 bits, grâce à une cryptographie différente.

Faire tourner une clé DKIM

Faire tourner une clé consiste à publier un nouveau sélecteur avec une nouvelle clé, à basculer la plateforme d'envoi pour qu'elle signe avec celle-ci, puis seulement ensuite à révoquer l'ancien sélecteur en vidant son tag p=. Révoquer l'ancienne clé avant d'avoir confirmé que la nouvelle fonctionne casse totalement la signature : ces deux étapes ne doivent jamais se produire dans le même changement.

Pourquoi certains fournisseurs masquent le sélecteur

Amazon SES et Salesforce Marketing Cloud génèrent un nom de sélecteur aléatoire pour chaque domaine vérifié, souvent une longue étiquette hexadécimale. Il n'existe aucun nom fixe à deviner ni aucun dictionnaire qui les couvre, donc un vérificateur ne peut pas confirmer l'existence de la clé en la testant. C'est pourquoi cet outil indique « indétectable » plutôt que « pas de DKIM » pour ces fournisseurs : la clé est presque certainement présente, sous un nom que seule la plateforme connaît. Pour la voir, ouvrez le DNS ou le tableau de bord d'envoi du fournisseur, ou collez un message réel dans l'analyseur d'en-têtes email, qui lit le sélecteur directement depuis l'en-tête DKIM-Signature.

Questions fréquentes

Qu'est-ce que le DKIM ?
DKIM (DomainKeys Identified Mail, RFC 6376) permet à un domaine émetteur de signer cryptographiquement les emails sortants. La clé publique est publiée sous forme d'enregistrement DNS TXT ; la clé privée signe chaque message. Le serveur destinataire récupère la clé publique et vérifie la signature, ce qui confirme que le message n'a pas été modifié en transit et qu'il a bien été envoyé par un serveur détenant la clé privée de ce domaine.
Qu'est-ce qu'un sélecteur DKIM ?
Un sélecteur est l'étiquette qui indique à un destinataire quelle clé publique DKIM récupérer pour une signature donnée. L'enregistrement DNS se trouve à {selector}._domainkey.{domain} : un sélecteur nommé « google » pour example.com publie donc sa clé à google._domainkey.example.com. Un domaine peut faire tourner plusieurs sélecteurs à la fois et alterner entre eux.
Comment trouver le sélecteur DKIM de mon domaine ?
Le sélecteur n'est publié nulle part isolément. Il apparaît dans le tag s= de l'en-tête DKIM-Signature d'un message réellement envoyé par le domaine, ou dans la documentation de configuration de votre fournisseur email. Cet outil contourne le problème en identifiant votre fournisseur à partir de vos enregistrements MX et SPF, puis en testant une centaine de noms de sélecteurs courants.
Pourquoi mon vérificateur DKIM affiche-t-il « aucune clé active » ?
Ce verdict signifie que nous avons trouvé au moins un sélecteur DKIM, mais qu'aucun n'est utilisable : un tag p= vide (clé révoquée), un enregistrement invalide, ou un CNAME qui ne se résout plus. Concrètement, c'est équivalent à l'absence totale de DKIM tant que la clé n'est pas corrigée ou remplacée.
Une clé DKIM de 1024 bits est-elle suffisamment sécurisée ?
Le RFC 8301 impose aux destinataires de rejeter toute clé DKIM de moins de 1024 bits, considère le RSA 1024 bits comme acceptable pour l'instant mais faible, et recommande 2048 bits ou plus pour toute nouvelle clé. Les clés Ed25519 (RFC 8463) utilisent des clés de 256 bits reposant sur des mathématiques différentes et sont jugées solides à cette taille.
Pourquoi DKIM affiche-t-il « indétectable » au lieu d'un succès ou d'un échec ?
Certains fournisseurs, notamment Amazon SES et Salesforce Marketing Cloud, génèrent un nom de sélecteur aléatoire par domaine, impossible à deviner ou à tester par dictionnaire. Lorsque nous identifions l'un de ces fournisseurs sans rien trouver, nous indiquons « indétectable » plutôt que « pas de DKIM », car la clé existe probablement sous un sélecteur que nous ne pouvons pas prédire. Consultez le tableau de bord de la plateforme d'envoi, ou utilisez notre analyseur d'en-têtes email sur un message réel pour voir le sélecteur réellement utilisé.
Ce vérificateur DKIM est-il gratuit ?
Oui. Le vérificateur DKIM est entièrement gratuit, sans inscription. La vérification s'exécute dans votre navigateur via des résolveurs DNS-over-HTTPS publics : rien concernant le domaine vérifié n'est stocké sur nos serveurs, sauf si un sélecteur est trouvé, auquel cas seuls son nom et les métadonnées de la clé publique peuvent être conservés pour accélérer les prochaines vérifications.