La configuration de DKIM pour Gmail empêche les expéditeurs non autorisés d’usurper votre domaine et améliore la délivrabilité des e-mails. Que vous utilisiez Google Workspace (anciennement G Suite) ou Gmail avec un domaine personnalisé, une configuration DKIM appropriée garantit que vos messages passent les contrôles d’authentification et atteignent les boîtes de réception des destinataires.
Ce guide couvre la configuration DKIM pour les domaines Google Workspace, les erreurs de configuration courantes et ce qui se passe lorsque DKIM échoue malgré une implémentation correcte.
I. Ce que DKIM Fait (et Ce qu’il Ne Peut Pas Empêcher)
DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique aux e-mails sortants. Le serveur de réception vérifie la signature en utilisant une clé publique publiée dans les enregistrements DNS de votre domaine.
Ce que DKIM valide :
- Le corps du message n’a pas été modifié en transit
- Le domaine signataire a autorisé le message
- La signature DKIM correspond au domaine déclaré
Où DKIM peut échouer :
- Le transfert brise les signatures : Lorsqu’un e-mail est transféré via une liste de diffusion ou un système de transfert automatique, les modifications de contenu (comme l’ajout de pieds de page) invalident la signature DKIM
- Problèmes d’alignement : La réussite de DKIM ne garantit pas la réussite de DMARC — le domaine
d=dans la signature DKIM doit s’aligner avec le domaine de l’en-têteFrom: - Problèmes de rotation de clé : Si vous générez une nouvelle paire de clés DKIM mais oubliez de mettre à jour le DNS, tous les messages sortants échoueront la validation DKIM
- Délais de propagation DNS : La publication d’une nouvelle clé publique DKIM peut prendre de quelques minutes à plusieurs heures pour se propager, causant des échecs de validation temporaires
DKIM est de l’authentification, pas de l’autorisation. Une signature DKIM valide prouve que le message provient du domaine signataire, mais ne prouve pas que l’expéditeur est légitime ou souhaité.
II. Prérequis : Comptes Google Workspace vs Comptes Gmail Personnels

Comptes Google Workspace (domaines professionnels utilisant l’infrastructure Gmail) :
- Contrôle total de DKIM
- Vous générez les clés et publiez les enregistrements DNS
- Requis pour l’application DMARC sur domaine personnalisé
Comptes Gmail personnels (@gmail.com) :
- Google signe les messages automatiquement en utilisant
d=gmail.com - Vous ne pouvez pas configurer DKIM pour les adresses @gmail.com
- Si vous envoyez depuis un domaine personnalisé via des comptes Gmail personnels, ces messages n’auront pas de signatures DKIM pour votre domaine
Ce guide s’applique uniquement aux domaines Google Workspace. Si vous utilisez des comptes Gmail personnels avec une adresse personnalisée « Envoyer en tant que », vos messages manqueront d’authentification de domaine appropriée.
III. Étape 1 : Générer les Clés DKIM dans la Console d’Administration Google Workspace
Connectez-vous à la Console d’Administration Google Workspace avec des privilèges de super administrateur.
- Accédez à Applications → Google Workspace → Gmail → Authentifier l’e-mail
- Sélectionnez votre domaine dans le menu déroulant
- Cliquez sur Générer un nouvel enregistrement
- Choisissez une longueur de clé DKIM :
- 2048 bits (recommandé) : Sécurité cryptographique renforcée, prise en charge par tous les principaux fournisseurs de messagerie
- 1024 bits : Ancienne norme, à utiliser uniquement si la longueur de l’enregistrement TXT DNS est une contrainte
- Entrez un sélecteur de préfixe DKIM (par défaut :
googledonne le sélecteurgoogle._domainkey) - Cliquez sur Générer
Google affichera deux informations :
- DNS Host/Name : Le sous-domaine où vous publierez la clé publique (par ex.,
google._domainkey.example.com) - Valeur de l’Enregistrement TXT : La chaîne de clé publique commençant par
v=DKIM1; k=rsa; p=...
Condition d’échec : Si vous générez une nouvelle clé mais ne mettez pas à jour le DNS, les messages sortants échoueront immédiatement la validation DKIM. Google commence à signer avec la nouvelle clé privée dès que vous cliquez sur « Démarrer l’authentification », même si la clé publique n’est pas encore publiée.
