Dernière mise à jour : juillet 2026
En bref : après ce guide, ton domaine publie une clé publique DKIM valide dans Route 53 — soit sous forme d’enregistrements CNAME fournis par ton service de messagerie, soit comme enregistrement TXT pour ton propre serveur.
Prérequis
- Une zone hébergée publique dans Amazon Route 53
- Un service de messagerie qui signe tes envois (Amazon SES, Google Workspace, Microsoft 365 ou ton propre serveur)
Qu’est-ce que DKIM ?
DKIM (DomainKeys Identified Mail) ajoute une signature numérique aux e-mails sortants. Les serveurs destinataires vérifient ainsi qu’un e-mail vient vraiment de ton domaine et n’a pas été modifié en transit. DKIM fonctionne avec une paire de clés : la clé privée reste sur le serveur de messagerie et signe ; la clé publique est dans le DNS et sert au destinataire pour la vérification.
Pour situer : tandis que SPF autorise le serveur, DKIM sécurise le message. Ce n’est qu’avec DMARC que cela devient une base applicable.
Le point de départ chez Route 53
Route 53 ne fait que du DNS — il ne génère jamais de paire de clés. Les clés viennent de ton service de messagerie ; Route 53 ne fait que publier la moitié publique. Deux formes sont courantes :
A) Délégation CNAME (Amazon SES Easy DKIM, Microsoft 365). Le fournisseur héberge la clé et te donne quelques enregistrements CNAME (trois pour SES Easy DKIM) qui pointent vers son domaine. Tu les recrées dans Route 53. L’avantage : le fournisseur peut faire tourner les clés sans que tu retouches le DNS.
B) Clé publique TXT (ton propre serveur, Google Workspace). Ton serveur de messagerie (p. ex. OpenDKIM, ou Google Workspace qui t’affiche une valeur TXT) génère la paire de clés. Tu publies la clé publique comme enregistrement TXT sur sélecteur._domainkey.
Guide étape par étape
A) Délégation CNAME (p. ex. Amazon SES)
1. Récupérer les cibles CNAME. Dans la console de ton fournisseur, active DKIM et copie les paires hôte/cible CNAME affichées.
2. Créer chaque CNAME dans Route 53. Ouvre ta zone hébergée et choisis Create record pour chaque paire :
| Champ | Valeur |
|---|---|
| Record name | <token>._domainkey (tel qu’affiché par le fournisseur) |
| Record type | CNAME |
| Value | le nom d’hôte cible fourni |
Garde une règle AWS en tête : si tu crées un CNAME pour un sous-domaine, tu ne peux créer aucun autre enregistrement pour ce sous-domaine — et un CNAME est interdit au sommet de zone (le protocole DNS n’autorise pas de CNAME sur le nœud racine d’un espace de noms, le « zone apex »). Aucun des deux n’est un problème pour DKIM, puisque l’hôte du sélecteur (<token>._domainkey) est toujours un sous-domaine dédié.
B) Clé publique TXT
1. Générer la clé sur le serveur. Ton serveur produit un sélecteur et une paire de clés. Tu obtiens une clé publique au format v=DKIM1; k=rsa; p=....
2. Créer l’enregistrement TXT dans Route 53 :
| Champ | Valeur |
|---|---|
| Record name | <sélecteur>._domainkey (p. ex. dkim._domainkey) |
| Record type | TXT |
| Value | "v=DKIM1; k=rsa; p=<ta-clé-publique>" |
Comme pour l’enregistrement SPF, la règle Route 53 s’applique : la valeur TXT va entre guillemets doubles (un enregistrement TXT contient une ou plusieurs chaînes entourées de guillemets doubles). Une clé DKIM dépasse facilement la limite de 255 caractères d’une seule chaîne — Route 53 permet de la découper : une chaîne peut contenir jusqu’à 255 caractères, donc scinde une longue clé en plusieurs chaînes entre guillemets sur la même ligne ("v=DKIM1; k=rsa; " "p=MIIBI..."). La valeur totale peut atteindre 4 000 caractères.
Attendre que la modification soit en ligne
D’après la doc AWS, les modifications se propagent généralement à tous les serveurs de noms Route 53 en 60 secondes — les caches en aval suivent à l’expiration du TTL.
Vérifier le résultat
L’enregistrement DNS seul ne suffit pas — le serveur de messagerie doit vraiment signer avec la clé privée. Vérifie l’ensemble avec le scanner MXAudit gratuit — il montre DKIM, SPF et DMARC d’un coup d’œil.
Erreurs fréquentes
Clé découpée mal saisie. Une longue clé RSA doit être scindée en chaînes de ≤ 255 caractères entre guillemets sur une ligne — pas collée en une seule chaîne de 300 caractères.
Guillemets oubliés. Dans le champ Value de Route 53, la valeur TXT va entre guillemets doubles.
Le sélecteur ne correspond pas. Le nom dans le DNS (sélecteur._domainkey) doit correspondre exactement au sélecteur avec lequel le serveur signe.
D’autres enregistrements sous un hôte CNAME. Avec la délégation CNAME, impossible d’ajouter d’autres enregistrements sous le même sous-domaine — Route 53 (et le DNS lui-même) l’interdit.
DNS en place, mais pas de signature. DKIM a besoin des deux moitiés : la clé publique dans le DNS et la signature active côté serveur. Vérifie les deux.
Pour aller plus loin
- Guide développeur Amazon Route 53 : Supported DNS record types (consulté le 10 juillet 2026)
- Guide développeur Amazon Route 53 : Creating records using the console (consulté le 10 juillet 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM)
