Meilleurs outils de vérification DKIM pour l’authentification des emails en 2026

Ce guide vous offre des recommandations claires sur les meilleurs fournisseurs pour vérifier votre configuration DKIM. En mettant en œuvre les bons outils, les organisations peuvent protéger leur domaine contre l’usurpation, le phishing et les échecs de délivrabilité.

DKIM (DomainKeys Identified Mail) est le protocole d'authentification des e-mails qui prouve que vos messages n'ont pas été altérés pendant leur transmission. Il utilise des signatures cryptographiques pour vérifier qu'un e-mail provient réellement de votre domaine et qu'il est arrivé intact. Quand DKIM ne fonctionne plus, il se passe deux choses : vos e-mails légitimes finissent en spam et les attaquants obtiennent une porte d'entrée plus facile pour usurper votre marque.

Le problème ? La plupart des organisations configurent DKIM une fois puis l'oublient. Les clés deviennent obsolètes. Les sélecteurs sont mal paramétrés après des migrations de plateforme. Des expéditeurs tiers signent avec des clés faibles de 1024 bits, pointées du doigt par le RFC 8301 dès 2018 [1]. Et comme les défaillances DKIM sont invisibles pour les utilisateurs finaux (la validation s'effectue côté serveur), les équipes ne se rendent compte du problème que lorsque la délivrabilité chute ou qu'un incident de phishing les oblige à enquêter.

Les chiffres sont sans appel. En février 2026, seulement 14,7 % des 5,5 millions de domaines analysés avaient mis en place SPF, DKIM et DMARC ensemble [2]. Cela signifie que la grande majorité des organisations fonctionnent à l'aveugle sur au moins un protocole. Google, Yahoo et Microsoft exigent désormais SPF, DKIM et DMARC pour les expéditeurs en masse, et les e-mails non conformes sont ralentis, envoyés en spam ou bloqués purement et simplement [3].

Un bon vérificateur DKIM vous aide à détecter les mauvaises configurations avant qu'elles ne posent problème. Ce guide compare neuf outils de vérification DKIM classés selon leur capacité à vous aider à identifier les problèmes, comprendre ce qui ne va pas et les corriger concrètement.

Avant de choisir un outil, il est utile de savoir ce qui distingue un vérificateur DKIM efficace d'un outil qui se limite à "enregistrement trouvé" et vous laisse gérer le reste.

• Vérification dynamique vs statique : Les outils statiques interrogent votre DNS pour un enregistrement DKIM et valident la syntaxe. Les outils dynamiques envoient ou reçoivent un véritable e-mail et vérifient si DKIM est effectivement validé de bout en bout, y compris l'alignement de la signature avec votre politique DMARC. Les vérifications dynamiques détectent des problèmes que les recherches statiques ignorent totalement.
• Détection automatique des sélecteurs : Les enregistrements DKIM sont liés à des sélecteurs, et chaque service d'envoi utilise les siens (Google utilise "google", Microsoft "selector1" et "selector2", SendGrid "s1" et "s2"). Si un outil vous oblige à connaître le sélecteur avant de vérifier, vous faites déjà la moitié du travail manuellement. Les meilleurs outils scannent les sélecteurs courants ou les découvrent via un test d'e-mail réel.
• Validation de la robustesse des clés : Le RFC 8301 impose de rejeter les clés RSA de moins de 1024 bits et recommande 2048 bits au minimum pour la signature [1]. Un vérificateur qui contrôle la longueur des clés vous indique si votre fondation cryptographique est réellement sécurisée ou seulement existante sur le papier.
• Couverture multi-protocole : DKIM ne fonctionne pas seul. Il s'associe à SPF pour alimenter DMARC, et c'est l'alignement DMARC qui détermine si votre domaine est protégé. Les outils qui contrôlent DKIM ainsi que SPF, DMARC, BIMI et MTA-STS offrent une vue d'ensemble en une seule passe.
• Résultats exploitables : Savoir que votre enregistrement DKIM a un problème n'est qu'une première étape. Savoir précisément ce qui ne va pas et comment le corriger est ce qui compte vraiment. L'écart entre "DKIM fail" et "la clé publique de votre sélecteur a un tag p= révoqué, voici comment la régénérer" fait la différence entre un diagnostic et une impasse.
• Pas de barrière à l'utilisation : Les meilleurs outils gratuits vous laissent vérifier immédiatement. Si un outil exige votre e-mail professionnel, votre numéro de téléphone et la taille de votre entreprise avant d'afficher les résultats, ce n'est qu'un formulaire commercial déguisé en vérificateur.

