Dernière mise à jour : juillet 2026

En bref : après ce guide, Gandi signe tes e-mails sortants avec DKIM, et les serveurs destinataires peuvent vérifier la signature via ta zone DNS.

Prérequis

  • Un domaine et des boîtes mail chez Gandi (Gandi Mail)
  • Accès à ton compte Gandi (admin.gandi.net)

Qu’est-ce que DKIM ?

DKIM (DomainKeys Identified Mail), dans les mots de Gandi, permet d’attacher une signature à tes e-mails qui montre que l’e-mail est autorisé. Le serveur destinataire récupère la clé publique correspondante dans ton DNS et vérifie ainsi que le message vient vraiment de ton domaine et n’a pas été modifié en transit.

Pour situer : tandis que SPF autorise le serveur, DKIM sécurise le message lui-même. Ce n’est qu’avec DMARC que cela devient une base solide — DKIM est la deuxième des trois briques.

Le point de départ chez Gandi

Les serveurs de messagerie de Gandi prennent en charge les signatures DKIM. La façon de l’activer dépend de l’endroit où vit ton DNS :

  • Domaine et e-mail chez Gandi, avec Gandi LiveDNS → un simple interrupteur dans ton compte. Gandi publie les clés pour toi.
  • E-mail chez Gandi, mais DNS chez un autre fournisseur → tu ajoutes trois enregistrements CNAME à la main, pointant vers les hôtes de clés de Gandi.

L’astuce est dans le mécanisme : les vraies clés vivent chez Gandi (gm1.gandimail.net et consorts), et ton DNS n’y pointe que par CNAME. Gandi peut ainsi faire tourner les clés sans que tu ne touches plus jamais à rien.

Guide étape par étape

1. Avec Gandi LiveDNS : bascule l’interrupteur

Si ton domaine et ton e-mail sont hébergés chez Gandi et que le domaine utilise Gandi LiveDNS, tu peux activer DKIM dans ton compte en suivant ces étapes :

  1. Connecte-toi sur admin.gandi.net et ouvre ton domaine.
  2. Clique sur l’onglet Email.
  3. À côté de Settings & Security, clique sur Edit.
  4. Bascule l’interrupteur à côté de DKIM Signature et clique sur Update.

C’est tout — Gandi met en place les enregistrements DNS nécessaires. Passe à Vérifier le résultat.

2. Avec un DNS externe : les 3 enregistrements CNAME

Si ton domaine et ton e-mail sont chez Gandi mais que tu n’utilises pas Gandi LiveDNS (le domaine pointe vers d’autres serveurs de noms), tu peux quand même activer DKIM manuellement en ajoutant ces trois enregistrements CNAME chez ton fournisseur DNS :

gm1._domainkey    CNAME    gm1.gandimail.net.
gm2._domainkey    CNAME    gm2.gandimail.net.
gm3._domainkey    CNAME    gm3.gandimail.net.

Les trois enregistrements CNAME sont nécessaires — ils existent pour que Gandi puisse renouveler la clé de signature sans casser ton DKIM.

3. Attendre que la modification soit en ligne

Les modifications CNAME, comme tout enregistrement DNS, prennent du temps ; Gandi indique que cela peut prendre jusqu’à 72 heures partout.

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre si DKIM signe correctement et si les sélecteurs se résolvent dans le DNS, avec SPF et DMARC d’un coup d’œil. Ou dans le terminal, si tu connais le sélecteur :

dig CNAME gm1._domainkey.example.com +short

Si gm1.gandimail.net. revient, le premier CNAME DKIM est en place.

Erreurs fréquentes

Un TXT créé au lieu d’un CNAME. Pour un DNS externe, Gandi fonctionne avec des enregistrements CNAME pointant vers *.gandimail.net — pas avec une clé TXT saisie soi-même. Une vieille clé en TXT bloque la rotation automatique.

Un seul CNAME sur trois créé. Les trois (gm1, gm2, gm3) sont requis pour que le renouvellement de clé continue de fonctionner. Crée les trois.

L’interrupteur et les CNAME manuels. Avec Gandi LiveDNS, l’interrupteur fait déjà tout — tu n’ajoutes pas les CNAME à la main en plus. La voie manuelle ne concerne que le DNS externe.

Le point final oublié. Les cibles CNAME se terminent par un point (gm1.gandimail.net.) — un nom absolu. Certains panneaux l’ajoutent automatiquement ; vérifie que le tien le fait.

Pour aller plus loin