IV. Étape 2 : Publier la Clé Publique DKIM dans le DNS
Connectez-vous à votre fournisseur DNS (Cloudflare, GoDaddy, Route 53, Namecheap, etc.).
Ajoutez un enregistrement TXT avec ces valeurs :
| Champ | Valeur |
|---|---|
| Type | TXT |
| Nom/Hôte | google._domainkey ou sous-domaine complet google._domainkey.example.com (dépend de l’interface du fournisseur DNS) |
| Valeur | Collez la chaîne complète de clé publique depuis la Console d’Administration Google, incluant v=DKIM1; k=rsa; p=... |
| TTL | 3600 (1 heure) ou par défaut |
Règle de formatage critique : Certains fournisseurs DNS exigent que vous supprimiez les guillemets autour de la valeur TXT. D’autres les ajoutent automatiquement. Si votre interface DNS affiche la valeur entre guillemets comme "v=DKIM1; k=rsa; p=...", c’est normal — mais n’ajoutez pas manuellement de guillemets supplémentaires.
Temps de propagation DNS : Les modifications peuvent prendre de 5 minutes à 48 heures selon votre fournisseur et les paramètres TTL. Google recommande d’attendre 24 à 48 heures avant d’activer la signature DKIM.
Où la publication DNS DKIM peut échouer :
- Faute de frappe dans le sous-domaine : Publier sur
googl._domainkeyau lieu degoogle._domainkeyfait échouer tous les messages DKIM - Clé tronquée : Certaines interfaces DNS ont des limites de caractères. Si la clé publique est coupée, la validation DKIM échoue
- Mauvais type d’enregistrement : Publier en tant que A, CNAME ou MX au lieu de TXT rend la clé illisible
V. Étape 3 : Vérifier la Publication DNS
Avant d’activer la signature DKIM, confirmez que la clé publique est correctement publiée.
Utilisez un outil de recherche DNS :
nslookup -type=TXT google._domainkey.example.comOu des vérificateurs en ligne :
Résultat attendu : Vous devriez voir la chaîne complète de clé publique commençant par v=DKIM1; k=rsa; p=MII...
Si la recherche échoue :
- Vérifiez à nouveau le nom du sous-domaine (
google._domainkey) - Vérifiez que vous avez publié un enregistrement TXT, pas un autre type
- Attendez plus longtemps la propagation DNS
- Vérifiez si votre fournisseur DNS nécessite un formatage spécial pour les enregistrements TXT longs
VI. Étape 4 : Activer la Signature DKIM dans Google Workspace
Revenez à la Console d’Administration Google Workspace → Gmail → Authentifier l’e-mail.
- Localisez le domaine et la configuration DKIM que vous avez créés
- Cliquez sur Démarrer l’authentification
Ce qui se passe maintenant :
- Google commence à signer tous les messages sortants de votre domaine avec la clé privée
- La valeur
d=dans la signature DKIM correspondra à votre domaine (par ex.,d=example.com) - Les serveurs de réception interrogeront
google._domainkey.example.compour la clé publique
Condition d’échec : Si vous cliquez sur « Démarrer l’authentification » avant la propagation DNS, chaque message sortant échouera la validation DKIM jusqu’à ce que la clé publique devienne disponible. Vous verrez des erreurs de vérification de signature DKIM dans les messages de rebond ou les rapports DMARC.
Approche sûre : Attendez 24 à 48 heures après la publication de l’enregistrement TXT DNS avant d’activer la signature DKIM. Cela garantit que la clé publique est propagée globalement.
VII. Étape 5 : Tester la Signature DKIM
Envoyez un e-mail de test depuis votre compte Google Workspace vers une adresse e-mail personnelle (Gmail, Outlook, Yahoo, ProtonMail, etc.).
Vérifier les en-têtes d’authentification :
Dans Gmail : Ouvrez le message, cliquez sur le menu à trois points, sélectionnez Afficher l’original. Recherchez :
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=google;
h=from:to:subject:date;
bh=...;
b=...
Authentication-Results: mx.google.com;
dkim=pass [email protected] header.s=google header.b=...Dans Outlook/Microsoft 365 : Affichez la source du message ou vérifiez l’en-tête Authentication-Results pour dkim=pass.