Idéal pour : Audit complet de l'authentification des e-mails avec étapes de correction exploitables

Red Sift Investigate adopte une méthode fondamentalement différente pour la vérification DKIM. Au lieu d'effectuer une simple requête DNS, il réalise un test dynamique en temps réel en vous demandant d'envoyer un e-mail à une adresse de boîte unique. Cela lui permet d'analyser votre véritable infrastructure d'envoi d'e-mails, pas seulement ce qui est publié dans votre DNS.

Fonctionnalités clés :

• Test d'e-mail dynamique validant DKIM de bout en bout, pas juste l'enregistrement DNS
• Contrôle DKIM ainsi que SPF, DMARC, BIMI, MTA-STS, TLS et FCrDNS d'un coup
• Fournit des étapes de correction précises pour chaque problème détecté, pas seulement un indicateur réussite/échec
• Aucune inscription requise pour la version web gratuite
• Tests selon les profils de conformité (Google/Yahoo/Microsoft pour les envois massifs)
• Liaison directe avec Red Sift OnDMARC pour le suivi continu et l'application

La principale limite des vérificateurs DKIM statiques est qu'ils ne disent que si un enregistrement existe et si la syntaxe semble correcte. Ils ne peuvent pas savoir si vos e-mails sont réellement signés correctement par votre service d'envoi, car cela repose sur la configuration de votre plateforme, pas juste votre DNS.

Investigate résout ce problème. Quand vous envoyez un e-mail test, il analyse la véritable signature DKIM dans les en-têtes, vérifie si le domaine de signature s'aligne avec le domaine From: pour DMARC, et valide toute la chaîne d'authentification. Si quelque chose est mal configuré côté expéditeur (ce qui arrive souvent quand on utilise Marketo, Salesforce ou HubSpot en plus de son service principal), Investigate le détecte.

Les conseils de correction sont l'atout principal. D'autres outils affichent un X rouge devant "DKIM" et vous laissent trouver le pourquoi. Investigate vous explique précisément le problème et les étapes à suivre. Pour les équipes déployant DMARC, cela réduit considérablement les temps de résolution. Sans cet outil, il faudrait attendre jusqu'à 24 heures pour recevoir un rapport DMARC confirmant si vos changements DNS ont fonctionné [4].

Les clients Red Sift utilisant la plateforme complète OnDMARC atteignent généralement le niveau d'application DMARC (p=reject) en 6 à 8 semaines [4]. Ce gain de temps s'explique en partie par les retours instantanés d'Investigate lors des modifications de configuration, éliminant ainsi les cycles longs essai/attente/vérification.

Tarification : Investigate est gratuit et sans inscription. Les forfaits OnDMARC débutent par un essai gratuit de 14 jours pour les organisations souhaitant un suivi constant, une gestion DKIM automatisée et une montée en application complète.

Cas d'utilisation idéal : Organisations souhaitant comprendre l'ensemble de leur position d'authentification e-mail, et pas seulement l'existence d'un enregistrement DKIM dans le DNS. Particulièrement utile lors de projets d'implémentation DMARC, de migrations de plateformes et de résolution de problèmes de délivrabilité sur plusieurs services d'envoi.

Idéal pour : Vérification rapide d'un enregistrement DKIM quand vous connaissez déjà le sélecteur

MXToolbox est l'un des outils de diagnostic DNS les plus référencés sur Internet, et son vérificateur DKIM est simple : saisissez un domaine et un sélecteur, récupérez l'enregistrement avec une validation de base.

