Résoudre les problèmes liés à DKIM

Suivez la procédure de dépannage de cet article si les messages envoyés depuis votre domaine :

  • ne sont pas validés par l'authentification DKIM ;
  • sont rejetés par les serveurs de réception ;
  • arrivent dans le dossier "Spam" des destinataires.

Vous pouvez identifier et résoudre de nombreux problèmes liés à DKIM en suivant la procédure décrite dans cet article.

Sur cette page

Vérifier la configuration de DKIM

Vérifiez que DKIM est correctement configuré en suivant la procédure décrite dans Configurer DKIM.

Vérifier que les messages sont authentifiés par DKIM

Vous pouvez examiner les en-têtes des e-mails pour voir si les messages envoyés depuis votre domaine passent les contrôles d'authentification DKIM.

Étapes recommandées :

  • Vérifiez les en-têtes d'un message envoyé depuis votre domaine pour vous assurer qu'il a été authentifié par DKIM.
  • Si le message n'est pas authentifié par DKIM, essayez de l'envoyer à un autre destinataire, par exemple une adresse Gmail personnelle. Cela peut vous aider à exclure les problèmes liés au serveur de réception.
  • Dans Gmail, cliquez sur Afficher l'original pour un message, puis vérifiez l'état DKIM dans le message d'origine. En savoir plus sur la vérification des en-têtes de messages dans Gmail.
  • Saisissez les en-têtes de messages dans l'outil En-tête message de Google Admin Toolbox et vérifiez l'état DKIM.

Consultez également Contrôler l'authentification d'un message Gmail.

Vérifier que la clé DKIM est correcte du côté du fournisseur de domaine

La plupart des enregistrements TXT DKIM peuvent comporter jusqu'à 255 caractères. Vous ne pouvez pas saisir de clé de 2 048 bits sous la forme d'une seule chaîne de texte avec une limite d'enregistrement TXT de 255 caractères. Il est possible que votre clé DKIM soit tronquée, ou que vos enregistrements DKIM aient été envoyés dans le désordre.

Étapes recommandées :

  • Si vous ne parvenez pas à saisir l'intégralité de la valeur de votre enregistrement TXT DKIM sous la forme d'une seule chaîne de texte, suivez la procédure décrite dans Vérifier le nombre maximal de caractères autorisé pour l'enregistrement TXT de votre fournisseur de domaine caractères.
  • Comparez la valeur de l'enregistrement DKIM du côté de votre fournisseur avec celle de la console d'administration et vérifiez que votre clé DKIM est correcte :
    1. Obtenez la valeur de l'enregistrement TXT DKIM dans la console d'administration, par exemple google._domainkey.
    2. Accédez à l'outil Dig de Google Admin Toolbox.
    3. Cliquez sur TXT.
    4. Saisissez la valeur de l'enregistrement TXT DKIM générée à l'étape 1, puis ajoutez un point (.) et le nom de votre domaine à cette valeur.
    5. Comparez les résultats avec les valeurs indiquées dans la console d'administration. Si tous les caractères de clé sont inclus et dans le bon ordre, la clé DKIM est peut-être en deux parties.

Vérifier le transfert de messages

Même lorsque DKIM est correctement configuré pour votre domaine, les messages transférés peuvent être rejetés par le contrôle DKIM. Cela peut être dû à la façon dont un serveur de messagerie transfère les messages.

Recommandation pour les expéditeurs d'e-mails :

  • Assurez-vous que le message n'a pas été modifié pendant le transfert. Recherchez l'en-tête Authentication-results:. Si le texte à côté de l'entrée dkim est body hash did not verify (le hachage du corps n'a pas été validé), cela signifie que le message a été modifié lors du transit.
  • Si vous utilisez une passerelle sortante, assurez-vous qu'elle ne modifie pas les messages sortants avant leur envoi. Par exemple, certaines passerelles sortantes ajoutent un pied de page au bas de chaque message sortant. Cela peut entraîner l'échec de DKIM, car le contenu du message est modifié après son envoi.

Recommandations pour les destinataires d'e-mails :

  • Utilisez la recherche dans le journal des e-mails pour vérifier que le message a été transféré. Si la personne qui a signalé le message comme spam n'est pas le destinataire d'origine, il est probable que le message ait été transféré.
  • Contactez le service qui a transféré le message pour savoir s'il peut modifier la façon dont il transfère les messages.

Consultez également les bonnes pratiques de transfert des e-mails vers Gmail.

Vérifier le nombre maximal de caractères autorisé pour l'enregistrement TXT du fournisseur de domaine

Si une erreur s'affiche lorsque vous saisissez la valeur DKIM, c'est peut-être parce que votre fournisseur de domaine limite le nombre de caractères autorisés dans l'enregistrement TXT DNS.

Étapes recommandées :

Si vous utilisez une clé DKIM de 2 048 bits, vous ne pouvez pas la saisir en tant que chaîne de texte unique dans un enregistrement DNS limité à 255 caractères. Dans ce cas, suivez la procédure ci-après :

  1. Divisez les caractères de la clé en plusieurs chaînes de texte.
  2. Placez chaque chaîne entre guillemets.
  3. Saisissez les chaînes les unes après les autres dans le champ "Valeur de l'enregistrement TXT" de votre fournisseur de domaine.

Dans cet exemple, une longue clé DKIM est divisée en deux chaînes de texte, chacune entre guillemets :

Vous pouvez également essayer les solutions suivantes :

Nous vous recommandons de ne pas ajouter plus de 49 enregistrements TXT au niveau de votre fournisseur de domaine, car il s'agit du nombre maximal accepté par la plupart des fournisseurs de domaine.

Vérifier le nombre de signatures DKIM

Les messages peuvent être signés avec plusieurs signatures DKIM. Toutefois, Gmail ne vérifie que les cinq premières signatures listées dans l'en-tête de message Authentication-Results:. Gmail vérifie les signatures dans l'ordre dans lequel elles apparaissent dans l'en-tête. Si la signature d'authentification ne figure pas parmi les cinq premières signatures listées dans l'en-tête, le message n'est pas authentifié par DKIM. Cela peut également entraîner l'échec de DMARC.

Pour vérifier les signatures que Gmail vérifie pour un message donné, consultez l'en-tête Authentication-Results: du message. Pour obtenir des instructions détaillées sur la vérification des en-têtes de messages Gmail, consultez Utiliser l'en-tête complet d'un message pour savoir d'où il provient.

Vérifier les pratiques d'envoi de messages

Si DKIM est correctement configuré, mais que les messages sont envoyés dans le spam, la cause peut être autre que DKIM.

Étape recommandée :

Contacter les administrateurs des serveurs rejetant les messages signés avec DKIM

Si DKIM est correctement configuré, les serveurs de réception peuvent tout de même rejeter les messages envoyés depuis votre domaine ou envoyer des messages vers le dossier "Spam" des destinataires.

Étapes recommandées :

  • Contactez l'administrateur du serveur de messagerie à l'origine du rejet.
  • Configurez DMARC afin d'obtenir des rapports sur les résultats d'authentification DKIM. Consultez Configurer DMARC.
  • Si vous configurez DKIM avec un système de messagerie autre que Google Workspace, n'utilisez pas le tag de longueur DKIM (l=) dans les messages sortants. Les messages utilisant ce tag sont vulnérables aux utilisations abusives. Pour en savoir plus, consultez la section 8.2 du document RFC 6376.


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.