Ce qu’il faut valider :
d=example.comcorrespond à votre domaine d’envois=googlecorrespond à votre sélecteurdkim=passdans Authentication-Results
Si DKIM échoue :
- dkim=temperror : La recherche DNS a expiré (attendez plus longtemps la propagation)
- dkim=permerror : Clé publique introuvable ou mal formée
- dkim=fail : La signature ne correspond pas (message modifié, ou mauvaise clé dans le DNS)
- Aucune signature DKIM : Signature DKIM non activée dans Google Workspace, ou vous envoyez depuis un compte Gmail personnel
VIII. Erreurs Courantes de Configuration DKIM Gmail

1. Activer la Signature Avant la Propagation DNS
Problème : Tous les messages sortants échouent la validation DKIM pendant des heures ou des jours.
Solution : Attendez 24 à 48 heures après la publication de la clé publique avant de cliquer sur « Démarrer l’authentification ».
2. Utiliser des Comptes Gmail Personnels avec des Domaines Personnalisés
Problème : Les comptes Gmail personnels ne prennent pas en charge la signature DKIM pour les domaines personnalisés lors de l’utilisation de « Envoyer en tant que ».
Solution : Migrez vers Google Workspace ou utilisez un service SMTP tiers prenant en charge DKIM (SendGrid, Mailgun, Postmark).
3. Publier Une Seule Clé DKIM pour Plusieurs Expéditeurs
Problème : Si votre organisation utilise Google Workspace pour les e-mails professionnels mais envoie également depuis des plateformes marketing (Mailchimp, HubSpot), ces expéditeurs tiers ont besoin de leurs propres clés DKIM avec des sélecteurs différents.
Solution : Ajoutez des enregistrements TXT DKIM séparés pour chaque expéditeur :
google._domainkey.example.com(Google Workspace)k1._domainkey.example.com(Mailchimp)hubspot._domainkey.example.com(HubSpot)
4. Oublier de Mettre à Jour le DNS Après la Rotation des Clés
Problème : Lorsque vous générez une nouvelle paire de clés DKIM dans Google Workspace (pour des raisons de sécurité ou après une compromission de clé), les messages échouent DKIM jusqu’à ce que la nouvelle clé publique soit publiée.
Solution : Publiez toujours la nouvelle clé publique dans le DNS avant de générer une nouvelle clé dans la Console d’Administration Google.
5. Supposer que DKIM Pass = DMARC Pass
Problème : Les signatures DKIM peuvent réussir la validation mais échouer DMARC si l’alignement est manquant.
Exigence d’alignement DMARC : Le domaine d= dans la signature DKIM doit correspondre au domaine de l’en-tête From: (ou être un sous-domaine de celui-ci, selon le mode d’alignement).
Exemple de scénario d’échec :
- Message envoyé depuis
[email protected] - Signature DKIM a
d=mailprovider.com - DKIM réussit, mais DMARC échoue car
mailprovider.com≠example.com
Solution : Configurez les expéditeurs tiers pour utiliser votre domaine dans la valeur d=, ou implémentez l’alignement SPF comme solution de secours.
IX. DKIM, SPF et DMARC : Comment ils Fonctionnent Ensemble

DKIM seul améliore la délivrabilité, mais n’applique pas de politique contre l’usurpation. DMARC lie le tout.
