Résoudre les problèmes liés à DKIM

Suivez la procédure décrite dans cet article si vous avez configuré DKIM (DomainKeys Identified Mail), mais que les messages envoyés depuis votre domaine :

  • ne sont pas validés par l'authentification DKIM ;
  • sont rejetés par les serveurs de réception ;
  • arrivent dans le dossier "Spam" des destinataires.

Sur cette page

Solutions les plus courantes

Vérifiez que vous disposez d'un enregistrement DKIM

Pour vérifier si vous disposez d'un enregistrement DKIM :

  • Si vous n'utilisez pas Google Workspace, utilisez un outil disponible sur Internet.
  • Si vous utilisez Google Workspace, suivez les instructions qui figurent dans cette section.

  1. Dans la console d'administration Google, accédez à Menu puis Applications puis Google Workspace puis Gmail.

    Vous devez disposer du droit d'administrateur associé aux paramètres Gmail.

  2. Cliquez sur Authentifier les e-mails.
  3. Dans le menu Domaine sélectionné, choisissez le domaine pour lequel vous souhaitez configurer DKIM.
  4. Si le nom d'hôte DNS et les valeurs de l'enregistrement TXT sont vides, cela signifie que vous ne disposez pas d'enregistrement DKIM.

Pour créer un enregistrement DKIM, consultez Générer une paire de clés DKIM. Ensuite, accédez à Ajouter l'enregistrement DKIM à votre domaine (sur cette page).

Ajoutez l'enregistrement DKIM à votre domaine

Après avoir créé un enregistrement DKIM, vous devez l'ajouter (il contient la clé DKIM) à votre domaine.

  1. Connectez-vous à votre hébergeur de domaine.
  2. Accédez à la page vous permettant de mettre à jour les enregistrements TXT DNS de votre domaine.
  3. Ajoutez ou mettez à jour l'enregistrement TXT avec votre nom d'hôte DKIM et la valeur recommandée.

Accédez à Ajouter la clé DKIM à votre domaine.

Corrigez les erreurs d'authentification

Si une erreur "Authentification impossible" s'affiche après avoir créé un enregistrement DKIM et l'avoir ajouté à votre domaine, vous devez terminer la configuration.

Étape recommandée : accédez à la page Authentifier les e-mails et cliquez sur Lancer l'authentification. Consultez Activer et valider DKIM.

Vérifiez les valeurs de votre enregistrement DKIM

Assurez-vous que votre enregistrement DKIM contient le nom d'hôte/nom de l'enregistrement TXT et la valeur de l'enregistrement TXT/clé DKIM appropriés. Consultez Ajouter la clé DKIM à votre domaine.

Réussir dans ce modèle

Une fois que vous avez créé un enregistrement DKIM, que vous l'avez ajouté à votre domaine, que vous avez corrigé les erreurs d'authentification et que vous avez vérifié que votre enregistrement DKIM contient les valeurs appropriées, l'état DKIM doit s'afficher comme "Authentification des e-mails avec DKIM". Votre configuration est terminée.

Dépannage avancé

Vérifiez que les messages sont authentifiés par DKIM

Vous pouvez vérifier si un e-mail a été authentifié par DKIM dans Gmail.

Étapes recommandées :

  1. Dans un navigateur, ouvrez Gmail.
  2. Ouvrez l'e-mail dont vous souhaitez vérifier les en-têtes.
  3. À côté de Répondre , cliquez sur Plus puis Afficher l'original.
    • L'en-tête complet s'affiche dans une nouvelle fenêtre.
  4. Cliquez sur Copier dans le presse-papiers.

Étapes supplémentaires :

Vérifiez la clé DKIM auprès de votre fournisseur de domaine

La plupart des enregistrements TXT DKIM peuvent comporter jusqu'à 255 caractères. Vous ne pouvez pas saisir de clé de 2 048 bits sous la forme d'une seule chaîne de texte avec une limite d'enregistrement TXT de 255 caractères. Il est possible que votre clé DKIM soit tronquée, ou que vos enregistrements DKIM aient été envoyés dans le désordre.

Étapes recommandées :

  • Si vous ne parvenez pas à saisir l'intégralité de la valeur de votre enregistrement TXT DKIM sous la forme d'une seule chaîne de texte, suivez la procédure décrite dans Vérifier le nombre maximal de caractères autorisé pour l'enregistrement TXT limites.
  • Comparez la valeur de l'enregistrement TXT DKIM du côté de votre fournisseur avec celle de la console d'administration et vérifiez que votre clé DKIM est correcte :
    1. Obtenez la valeur de l'enregistrement TXT DKIM dans la console d'administration, par exemple google._domainkey.
    2. Accédez à l'outil Dig de Google Admin Toolbox.
    3. Cliquez sur TXT.
    4. Saisissez la valeur de l'enregistrement TXT DKIM générée à l'étape 1, puis ajoutez un point (.) et le nom de votre domaine à cette valeur.
    5. Comparez les résultats avec les valeurs indiquées dans la console d'administration. Si tous les caractères de clé sont inclus et dans le bon ordre, la clé DKIM est peut-être en deux parties.

