Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie une clé DKIM correcte dans le KAS, pour que les serveurs destinataires puissent vérifier la signature de tes e-mails.
Prérequis
- Un pack All-Inkl avec accès au KAS (administration technique)
- La clé DKIM publique de ton serveur de messagerie d’envoi (pour un envoi externe, le fournisseur la fournit)
Qu’est-ce que DKIM ?
DKIM (DomainKeys Identified Mail) ajoute une signature numérique aux e-mails sortants. Le serveur destinataire interroge la clé DKIM stockée dans le serveur de noms du domaine et l’utilise pour vérifier la signature. All-Inkl le souligne explicitement dans sa documentation : DKIM garantit seulement que l’e-mail arrive sans altération — il ne dit explicitement rien sur le spam. C’est précisément pourquoi il te faut en plus SPF et DMARC.
Le point de départ chez All-Inkl
Deux chemins, selon qui envoie tes e-mails :
- Envoi via les serveurs de messagerie All-Inkl : tu actives la signature DKIM dans les paramètres KAS de ton domaine ou de ta boîte mail — All-Inkl crée alors lui-même l’entrée DNS correspondante. (Vérifie dans le KAS, sous ton domaine/ta boîte mail, si l’option DKIM est active.)
- Envoi via un serveur de messagerie externe (ton propre serveur, un service de newsletter) : tu saisis toi-même la clé publique fournie par le fournisseur sous forme d’enregistrement TXT (DKIM) dans le KAS. Le guide qui suit décrit ce chemin — c’est la voie DNS officiellement documentée par All-Inkl.
Guide étape par étape (serveur de messagerie externe)
1. Ouvrir les paramètres DNS dans le KAS
Connecte-toi au KAS (administration technique) et clique sur Outils → Paramètres DNS. Modifie le domaine et clique sur créer une nouvelle entrée DNS.
2. Saisir l’enregistrement DKIM
Remplis le formulaire ainsi :
| Champ | Valeur |
|---|---|
| Nom | ton sélecteur + ._domainkey, par ex. mail._domainkey |
| Type | TXT |
| Données | v=DKIM1; k=rsa; p=<ta-cle-publique-du-serveur-de-messagerie> |
Le nom du sélecteur (ici mail) est dicté par ton serveur de messagerie ou ton service d’envoi — il doit correspondre exactement, car le serveur destinataire recherche précisément selecteur._domainkey.ton-domaine. Il n’y a pas de PRIO pour DKIM.
Sur la syntaxe : v=DKIM1 est la version et doit — si elle est précisée — venir en premier. p contient la clé publique. k=rsa donne le type de clé (chez All-Inkl actuellement seulement rsa).
3. Attention à la limite de caractères
Le champ DONNÉES accepte jusqu’à 512 caractères — cela permet des clés jusqu’à 2048 bits. Une clé RSA de 2048 bits tient donc tout juste ; des clés plus grandes (4096 bits) feraient exploser la limite. En cas de doute, utilise une clé de 2048 bits.
4. Enregistrer et vérifier
Après l’enregistrement, l’entrée apparaît dans le tableau. Les modifications DNS chez All-Inkl peuvent prendre jusqu’à 24 heures avant d’être visibles partout.
Vérifier le résultat
L’enregistrement DNS seul ne suffit pas — ton serveur de messagerie doit réellement signer les e-mails sortants avec la clé privée correspondante. Vérifie l’interaction avec le scanner MXAudit gratuit : il montre si la signature fonctionne et si le sélecteur se résout dans le DNS — avec SPF et DMARC.
Erreurs fréquentes
Le sélecteur ne correspond pas. Le nom dans le DNS (selecteur._domainkey) doit correspondre exactement au sélecteur avec lequel ton serveur de messagerie signe. Une faute de frappe et la signature reste introuvable.
Clé trop grande pour le champ. Le champ DONNÉES n’accepte pas plus de 512 caractères — une clé de 4096 bits ne tient pas. Choisis 2048 bits.
DNS défini, mais le serveur ne signe pas. DKIM se compose de deux moitiés : la clé publique dans le DNS et la signature par le serveur de messagerie avec la clé privée. Sans la seconde, le plus beau des enregistrements TXT ne fait rien.
Espaces autour du =. Dans v=DKIM1 et p=..., il n’y a pas d’espace autour du signe égal — paramètre et valeur collés l’un à l’autre, séparés par un point-virgule.
Pour aller plus loin
- Guide All-Inkl : DKIM (lors d’un envoi via des serveurs de messagerie externes) (consulté le 10 juillet 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM)