Fonctionnalités clés :

• Format d'entrée simple domaine:sélecteur (ex : example.com:google)
• Affiche l'enregistrement DKIM brut avec un détail par balise
• Identifie les enregistrements manquants ou malformés
• Fait partie d'une suite plus vaste d'outils de diagnostic DNS et e-mail
• Accepte un format hôte/nom alternatif (selector._domainkey.domain.com)
• Bien documenté avec des guides sur la recherche de sélecteurs

MXToolbox s'est bâti sa réputation grâce à sa très large diffusion. Si vous tapez "DKIM check" dans Google, il ressort parmi les premiers, et ce n'est pas un hasard. L'interface est propre, les résultats sont rapides et le service fait exactement ce qui est annoncé.

Cela dit, il s'agit d'un outil statique. Il interroge le DNS pour l'enregistrement DKIM au niveau du sélecteur fourni et affiche le résultat. Il ne détecte pas automatiquement les sélecteurs, ne valide pas la robustesse des clés au-delà de la vérification syntaxique de base et ne vous indique pas si vos e-mails sont effectivement bien signés. Il faut donc connaître le sélecteur avant de commencer – ce qui signifie vérifier les en-têtes d'e-mails ou la documentation de votre service d'envoi.

Pour des vérifications ponctuelles rapides quand vous savez ce que vous cherchez, MXToolbox est fiable. Mais pour diagnostiquer pourquoi DKIM échoue sur plusieurs services ou comprendre pleinement votre position d'authentification, il faut un outil plus complet.

Limites : Pas de détection automatique de sélecteurs. Pas de validation de robustesse des clés. Pas de vérification multi-protocole (outils séparés pour SPF et DMARC). Pas de conseils de correction.

Tarification : Gratuit pour les vérifications de base. Forfaits payants pour le suivi et les alertes.

Cas d'utilisation idéal : Administrateurs IT qui ont besoin de vérifier rapidement dans le DNS la bonne publication d'un enregistrement DKIM après modification.

Idéal pour : Administrateurs Google Workspace contrôlant la santé du domaine

Google Admin Toolbox est l'outil de diagnostic de Google pour vérifier les enregistrements MX, SPF, DKIM, DMARC et MTA-STS. Principalement conçu pour Google Workspace, il offre une vue consolidée de la configuration e-mail du domaine.

Fonctionnalités clés :

• Contrôle DKIM, MX, SPF, DMARC et MTA-STS en un seul scan
• Conçu pour les environnements Google Workspace
• Outil Messageheader annexe pour analyser individuellement les en-têtes d'e-mail
• Inclut aussi un outil Dig pour les requêtes DNS brutes
• Gratuit et sans inscription
• Contrôle la cohérence des enregistrements DKIM sur tous les serveurs de noms

Si vous utilisez Google Workspace, cet outil est taillé pour votre environnement. Il vérifie le sélecteur "google" par défaut et signale les mauvaises configurations typiques de DKIM pour Google, comme les enregistrements TXT scindés ou les soucis de propagation avec les clés 2048 bits dépassant la limite DNS de 255 caractères.

L'analyseur Messageheader est aussi très utile : collez les en-têtes reçus d'un e-mail et vous obtenez un statut clair de réussite/échec DKIM pour déboguer des messages individuels.

La limite principale est que l'outil est très orienté Google Workspace. Si vous envoyez via plusieurs plateformes (ce qui est le cas pour la plupart), il faut tout de même vérifier DKIM pour chaque service séparément. Il vérifie aussi uniquement le sélecteur "google" par défaut – il faut donc saisir manuellement les sélecteurs pour d'autres services.

Limites : Focalisé Google Workspace. Saisie manuelle pour les sélecteurs hors Google. Pas de validation de robustesse des clés. Pas de procédures de correction. Intérêt limité pour des environnements e-mail multi-vendeurs.

Tarification : Gratuit.

Cas d'utilisation idéal : Admins Google Workspace souhaitant vérifier la bonne configuration DKIM du flux e-mail spécifique Google de leur domaine.

Idéal pour : Détection automatique de sélecteurs grâce aux données de rapports agrégés

L'outil DKIM d'EasyDMARC propose une fonctionnalité peu courante pour les outils statiques : il stocke les clés DKIM découvertes via les rapports DMARC agrégés, ce qui permet une détection automatique des sélecteurs sans avoir à les rechercher à la main. Pour les organisations déjà connectées aux rapports EasyDMARC, c'est un gain de temps notable.