Vérifiez le transfert de messages

Même lorsque DKIM est correctement configuré pour votre domaine, les messages transférés peuvent être rejetés par le contrôle DKIM. Cela peut être dû à la façon dont un serveur de messagerie transfère les messages.

Étape recommandée pour les expéditeurs d'e-mails :

  • Assurez-vous que le message n'a pas été modifié pendant le transfert. Recherchez l'en-tête Authentication-results:. Si le texte à côté de l'entrée dkim est body hash did not verify (le hachage du corps n'a pas été validé), cela signifie que le message a été modifié lors du transit.
  • Si vous utilisez une passerelle sortante, assurez-vous qu'elle ne modifie pas les messages sortants avant leur envoi. Par exemple, certaines passerelles sortantes ajoutent un pied de page au bas de chaque message sortant. Cela peut entraîner l'échec de DKIM, car le contenu du message est modifié après son envoi.

Recommandations pour les destinataires d'e-mails :

  • Utilisez la recherche dans le journal des e-mails pour vérifier que le message a été transféré. Si la personne qui a signalé le message comme étant du spam n'est pas le destinataire d'origine, il est probable que le message ait été transféré.
  • Contactez le service qui a transféré le message pour découvrir s'il est possible de transférer les messages autrement.

Consultez également les bonnes pratiques de transfert des e-mails vers Gmail.

Vérifiez le nombre maximal de caractères autorisé pour l'enregistrement TXT

Si une erreur s'affiche lorsque vous saisissez une valeur DKIM, c'est peut-être parce que votre fournisseur de domaine limite le nombre de caractères autorisés dans l'enregistrement TXT DNS.

Étapes recommandées :

Si vous utilisez une clé DKIM de 2 048 bits, vous ne pouvez pas la saisir en tant que chaîne de texte unique dans un enregistrement DNS limité à 255 caractères. Dans ce cas, suivez la procédure ci-après :

  1. Divisez les caractères de la clé en plusieurs chaînes de texte.
  2. Placez chaque chaîne entre guillemets.
  3. Saisissez les chaînes les unes après les autres dans le champ "Valeur de l'enregistrement TXT" de votre fournisseur de domaine.

Dans cet exemple, une longue clé DKIM est divisée en deux chaînes de texte, chacune entre guillemets :

"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAraC3pqvqTkAfXhUn7Kn3JUNMwDkZ65ftwXH58anno/bElnTDAd/idk8kWpslrQIMsvVKAe+mvmBEnpXzJL+0LgTNVTQctUujyilWvcONRd/z37I34y6WUIbFn4ytkzkdoVmeTt32f5LxegfYP4P/"

"w7QGN1mOcnE2Qd5SKIZv3Ia1p9d6uCaVGI8brE/7zM5c/zMthVPE2WZKA28+QomQDH7ludLGhXGxpc7kZZCoB5lQiP0o07Ful33fcED73BS9Bt1SNhnrs5v7oq1pIab0LEtHsFHAZmGJDjybPA7OWWaV3L814r/JfU2NK1eNu9xYJwA8YW7WosL45CSkyp4QeQIDAQAB"

Vous pouvez également essayer les solutions suivantes :

Nous vous recommandons de ne pas ajouter plus de 49 enregistrements TXT au niveau de votre fournisseur de domaine, car il s'agit du nombre maximal accepté par la plupart des fournisseurs de domaine.

Vérifiez le nombre de signatures DKIM

Les messages peuvent être signés avec plusieurs signatures DKIM. Toutefois, Gmail ne vérifie que les cinq premières signatures listées dans l'en-tête de message Authentication-Results:. Gmail vérifie les signatures dans l'ordre dans lequel elles apparaissent dans l'en-tête. Si la signature d'authentification ne figure pas parmi les cinq premières signatures listées dans l'en-tête, le message n'est pas authentifié par DKIM. Cela peut également entraîner l'échec de DMARC pour le message.

Pour vérifier les signatures que Gmail recherche dans un message, consultez l'en-tête Authentication-Results: du message. Pour savoir comment vérifier les en-têtes des messages Gmail, consultez Utiliser l'en-tête complet d'un message pour savoir d'où il provient.

Vérifiez les pratiques d'envoi de messages

Si DKIM est correctement configuré, mais que les messages sont envoyés dans le spam, la cause peut être autre que DKIM.

Étape recommandée :

Contactez les administrateurs des serveurs rejetant les messages signés avec DKIM

Si DKIM est correctement configuré, les serveurs de réception peuvent tout de même rejeter les messages envoyés depuis votre domaine ou envoyer des messages vers le dossier de spam des destinataires.

Étapes recommandées :

  • Contactez l'administrateur du serveur de messagerie à l'origine du rejet.
  • Configurez DMARC afin d'obtenir des rapports sur les résultats d'authentification DKIM. Consultez Configurer DMARC.
  • Si vous configurez DKIM avec un système de messagerie autre que Google Workspace, n'utilisez pas le tag de longueur DKIM (l=) dans les messages sortants. Les messages utilisant ce tag sont vulnérables aux utilisations abusives. Pour en savoir plus, consultez la section 8.2 du document RFC 6376.


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.