Dernière mise à jour : juillet 2026
En bref : après ce guide, Microsoft 365 signe tes e-mails sortants avec DKIM — via deux sélecteurs CNAME pointant vers des clés gérées par Microsoft.
Prérequis
- Un locataire (tenant) Microsoft 365 avec un domaine personnalisé
- L’accès au portail Microsoft Defender (un rôle pour l’authentification e-mail)
- L’accès à la gestion DNS de ton domaine (chez l’hébergeur du domaine)
Qu’est-ce que DKIM ?
DKIM (DomainKeys Identified Mail) ajoute une signature numérique aux e-mails sortants, que le destinataire vérifie via une clé publique publiée dans le DNS. Microsoft 365 stocke ces clés sous forme d’entrées CNAME — d’autres systèmes de messagerie utilisent souvent des entrées TXT à la place.
Pour situer les choses : là où SPF autorise le serveur, DKIM sécurise le message. Ce n’est qu’avec DMARC qu’il devient une base applicable.
Le point de départ chez Microsoft 365
Deux choses d’abord :
Le domaine *.onmicrosoft.com est signé automatiquement — pour les e-mails qui ne passent que par lui, tu n’as rien à faire. Pour ton domaine personnalisé (example.com), tu actives DKIM une fois dans le portail Defender et crées deux entrées CNAME chez l’hébergeur du domaine.
Microsoft génère deux paires de clés et fournit les sélecteurs selector1._domainkey et selector2._domainkey — les noms d’hôte sont identiques pour toutes les organisations Microsoft 365. Les clés privées restent chez Microsoft ; les CNAME pointent vers les clés publiques.
Attention, changement de format : depuis mai 2025, Microsoft utilise un nouveau format de cible CNAME pour les nouveaux domaines, avec un caractère de partition attribué dynamiquement. Tu devrais donc toujours récupérer les valeurs de cible exactes depuis ton propre tenant et ne pas les copier depuis un guide plus ancien.
Guide étape par étape
1. Ouvrir DKIM dans le portail Defender
Va sur security.microsoft.com/authentication et sélectionne l’onglet DKIM. Clique sur ton domaine personnalisé — le volet de détail affiche les deux valeurs CNAME à créer.
2. Récupérer les valeurs de cible CNAME exactes
Les noms d’hôte sont fixes :
selector1._domainkeyselector2._domainkey
Les valeurs de cible dépendent de ton tenant. Pour les nouveaux domaines (depuis mai 2025), elles ont la forme :
selector1-<CustomDomainWithDashes>._domainkey.<InitialDomainPrefix>.<DynamicPartitionCharacter>-v1.dkim.mail.microsoft
Pour les domaines existants, l’ancien format s’applique toujours :
selector1-contoso-com._domainkey.contoso.onmicrosoft.com
Le caractère de partition dynamique est attribué par Microsoft et n’est pas configurable. Au lieu de deviner, récupère les valeurs exactes via PowerShell :
Get-DkimSigningConfig -Identity contoso.com | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
(remplace contoso.com par ton domaine). Les deux valeurs SelectorXCNAME sont les cibles de tes entrées CNAME.
3. Créer les entrées CNAME chez l’hébergeur du domaine
Chez le fournisseur DNS de ton domaine, crée deux enregistrements CNAME : selector1._domainkey et selector2._domainkey, chacun avec la valeur de cible correspondante de l’étape 2. L’endroit exact est montré dans nos guides d’hébergeurs — par ex. IONOS, Strato ou Netcup.
Important avec Cloudflare : désactive le proxy Cloudflare (le nuage orange) pour les entrées CNAME DKIM — les CNAME proxifiés ne se résolvent pas correctement et la validation de Microsoft échoue.
4. Activer DKIM
De retour dans le portail Defender : dans l’onglet DKIM, fais glisser le bouton de ton domaine de Désactivé à Activé. Si le statut ne change pas immédiatement, choisis Actualiser — la valeur passe alors à Activé.
5. Attendre que la modification soit en ligne
La propagation DNS peut prendre de quelques minutes à 48 heures selon le fournisseur et le TTL. Si le statut reste plus longtemps sur CnameMissing, vérifie les entrées (et le proxy Cloudflare).
Vérifier le résultat
Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre DKIM, SPF et DMARC d’un coup d’œil.
Erreurs fréquentes
Anciennes valeurs CNAME copiées d’un guide. Depuis mai 2025, le format est différent et spécifique au tenant. Récupère toujours tes propres valeurs depuis le portail ou via Get-DkimSigningConfig — l’ancien et le nouveau format ne doivent pas coexister pour le même sélecteur.
Proxy Cloudflare laissé activé. Les CNAME DKIM proxifiés (orange) ne se résolvent pas ; le statut reste CnameMissing. Mets le proxy sur « DNS uniquement » (nuage gris).
Un seul sélecteur créé. Microsoft 365 a besoin des deux (selector1 et selector2._domainkey).
Bouton basculé avant la propagation des CNAME. Crée d’abord les CNAME et laisse-les se résoudre, puis bascule l’interrupteur — sinon l’activation échoue.
Pour aller plus loin
- Microsoft Learn : configurer DKIM pour signer les e-mails sortants (consulté le 10 juillet 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM)