Fonctionnalités clés :

• Détection automatique des sélecteurs DKIM grâce aux rapports agrégés
• Alertes sur le dashboard en cas de problème de sélecteur
• Validation de la syntaxe DKIM et affichage des balises
• Fait partie d'une suite incluant des outils SPF, DMARC et BIMI (à lancer séparément)
• Domain Scanner vérifiant SPF, DKIM, DMARC et BIMI d'un coup
• Widget intégrable sur un site web

La détection automatique du sélecteur fait vraiment la différence. La plupart des outils DKIM statiques exigent de connaître le sélecteur, ce qui demande de fouiller dans les en-têtes d'e-mails ou la documentation ESP. Le stockage par EasyDMARC des sélecteurs issus des rapports recueillis élimine cette friction, du moins pour les domaines déjà reliés aux rapports DMARC de la plateforme.

Le Domain Scanner est aussi pratique : il analyse SPF, DKIM, DMARC et BIMI ensemble et donne une note de santé globale. Ce n'est pas aussi complet qu'un test e-mail dynamique (cela reste du DNS uniquement), mais c'est plus rapide que d'utiliser quatre outils séparés.

La limite reste celle de tous les outils statiques : il confirme la présence d'un enregistrement DKIM dans le DNS, mais pas que vos e-mails sont réellement signés. L'outil EasyDMARC ne vérifie pas non plus DKIM en conjonction avec des protocoles comme MTA-STS, TLS ou FCrDNS, comme le fait Red Sift Investigate dans une vérification dynamique unique.

Limites : Uniquement recherche DNS statique. La détection des sélecteurs dépend des données de rapports existants. Pas de validation de la signature effective des e-mails. Contrôles protocolaires en outils séparés (non unifiés). Pas de vérification TLS, MTA-STS ou FCrDNS.

Tarification : Outil DKIM gratuit. Plateforme payante pour le suivi/enforcement continu.

Cas d'utilisation idéal : Équipes utilisant déjà EasyDMARC pour le suivi DMARC qui veulent une vérification DKIM rapide avec détection automatique des sélecteurs à partir des rapports collectés.

Idéal pour : Validation rapide d'un enregistrement DKIM avec détection automatique du sélecteur

L'outil DKIM de Valimail est simple, sans inscription, et valide les enregistrements DKIM sur les configurations courantes avec détection automatique du sélecteur. Il renvoie des résultats structurés confirmant l'existence, la syntaxe correcte et la validité de la clé publique.

Fonctionnalités clés :

• Détection automatique du sélecteur pour les principaux services e-mail
• Validation du format de clé publique
• Détection des erreurs de syntaxe par problème précis (balises manquantes, format, etc.)
• Pas de compte ou inscription requise
• Résultats clairs avec explications vulgarisées
• Compatible avec n'importe quel domaine (pas réservé aux clients Valimail)

L'expérience utilisateur est très fluide. Les résultats sont en langage simple, pas du DNS brut, ce qui facilite la vie des non-experts. La détection automatique du sélecteur évite de devoir plonger dans les en-têtes.

Valimail propose aussi un Domain Checker élargi qui valide DMARC, SPF et BIMI pour tout domaine. Il fournit un verdict rapide "Protégé" ou "Non protégé" en fonction du niveau d'application DMARC – bien pour une vue d'ensemble, mais c'est un diagnostic global, pas par service d'envoi.

La couche de monitoring gratuite (Valimail Monitor) mérite d'être mentionnée. Elle donne accès aux rapports DMARC agrégés avec identification des expéditeurs, ce qui va plus loin que la plupart des vérificateurs DKIM gratuits. Mais le vérificateur DKIM, lui, reste une recherche DNS statique et présente la même limite que les autres de la catégorie.

Limites : Recherche DNS statique uniquement. Pas de test e-mail bout-en-bout. Domain Checker sans vérification DKIM (outil séparé). Pas de validation MTA-STS, TLS, FCrDNS. Pas de recommandations de correction précises.

Tarification : Vérificateur DKIM gratuit. Valimail Monitor gratuit pour la surveillance DMARC de base. Forfaits payants pour l'automatisation et l'enforcement.

