Dernière mise à jour : juillet 2026

En bref : après ce guide, Microsoft 365 signe tes e-mails sortants avec DKIM — via deux sélecteurs CNAME pointant vers des clés gérées par Microsoft.

Prérequis

  • Un locataire (tenant) Microsoft 365 avec un domaine personnalisé
  • L’accès au portail Microsoft Defender (un rôle pour l’authentification e-mail)
  • L’accès à la gestion DNS de ton domaine (chez l’hébergeur du domaine)

Qu’est-ce que DKIM ?

DKIM (DomainKeys Identified Mail) ajoute une signature numérique aux e-mails sortants, que le destinataire vérifie via une clé publique publiée dans le DNS. Microsoft 365 stocke ces clés sous forme d’entrées CNAME — d’autres systèmes de messagerie utilisent souvent des entrées TXT à la place.

Pour situer les choses : là où SPF autorise le serveur, DKIM sécurise le message. Ce n’est qu’avec DMARC qu’il devient une base applicable.

Le point de départ chez Microsoft 365

Deux choses d’abord :

Le domaine *.onmicrosoft.com est signé automatiquement — pour les e-mails qui ne passent que par lui, tu n’as rien à faire. Pour ton domaine personnalisé (example.com), tu actives DKIM une fois dans le portail Defender et crées deux entrées CNAME chez l’hébergeur du domaine.

Microsoft génère deux paires de clés et fournit les sélecteurs selector1._domainkey et selector2._domainkey — les noms d’hôte sont identiques pour toutes les organisations Microsoft 365. Les clés privées restent chez Microsoft ; les CNAME pointent vers les clés publiques.

Attention, changement de format : depuis mai 2025, Microsoft utilise un nouveau format de cible CNAME pour les nouveaux domaines, avec un caractère de partition attribué dynamiquement. Tu devrais donc toujours récupérer les valeurs de cible exactes depuis ton propre tenant et ne pas les copier depuis un guide plus ancien.

Guide étape par étape

1. Ouvrir DKIM dans le portail Defender

Va sur security.microsoft.com/authentication et sélectionne l’onglet DKIM. Clique sur ton domaine personnalisé — le volet de détail affiche les deux valeurs CNAME à créer.

2. Récupérer les valeurs de cible CNAME exactes

Les noms d’hôte sont fixes :

  • selector1._domainkey
  • selector2._domainkey

Les valeurs de cible dépendent de ton tenant. Pour les nouveaux domaines (depuis mai 2025), elles ont la forme :

selector1-<CustomDomainWithDashes>._domainkey.<InitialDomainPrefix>.<DynamicPartitionCharacter>-v1.dkim.mail.microsoft

Pour les domaines existants, l’ancien format s’applique toujours :

selector1-contoso-com._domainkey.contoso.onmicrosoft.com

Le caractère de partition dynamique est attribué par Microsoft et n’est pas configurable. Au lieu de deviner, récupère les valeurs exactes via PowerShell :

Get-DkimSigningConfig -Identity contoso.com | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME

(remplace contoso.com par ton domaine). Les deux valeurs SelectorXCNAME sont les cibles de tes entrées CNAME.

3. Créer les entrées CNAME chez l’hébergeur du domaine

Chez le fournisseur DNS de ton domaine, crée deux enregistrements CNAME : selector1._domainkey et selector2._domainkey, chacun avec la valeur de cible correspondante de l’étape 2. L’endroit exact est montré dans nos guides d’hébergeurs — par ex. IONOS, Strato ou Netcup.

Important avec Cloudflare : désactive le proxy Cloudflare (le nuage orange) pour les entrées CNAME DKIM — les CNAME proxifiés ne se résolvent pas correctement et la validation de Microsoft échoue.

4. Activer DKIM

De retour dans le portail Defender : dans l’onglet DKIM, fais glisser le bouton de ton domaine de Désactivé à Activé. Si le statut ne change pas immédiatement, choisis Actualiser — la valeur passe alors à Activé.

5. Attendre que la modification soit en ligne

La propagation DNS peut prendre de quelques minutes à 48 heures selon le fournisseur et le TTL. Si le statut reste plus longtemps sur CnameMissing, vérifie les entrées (et le proxy Cloudflare).

Vérifier le résultat

Vérifie ta configuration avec le scanner MXAudit gratuit — il te montre DKIM, SPF et DMARC d’un coup d’œil.

Erreurs fréquentes

Anciennes valeurs CNAME copiées d’un guide. Depuis mai 2025, le format est différent et spécifique au tenant. Récupère toujours tes propres valeurs depuis le portail ou via Get-DkimSigningConfig — l’ancien et le nouveau format ne doivent pas coexister pour le même sélecteur.

Proxy Cloudflare laissé activé. Les CNAME DKIM proxifiés (orange) ne se résolvent pas ; le statut reste CnameMissing. Mets le proxy sur « DNS uniquement » (nuage gris).

Un seul sélecteur créé. Microsoft 365 a besoin des deux (selector1 et selector2._domainkey).

Bouton basculé avant la propagation des CNAME. Crée d’abord les CNAME et laisse-les se résoudre, puis bascule l’interrupteur — sinon l’activation échoue.

Pour aller plus loin