Exigences DMARC :
- Au moins un mécanisme d’authentification (SPF ou DKIM) doit réussir
- Au moins un mécanisme réussi doit s’aligner avec le domaine de l’en-tête
From:
Exemple : DKIM aligné réussi = DMARC réussi
From: [email protected]- Signature DKIM :
d=example.com(aligné) - Résultat DKIM :
pass - Résultat DMARC :
pass
Exemple : DKIM non aligné réussi = DMARC échoué
From: [email protected]- Signature DKIM :
d=thirdpartymail.com(non aligné) - Résultat DKIM :
pass - Résultat DMARC :
fail(si SPF échoue également)
Où DMARC peut échouer malgré la réussite de DKIM :
- SPF réussit mais l’expéditeur d’enveloppe ne s’aligne pas avec l’en-tête
From: - DKIM réussit mais le domaine de signature ne s’aligne pas avec l’en-tête
From: - Message transféré via un système qui modifie le contenu (brise DKIM)
Utilisez Skysnag Protect pour surveiller l’alignement DMARC sur tous les expéditeurs et identifier où l’authentification réussit mais DMARC échoue :
X. Quand DKIM Réussit mais la Délivrabilité Souffre Encore
Réussir la validation DKIM ne garantit pas le placement en boîte de réception. Les fournisseurs de messagerie évaluent plusieurs signaux :
Authentification + Réputation + Contenu
- Authentification : DKIM, SPF, DMARC
- Réputation : Historique IP/domaine, taux de plaintes, métriques d’engagement
- Contenu : Lignes d’objet, corps du texte, liens, pièces jointes
Scénarios d’échec :
- DKIM réussit, mais la réputation du domaine est mauvaise : Les messages atterrissent dans les spams malgré des signatures valides
- DKIM réussit, SPF réussit, mais DMARC échoue : Certains récepteurs filtrent plus agressivement sur les échecs DMARC
- DKIM réussit, mais le contenu déclenche les filtres anti-spam : Des phrases comme « agissez maintenant », des liens excessifs ou des pièces jointes suspectes l’emportent sur l’authentification
Ce que les fournisseurs de messagerie ne garantissent pas :
- Gmail, Microsoft, Yahoo et Apple ne publient pas de règles de filtrage exactes
- La réussite de DKIM ne crée pas un statut de « liste blanche »
- L’authentification aide, mais ce n’est pas le seul facteur
Pour améliorer la délivrabilité après la configuration de DKIM :
- Implémentez l’application DMARC (
p=quarantineoup=reject) - Surveillez les taux de plaintes et les demandes de désinscription
- Maintenez des listes d’e-mails propres (supprimez les adresses invalides)
- Évitez les lignes d’objet ressemblant à du spam et le langage promotionnel excessif
XI. Rotation des Clés DKIM et Meilleures Pratiques de Sécurité
Quand effectuer la rotation des clés DKIM :
- Tous les 12 mois (meilleure pratique générale pour les clés cryptographiques)
- Immédiatement après une compromission de clé suspectée
- Lors de l’intégration de nouveaux administrateurs (limiter l’exposition des clés)
Comment effectuer la rotation des clés DKIM sans briser l’authentification :
- Générez une nouvelle paire de clés dans la Console d’Administration Google Workspace avec un sélecteur différent (par ex.,
google2._domainkey) - Publiez la nouvelle clé publique dans le DNS aux côtés de l’ancienne clé
- Attendez 48 heures pour la propagation DNS
- Basculez la signature vers la nouvelle clé dans la Console d’Administration Google
- Après avoir confirmé que la nouvelle clé fonctionne, supprimez l’ancien enregistrement DNS
Mode d’échec de rotation de clé : Si vous supprimez l’ancienne clé publique avant de basculer la signature vers la nouvelle clé, les messages échoueront la validation DKIM pendant la période de transition.
Meilleure approche : Gardez les deux clés actives pendant la transition, puis déclarez l’ancienne clé obsolète uniquement après avoir confirmé que tous les messages utilisent la nouvelle signature.
XII. Configuration DKIM des Sous-domaines
Si vous envoyez des e-mails depuis des sous-domaines (par ex., marketing.example.com, support.example.com), chaque sous-domaine nécessite sa propre configuration DKIM.
Approche Google Workspace :
- Ajoutez le sous-domaine à votre compte Google Workspace (s’il n’est pas déjà ajouté)
- Générez des clés DKIM pour le sous-domaine dans la Console d’Administration Google
- Publiez un enregistrement TXT à
google._domainkey.marketing.example.com - Activez la signature DKIM pour le sous-domaine
Condition d’échec : Si vous configurez uniquement DKIM pour le domaine parent (example.com), les messages envoyés depuis marketing.example.com n’auront pas de signatures DKIM valides à moins que le sous-domaine ne soit explicitement configuré.
Alignement DMARC avec les sous-domaines :
- Alignement strict : DKIM
d=doit correspondre exactement au domaineFrom: - Alignement souple (par défaut) : DKIM
d=peut être le domaine parent (par ex.,d=example.coms’aligne avecFrom: [email protected])
L’alignement souple est généralement suffisant. Utilisez l’alignement strict uniquement si vous devez empêcher l’usurpation de sous-domaine dans les rapports DMARC.
XIII. Surveillance de la Conformité DKIM et DMARC
Après avoir configuré DKIM, surveillez les résultats d’authentification via les rapports agrégés DMARC.