Cas d'utilisation idéal : Validation DKIM rapide via une interface claire, notamment pour les équipes qui évaluent la santé globale de l'authentification de leur domaine en parallèle du Domain Checker.

Idéal pour : Validation DKIM avec détection automatique et explications détaillées des erreurs

L'outil DKIM de PowerDMARC combine détection automatique du sélecteur et explications détaillées sur chaque résultat et sa signification. L'outil passe en revue tous les cas possibles (valide, invalide, absent, non trouvé, non correspondance de clé) avec une description spécifique à chaque fois.

Fonctionnalités clés :

• Détection automatique du sélecteur DKIM si champ laissé vide
• Explications détaillées d'erreur pour chaque cas de résultat (valide/invalide/manquant/non cohérent, etc.)
• Affichage de toutes les balises DKIM et leur valeur
• Fait partie d'une suite couvrant SPF, DMARC, BIMI, MTA-STS et générateurs DKIM
• Instructions pour vérifier manuellement DKIM dans les en-têtes d'e-mails
• Liens vers des outils pour générer de nouveaux enregistrements si besoin

Son point fort, c'est le contenu explicatif. Si vous débutez en DKIM, l'outil ne dit pas juste "enregistrement invalide" : il explique ce que cela signifie, pourquoi c'est arrivé et suggère généralement comment corriger (par exemple, régénérer l'enregistrement via un générateur automatisé). Cette pédagogie séduit ceux qui découvrent l'authentification e-mail.

La détection automatique des sélecteurs est similaire à EasyDMARC : en laissant le champ vide, le système tente de le deviner. La suite d'outils plus large couvre quasiment tous les protocoles d'authentification e-mail.

L'outil reste une recherche DNS statique ; il ne peut donc confirmer que ce qui est publié, mais pas que les e-mails sont bien signés. L'interface est aussi plus chargée que d'autres, avec pas mal de contenu promotionnel mélangé dans les résultats.

Limites : Recherche DNS statique uniquement. Pas de test d'e-mail réel. Contrôles protocolaires séparés (non unifiés). Interface encombrée de promotions. Pas de validation TLS/FCrDNS. Recommandations générales et non personnalisées à votre configuration.

Tarification : Outil DKIM gratuit. Plateforme payante pour la surveillance, l'application et la gestion automatisée des clés.

Cas d'utilisation idéal : Équipes recherchant des explications détaillées des résultats DKIM en plus des diagnostics, surtout les débutants en authentification.

Idéal pour : Validation syntaxique DKIM épurée avec outils de génération associés

L'outil DKIM de Sendmarc est un simple vérificateur statique. Renseignez un sélecteur et un domaine : il valide l'existence et la syntaxe de l'enregistrement. Direct et sans le superflu de certains concurrents.

Fonctionnalités clés :

• Interface claire avec champs sélecteur + domaine
• Validation de la syntaxe DKIM et du format des balises
• Identification des enregistrements manquants, incomplets, ou mal formés ainsi que des discordances de clés
• Générateur DKIM compagnon pour créer rapidement de nouveaux enregistrements
• Outil d'analyse d'en-têtes pour vérifier dans un e-mail réel que DKIM est bien ajouté
• Fait partie d'une plateforme plus large de gestion DKIM/SPF/DMARC

L'association du vérificateur DKIM et du générateur DKIM crée une démarche fluide : si un problème est détecté, on génère immédiatement un nouvel enregistrement. L'outil d'analyse d'en-têtes permet aussi de valider manuellement la présence DKIM sur des e-mails envoyés, ce qui s'apparente à un test dynamique (quoique manuel).

Sendmarc présente ses outils gratuits comme portes d'entrée de sa plateforme complète pour gérer DKIM, SPF et DMARC. L'interface est sobre et bien organisée, sans surcharge promotionnelle.

La limite principale est l'absence de détection automatique du sélecteur : il faut le connaître avant de vérifier, ce qui le rapproche de MXToolbox au niveau des prérequis. L'outil ne vérifie pas DKIM et les autres protocoles en une seule passe.

