Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie une clé publique DKIM valide dans la zone DNS Cloudflare — générée par Cloudflare Email Service, ou fournie par ton propre serveur de messagerie.
Prérequis
- Un domaine dont le DNS est géré chez Cloudflare (DNS > Records)
- Une messagerie qui signe avec DKIM : Cloudflare Email Routing/Sending, ou ton propre serveur
Qu’est-ce que DKIM ?
DKIM (DomainKeys Identified Mail) ajoute une signature numérique aux e-mails sortants. Dans les mots de Cloudflare, DKIM garantit que les e-mails n’ont pas été altérés en transit en les signant cryptographiquement avec la clé privée de ton domaine. DKIM fonctionne avec une paire de clés : la clé privée reste sur le serveur de messagerie et signe ; la clé publique est dans le DNS et sert au destinataire pour la vérification.
Pour situer : tandis que SPF autorise le serveur, DKIM sécurise le message. Ce n’est qu’avec DMARC que cela devient une base applicable.
Le point de départ chez Cloudflare
Deux scénarios, selon qui envoie tes e-mails :
A) Cloudflare Email Service (Routing ou Sending). Cloudflare génère et gère automatiquement les clés DKIM ; tu ajoutes les enregistrements DNS fournis depuis le dashboard. Email Service utilise des sélecteurs DKIM distincts pour l’envoi et le routage :
- Email Sending :
cf-bounce._domainkey.tondomaine.com - Email Routing :
cf2024-1._domainkey.tondomaine.com
B) Ton propre serveur de messagerie derrière Cloudflare DNS. Ton serveur (p. ex. Mailcow, OpenDKIM) génère le sélecteur et la paire de clés. Tu publies la clé publique comme enregistrement TXT dans ta zone DNS Cloudflare.
Guide étape par étape
A) Cloudflare Email Service
1. Trouver l’enregistrement. Dans le dashboard, va dans Compute > Email Service, choisis ton domaine et consulte la page Settings du service concerné — Email Sending montre l’enregistrement cf-bounce._domainkey, Email Routing l’enregistrement cf2024-1._domainkey.
2. Ajouter l’enregistrement. Va dans DNS > Records et ajoute l’enregistrement TXT DKIM avec le bon nom de sélecteur et la clé publique. Un enregistrement DKIM vérifié ressemble à ceci (exemple dig de Cloudflare) :
v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
B) Ton propre serveur derrière Cloudflare DNS
1. Générer la clé sur le serveur. Ton serveur génère le sélecteur et la paire de clés (avec Mailcow, p. ex. dans l’interface). Tu obtiens une clé publique de la forme v=DKIM1; k=rsa; p=<ta-clé-publique>.
2. Créer l’enregistrement TXT dans le dashboard Cloudflare. Va dans DNS > Records, choisis Add record :
| Champ | Valeur |
|---|---|
| Type | TXT |
| Name | <sélecteur>._domainkey (p. ex. dkim._domainkey) |
| Content | v=DKIM1; k=rsa; p=<ta-clé-publique> |
| TTL | Auto |
Cloudflare utilise un simple champ Content — pas de guillemets. Et veille à ce qu’il n’y ait pas d’espaces ou de caractères en trop dans l’enregistrement, sinon la longue clé ne sera pas validée.
Attendre que la modification soit en ligne
Les modifications DNS prennent du temps : selon le TTL et le cache, il peut s’écouler un moment avant que tous les serveurs voient la nouvelle entrée.
Vérifier le résultat
L’enregistrement DNS seul ne suffit pas — le serveur de messagerie doit vraiment signer avec la clé privée. Vérifie l’ensemble avec le scanner MXAudit gratuit — il montre DKIM, SPF et DMARC d’un coup d’œil.
Ou directement :
dig TXT dkim._domainkey.example.com +short
Erreurs fréquentes
Espaces ou caractères en trop. Cloudflare met en garde : aucun espace ni caractère superflu dans l’enregistrement — une clé cassée échoue silencieusement à la vérification.
Le sélecteur ne correspond pas. Le nom dans le DNS (sélecteur._domainkey) doit correspondre exactement au sélecteur avec lequel le serveur signe. Avec Email Service, utilise exactement cf-bounce._domainkey ou cf2024-1._domainkey.
DNS en place, mais pas de signature. DKIM a besoin des deux moitiés : la clé publique dans le DNS et la signature active côté serveur. Vérifie les deux.
Pour aller plus loin
- Docs Cloudflare : Email authentication (SPF, DKIM, DMARC) (consulté le 10 juillet 2026)
- Docs Cloudflare : Email Service troubleshooting (consulté le 10 juillet 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM)