Ce que montrent les rapports DMARC :
- Quels expéditeurs signent les messages avec DKIM
- Quelles signatures DKIM réussissent ou échouent
- Si les signatures DKIM réussies s’alignent avec le domaine
From: - Si SPF réussit également (et s’aligne)
Interprétation des échecs DKIM dans les rapports DMARC :
dkim=fail: La signature ne correspond pas (message modifié, mauvaise clé, ou problème de rotation de clé)dkim=temperror: La recherche DNS a échoué (problème temporaire)dkim=permerror: Clé publique introuvable ou mal forméedkim=none: Aucune signature DKIM présente
Pourquoi la surveillance est importante :
- Détecte les expéditeurs non autorisés tentant d’usurper votre domaine
- Identifie les services tiers mal configurés (ESP, CRM, outils de support)
- Met en évidence les problèmes de transfert (listes de diffusion brisant les signatures DKIM)
- Fournit des preuves pour les programmes de conformité où la surveillance de l’authentification des e-mails fait partie de l’ensemble plus large de contrôles de sécurité de l’organisation
- Aide à confirmer que Google Workspace, les expéditeurs tiers et les sous-domaines restent correctement authentifiés au fil du temps
En savoir plus sur Skysnag Protect :
XIV. Liste de Vérification Configuration DKIM Gmail
Utilisez cette liste de vérification pour confirmer que votre configuration DKIM Google Workspace est complète et fonctionne comme prévu.
- Confirmez que vous utilisez Google Workspace, et non un compte Gmail personnel avec une adresse personnalisée « Envoyer en tant que ».
- Connectez-vous à la Console d’Administration Google Workspace avec des privilèges de super administrateur.
- Accédez aux paramètres d’authentification Gmail et générez un enregistrement DKIM pour votre domaine.
- Utilisez une clé DKIM 2048 bits lorsque pris en charge.
- Copiez le sélecteur et la clé publique exactement comme fournis par Google.
- Publiez la clé publique DKIM en tant qu’enregistrement TXT DNS.
- Vérifiez que l’enregistrement TXT se résout correctement avant d’activer la signature DKIM.
- Démarrez l’authentification DKIM dans Google Workspace uniquement après que l’enregistrement DNS soit visible.
- Envoyez des e-mails de test à Gmail, Outlook et un autre fournisseur de messagerie.
- Vérifiez les en-têtes des messages et confirmez dkim=pass.
- Confirmez que le domaine DKIM d= s’aligne avec le domaine From visible.
- Configurez DKIM séparément pour les expéditeurs tiers tels que les CRM, les outils marketing et les plateformes de support.
- Surveillez les rapports agrégés DMARC pour confirmer l’alignement DKIM sur tous les expéditeurs.
- Évitez de supposer que DKIM pass signifie DMARC pass.
- Examinez régulièrement les sélecteurs DKIM et les procédures de rotation des clés.
XV. Points Clés à Retenir
DKIM aide les serveurs de messagerie de réception à vérifier que les messages signés par votre domaine ont été autorisés et n’ont pas été modifiés en transit.
Pour les e-mails professionnels basés sur Gmail, la configuration DKIM doit être gérée via Google Workspace. Les comptes Gmail personnels ne fournissent pas le même contrôle DKIM au niveau du domaine pour les domaines personnalisés.
DKIM seul n’empêche pas l’usurpation de domaine. Il devient plus fort lorsqu’il est combiné avec SPF et DMARC, surtout lorsque l’alignement DMARC est surveillé et l’application est appliquée.
Les échecs de configuration DKIM Gmail les plus courants sont les erreurs de formatage DNS, les noms de sélecteurs incorrects, les enregistrements TXT tronqués, l’activation de la signature avant la propagation DNS, et la supposition que les expéditeurs tiers sont couverts par le DKIM de Google Workspace.
La réussite DKIM ne garantit pas le placement en boîte de réception. Les fournisseurs de messagerie évaluent toujours la réputation, les taux de plaintes, le contenu, l’engagement, le contexte de transfert et les signaux d’abus internes.
La surveillance DMARC est le meilleur moyen de confirmer que les signatures DKIM réussissent et s’alignent sur tous les expéditeurs légitimes.
Commencez la surveillance DMARC avec Skysnag et obtenez votre enregistrement DMARC gratuit :