Limites : Recherche DNS statique uniquement, sélection manuelle requise. Pas de détection auto du sélecteur. Pas de diagnostic groupé multi-protocole. Pas de test dynamique e-mail. Suggestions de correction générales.

Tarification : Vérificateurs et générateurs DKIM gratuits. Plateforme avec forfaits pour gestion continue.

Cas d'utilisation idéal : Équipes recherchant une consultation DKIM rapide et épurée, avec génération immédiate d'un nouvel enregistrement si besoin.

Idéal pour : Validation syntaxique simple d'un enregistrement DKIM

L'outil DKIM de DMARCLY est un vérificateur DNS classique. Renseignez domaine et sélecteur, il affiche l'enregistrement DKIM avec un verdict réussite/échec sur la syntaxe.

Fonctionnalités clés :

• Interface claire pour les recherches d'enregistrements DKIM
• Affiche la validité de l'enregistrement avec indicateur réussite/échec
• Fournit la valeur de la clé publique et les balises associées
• Fait partie de la suite d'outils d'authentification e-mail DMARCLY
• Inclut du contenu explicatif sur les sélecteurs et enregistrements DKIM
• Liens vers un guide de mise en œuvre DKIM étape par étape

DMARCLY mise sur la simplicité. Si vous voulez juste vérifier rapidement la publication et la validité syntaxique d'un DKIM, l'outil va droit au but. Le contenu pédagogique est utile pour ceux qui découvrent l'authentification e-mail.

L'outil fait partie de la plateforme plus large DMARCLY, qui propose SPF, DKIM, DMARC, BIMI via des outils séparés et du monitoring payant. Chaque outil est ciblé et spécialisé.

Limites : Recherche DNS statique. Saisie manuelle du sélecteur requise. Pas de validation de robustesse des clés au-delà de la syntaxe. Pas de contrôle groupé multi-protocole. Pas d'étapes de correction. Pas de détection automatique du sélecteur.

Tarification : Gratuit en usage ponctuel. Plateforme DMARCLY payante pour le suivi/monitoring.

Cas d'utilisation idéal : Confirmation rapide que l'enregistrement DKIM a bien été publié sur un sélecteur donné.

L'outil idéal dépend de votre objectif. Voici un cadre pour faire le bon choix selon votre cas.

Optez pour un vérificateur dynamique. Les recherches DNS statiques confirment la présence d'un enregistrement, sans certifier la signature effective des e-mails. Red Sift Investigate offre la vue la plus complète car il teste toute la chaîne d'authentification, y compris l'alignement DKIM avec DMARC, en une seule passe.

Contrôlez la longueur des clés sur tous vos sélecteurs. Les outils qui valident la taille des clés (PowerDMARC, EasyDMARC ou Valimail) signalent tout ce qui est en dessous de 2048 bits. Pour les organisations n'ayant pas renouvelé leurs clés récemment, c'est le moyen le plus rapide de détecter une faille. Pour un audit global incluant aussi SPF, DMARC, BIMI, MTA-STS et TLS, Red Sift Investigate couvre tout en une passe.

DKIM est la moitié de l'alignement DMARC. Il faut un outil qui contrôle DKIM dans le contexte plus large de votre configuration d'authentification, pas isolément. Red Sift Investigate teste DKIM, SPF, DMARC, BIMI, MTA-STS, TLS et FCrDNS ensemble, et vous guide pas à pas pour corriger toute anomalie. Pour le monitoring continu au fil du projet DMARC, Red Sift OnDMARC assure une visibilité constante sur tous vos domaines/services d'envoi.

MXToolbox est l'option la plus rapide si vous connaissez le domaine et le sélecteur. Google Admin Toolbox est idéale pour les contrôles Google Workspace. EasyDMARC ou PowerDMARC sont de bonnes alternatives si vous souhaitez la détection automatique du sélecteur sans test dynamique d'e-mail. Tous sont fiables pour vérifier la publication de l'enregistrement.

Pourquoi cela arrive-t-il : Les équipes publient un enregistrement DKIM dans le DNS et pensent que tout fonctionne. Elles utilisent un outil de vérification statique, voient « enregistrement trouvé », puis passent à autre chose.

