DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) est un protocole d'authentification email qui ajoute une signature cryptographique à chaque message envoyé. Cette signature, calculée à partir d'une clé privée détenue par l'expéditeur, est vérifiée côté destinataire à l'aide d'une clé publique publiée dans le DNS du domaine. DKIM prouve deux choses : l'email provient bien du domaine prétendu, et son contenu n'a pas été altéré en transit. C'est le deuxième pilier d'authentification après [SPF](/glossaire/spf-sender-policy-framework) et un prérequis pour DMARC en mode `reject`.

Comment DKIM fonctionne techniquement

DKIM s'appuie sur la cryptographie asymétrique :

  1. Côté expéditeur : le serveur d'envoi génère une paire de clés. La clé privée signe l'email (header DKIM-Signature). La clé publique est publiée dans le DNS du domaine sous un sélecteur, par exemple :
selector1._domainkey.prospkt.fr.   TXT   "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4..."
  1. Côté destinataire : le serveur récupère le sélecteur indiqué dans le header DKIM-Signature, télécharge la clé publique correspondante dans le DNS, et vérifie la signature.

Si la signature est valide → DKIM pass. Si le contenu a été modifié en route → fail.

Le rôle du sélecteur

Le sélecteur permet d'avoir plusieurs clés DKIM par domaine, utile pour :

  • Faire tourner les clés régulièrement (rotation tous les 6-12 mois).
  • Séparer les flux : transactionnel (stripe._domainkey), marketing (mailchimp._domainkey), cold email (lemlist._domainkey).
  • Migrer sans interruption d'un fournisseur à l'autre.

Longueur de clé recommandée

LongueurStatut
512 bitsObsolète, vulnérable
1024 bitsMinimum acceptable
2048 bitsStandard recommandé en 2026
4096 bitsSupporté mais peut dépasser la taille DNS UDP (512 octets)

2048 bits est le bon équilibre sécurité / compatibilité DNS.

Avantage clé vs SPF

DKIM survit aux transferts d'emails. Là où SPF casse dès qu'un email est forwardé (l'IP source change), la signature DKIM voyage avec le message. C'est pourquoi DKIM est devenu le critère d'authentification principal dans l'évaluation moderne des emails.

Application concrète

Installation DKIM en 4 étapes :

  1. Dans votre outil d'envoi (Google Workspace, SendGrid, Lemlist…), générer une paire de clés DKIM. La plupart le font automatiquement à l'ajout du domaine.
  2. Récupérer la clé publique fournie et le sélecteur associé (souvent google, s1, selector1, etc.).
  3. Publier l'enregistrement TXT correspondant dans la zone DNS : <selecteur>._domainkey.<domaine>.
  4. Tester via dig TXT selector1._domainkey.votredomaine.com ou mxtoolbox.com/dkim.aspx. Envoyer un email test à [email protected] pour confirmer la signature.

Bonnes pratiques :

  • Conserver les anciens sélecteurs publiés 30 jours après rotation, le temps que les emails en cache soient vérifiés.
  • Préférer 2048 bits à 1024 bits dès que possible.
  • Ne jamais désactiver DKIM côté outil d'envoi pour gagner en délivrabilité — c'est l'inverse qui se produit.

Comment Prospkt utilise ce concept

Prospkt est une plateforme de données B2B : nous ne signons pas d'emails à votre place. Vous gardez la main complète sur votre configuration DKIM côté outil d'envoi. Notre contribution à votre délivrabilité se fait en amont : emails vérifiés, fraîcheur des données, scoring d'intention. Vous évitez ainsi de signer des messages partis vers des adresses obsolètes, qui dégraderaient votre sender reputation malgré une DKIM parfaite.

Voir en action sur Prospkt

Définitions associées

Cold email B2B

Le cold email B2B est un email de prospection envoyé à un contact professionnel sans interaction préalable, dans le but d'initier une conversation commerciale et de générer des opportunités de vente.

Lire la définition →

Délivrabilité email

La délivrabilité email désigne la capacité d'un email à atteindre la boîte de réception principale du destinataire — et non l'onglet Promotions, l'onglet Spam ou un rejet pur et simple. C'est l'indicateur composite qui résulte de l'authentification du domaine (SPF, DKIM, DMARC), de la réputation de l'IP et du domaine expéditeur, de la qualité de la liste, du contenu de l'email et du comportement des destinataires. En cold email B2B, une délivrabilité inférieure à 85 % rend toute campagne non viable, peu importe la qualité du copywriting.

Lire la définition →

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) est le protocole qui orchestre [SPF](/glossaire/spf-sender-policy-framework) et [DKIM](/glossaire/dkim-domainkeys-identified-mail) en publiant une politique claire : que faire si l'un de ces deux protocoles échoue ? Accepter, marquer comme suspect ou rejeter ? DMARC ajoute aussi un canal de reporting qui remonte chaque jour les emails envoyés sous votre domaine, légitimes ou usurpés. Depuis février 2024, DMARC en mode au moins `none` (mode reporting) est exigé par Gmail et Yahoo pour tout expéditeur de plus de 5 000 emails/jour.

Lire la définition →

Sender reputation

La sender reputation (réputation expéditeur) est un score implicite attribué par chaque fournisseur de messagerie (Gmail, Outlook, Office 365, Yahoo) à votre IP d'envoi et à votre domaine. Plus ce score est élevé, plus vos emails atteignent la boîte de réception principale ; plus il est bas, plus ils partent en spam ou sont rejetés. Le score n'est jamais communiqué directement, mais s'estime via des outils tiers (SenderScore.org, Google Postmaster Tools, Microsoft SNDS) et se mesure dans son effet (taux d'inbox placement). C'est la métrique la plus structurante de la délivrabilité cold email B2B.

Lire la définition →

Questions fréquentes

DKIM et SPF font-ils la même chose ?
Non, ils sont complémentaires. SPF vérifie que le serveur d'envoi est autorisé (couche réseau). DKIM vérifie que le contenu de l'email est authentique et intact (couche cryptographique). Les deux ensemble forment la base d'une authentification robuste.
Faut-il faire tourner les clés DKIM ?
Idéalement oui, tous les 6 à 12 mois, pour limiter la fenêtre d'exposition en cas de fuite de clé privée. La rotation se fait en publiant un nouveau sélecteur, puis en migrant l'outil d'envoi vers celui-ci, puis en retirant l'ancien après 30 jours.
Que faire si la clé DKIM dépasse la limite DNS ?
Pour les clés 4096 bits, l'enregistrement TXT peut dépasser 255 caractères, taille max d'une chaîne TXT. La plupart des registrars supportent désormais le découpage automatique en plusieurs chaînes concaténées. Si ce n'est pas le cas, rester en 2048 bits.
DKIM seul suffit-il sans SPF ?
Non, pour DMARC, il faut que SPF ou DKIM passe **en alignement** avec le domaine du champ From. En pratique, configurer les deux est le standard, ne serait-ce que pour la redondance.

Sur le même sujet

Cold email B2BDélivrabilité emailDMARCSender reputationFonctionnalité : Enrichissement de données

Prêt à transformer votre prospection ?

Découvrez comment Prospkt peut vous aider à identifier et contacter vos futurs clients plus efficacement.

Commencer gratuitement