L'impact : L'enregistrement DNS peut être parfaitement valide alors que le service d'envoi n'est pas configuré pour signer les emails. DKIM échoue silencieusement, et vous ne vous en rendez compte qu'à l'arrivée des rapports DMARC (jusqu'à 24h plus tard) ou lorsque la délivrabilité baisse.

Comment l'éviter : Utilisez un vérificateur dynamique comme Red Sift Investigate qui teste le flux réel de l'email, et pas seulement l'enregistrement DNS. Envoyez un email test depuis chacun de vos services d'envoi pour vérifier que la signature fonctionne de bout en bout.

Pourquoi cela arrive-t-il : De nombreux services d'email utilisaient par défaut des clés de 1024 bits pendant des années. Si DKIM a été configuré avant 2020, il y a de fortes chances que certains sélecteurs utilisent encore des longueurs de clé dépassées.

L'impact : La RFC 8301 déprécie SHA-1 et exige que les validateurs rejettent les clés de moins de 1024 bits [1]. Bien que les clés de 1024 bits soient encore techniquement acceptées par la plupart des récepteurs aujourd'hui, elles sont à la limite de ce qui peut être cassé avec suffisamment de puissance de calcul. M3AAWG recommande 2048 bits comme minimum et une rotation régulière tous les 6 à 12 mois [5].

Comment l'éviter : Faites un audit de la robustesse des clés avec des outils qui valident la longueur en bits (EasyDMARC, PowerDMARC, Valimail ou Sendmarc vérifient tous cela). Remplacez toutes les clés de 1024 bits par des clés de 2048 bits. Mettez en place un calendrier de rotation et tenez-vous-y.

Pourquoi cela arrive-t-il : Les organisations vérifient DKIM pour leur plateforme d’email principale mais oublient les outils d’automatisation marketing, CRM, logiciels de support et autres services envoyant en leur nom.

L'impact : Ces services peuvent ne pas signer avec DKIM du tout, ou signer avec un domaine différent qui n'est pas aligné avec votre politique DMARC. Lorsque vous appliquez DMARC (p=quarantine ou p=reject), ces messages sont alors bloqués.

Comment l'éviter : Recensez chaque service qui envoie des emails pour votre domaine. Testez DKIM pour chacun individuellement. Red Sift OnDMARC automatise cette découverte en analysant les rapports DMARC agrégés pour lister chaque source d’envoi et son statut DKIM.

Pourquoi cela arrive-t-il : Les modifications DNS peuvent prendre du temps à se propager et les équipes passent parfois à la tâche suivante avant d'avoir confirmé que le changement est bien effectif et correct.

L'impact : Les fautes de frappe dans les enregistrements DKIM, des valeurs de clé incomplètes (notamment avec les clés de 2048 bits à répartir sur plusieurs champs DNS) ou des noms de sélecteur incorrects provoquent tous des échecs DKIM.

Comment l'éviter : Testez chaque modification DKIM immédiatement après l'avoir appliquée. Red Sift Investigate fournit une vérification instantanée grâce à son test dynamique d'email, vous évitant d’attendre 24h pour un rapport DMARC confirmant la réussite du changement.

Un vérificateur DKIM n'est utile que s'il vous aide à agir. Les outils gratuits de vérification statique comme EasyDMARC, PowerDMARC, Valimail, Sendmarc et autres sont utiles pour des contrôles rapides, mais ils indiquent seulement si un enregistrement existe dans le DNS. Ils ne vous disent pas si vos emails sont effectivement signés, si votre authentification s'aligne sur DMARC ou quoi corriger en cas de problème.

Pour les organisations sérieuses concernant l’authentification des emails, la différence entre une simple requête et un outil de diagnostic complet fait gagner des heures de dépannage et prévient les problèmes de délivrabilité avant qu'ils n'impactent votre activité.

Red Sift Investigate vous offre l'analyse la plus complète de votre configuration DKIM en moins de 30 secondes, avec des indications précises sur les points à corriger. C'est gratuit, sans inscription, et cela teste votre vrai flux email plutôt que seulement votre DNS. Et lorsque vous souhaitez passer de la vérification au monitoring et à l’application continue, Red Sift OnDMARC prend la suite d’Investigate pour vous aider à parvenir à une application complète de DMARC en 6 à 8 semaines.

Lancez une vérification gratuite avec Red Sift Investigate pour savoir où en est votre DKIM aujourd’hui.

[1] RFC 8301 - Cryptographic Algorithm and Key Usage Update to DomainKeys Identified Mail (DKIM) 

[2] Comment DKIM, DMARC, SPF améliorent la délivrabilité 

[3] Comment l'évolution des exigences d'authentification des emails transforme les communications d'entreprise en 2026 [4] Fonction Investigate d'OnDMARC 

[5] M3AAWG DKIM Key Rotation Best Common Practices

Un vérificateur DKIM valide que votre domaine possède un enregistrement DKIM correctement configuré. Les vérificateurs statiques interrogent le DNS pour obtenir la clé publique à un sélecteur précis. Les vérificateurs dynamiques vont plus loin en analysant un email réel pour confirmer que les messages sont bien signés et que la signature peut être vérifiée par le serveur destinataire.

Cela dépend de l’outil. La plupart des vérificateurs statiques (MXToolbox, Sendmarc, DMARCLY, DNSChecker.org) demandent de saisir un sélecteur. Certains outils comme EasyDMARC, PowerDMARC et Valimail peuvent détecter automatiquement les sélecteurs. Les vérificateurs dynamiques comme Red Sift Investigate récupèrent le sélecteur dans les en-têtes réels des emails, vous n’avez donc pas besoin de le connaître à l’avance.

Un contrôle statique interroge le DNS pour un enregistrement DKIM et valide sa syntaxe. Un contrôle dynamique envoie ou reçoit un email réel et vérifie toute la chaîne d’authentification DKIM, y compris si le message a bien été signé, si la signature est valide et si DKIM est aligné avec votre politique DMARC. Les contrôles dynamiques détectent plus de problèmes car ils testent le flux email réel. Parmi les outils de ce guide, seul Red Sift Investigate effectue une véritable vérification dynamique.

Après toute modification de vos enregistrements DNS, des services d’envoi d’emails ou des paramètres de votre plateforme email. Au-delà, effectuez une vérification au moins chaque trimestre et à chaque ajout d’un nouveau service d’envoi. Pour un suivi continu, une plateforme comme Red Sift OnDMARC apporte une visibilité permanente sans que vous ayez à penser à vérifier manuellement.

Les clés RSA de 2048 bits sont le minimum recommandé. RFC 8301 exige que tout validateur rejette les clés de moins de 1024 bits, et le NIST recommande 2048 bits comme plancher pour le chiffrement RSA [1]. Certaines organisations utilisent des clés de 4096 bits pour plus de sécurité, bien que tous les services emails ne les prennent pas en charge. Si vous utilisez encore des clés de 1024 bits, passez à 2048 bits et mettez en place une rotation tous les 6 à 12 mois.

Pas directement. DKIM est un facteur de délivrabilité, mais la distribution en boîte de réception dépend aussi du SPF, de la politique DMARC, de la réputation d’expéditeur, de la qualité du contenu et de l’engagement. Cela dit, un DKIM défaillant nuit à la délivrabilité. Les expéditeurs pleinement authentifiés utilisant SPF, DKIM et DMARC ensemble atteignent des taux de distribution en boîte de 95 à 98 %, contre 85 % en moyenne pour les expéditeurs non authentifiés [2].

Cela signifie généralement que l'enregistrement DNS est valide mais que le service d’envoi ne signe pas les emails correctement. Causes fréquentes : la plateforme d’envoi n’est pas configurée pour utiliser DKIM, un écart entre le sélecteur de l’en-tête DKIM-Signature et celui du DNS, ou un message modifié en transit (par une passerelle ou un service de transfert) après la signature. Utilisez un vérificateur dynamique pour diagnostiquer précisément le point de défaillance.

Le contrôle DKIM fait partie d’une stratégie d’authentification email complète incluant SPF, DMARC, BIMI et MTA-STS. Pour une vue d’ensemble de la manière dont ces protocoles interagissent et comment les mettre en place, consultez le guide des exigences d’authentification email en 2026 de Red Sift.