Dernière mise à jour : juillet 2026

En bref : L’algorithme de signature Ed25519 (RFC 8463) introduit la cryptographie moderne sur courbes elliptiques dans DomainKeys Identified Mail (DKIM). Il offre une sécurité nettement supérieure au RSA traditionnel tout en générant des clés compactes qui s’intègrent facilement dans n’importe quelle interface de gestion DNS.

Depuis la standardisation initiale de DKIM, RSA a servi d’algorithme cryptographique universel. Cependant, maintenir une résistance suffisante face à la puissance de calcul moderne exige d’augmenter la longueur des clés RSA à 2048 bits — ce qui produit des chaînes DNS longues et complexes de plus de 300 caractères en base64. Pour résoudre ce goulot d’étranglement architectural, la RFC 8463 a introduit un algorithme cryptographique de pointe : Ed25519.

Cryptographie sur courbes elliptiques et clés compactes

La RFC 8463 spécifie officiellement l’algorithme de signature numérique Edwards-Curve utilisant la courbe Curve25519 pour DKIM (This document adds a new, stronger signing algorithm, Edwards-Curve Digital Signature Algorithm, using the Curve25519 curve (Ed25519), which has much shorter keys than RSA for similar levels of security.).

Le principal avantage opérationnel d’Ed25519 est son efficacité. Alors qu’une clé publique RSA sécurisée nécessite au moins 2048 bits de données (exigeant souvent la concaténation de chaînes dans les enregistrements TXT), une clé publique Ed25519 ne nécessite que 256 bits (k=ed25519). Cela permet aux administrateurs de publier des paramètres cryptographiques robustes dans un enregistrement TXT DNS court, propre et tenant sur une seule ligne sans découpage.

Un enregistrement DNS DKIM complet utilisant Ed25519 ressemble à ceci :

v=DKIM1; k=ed25519; p=11qYAYKxCrfVS/7TyWQHOg7hcvPapiMlrwIaaPcHURo=

Stratégie de migration et double signature

Bien qu’Ed25519 apporte des avantages architecturaux clairs, les propriétaires de domaines doivent tenir compte de la rétrocompatibilité lors de la migration. Selon la spécification de base DKIM (RFC 6376), les signataires et les vérificateurs sont obligés de prendre en charge le RSA traditionnel (Signers and Verifiers MUST support the "rsa" key type.). Comme les anciens serveurs récepteurs peuvent ne pas encore intégrer la RFC 8463, remplacer complètement RSA par Ed25519 risque d’entraîner des échecs de vérification de signature sur les anciens systèmes.

Pour obtenir une sécurité moderne sans compromettre la délivrabilité, la meilleure pratique consiste à déployer une double signature :

  1. Sélecteur RSA principal : Signe les messages sortants en utilisant une clé RSA de 2048 bits standard (k=rsa) sur un sélecteur principal afin de garantir une compatibilité universelle avec les anciens vérificateurs.
  2. Sélecteur Ed25519 secondaire : Applique une seconde signature simultanée en utilisant une clé Ed25519 (k=ed25519) sur un sélecteur distinct pour offrir une protection cryptographique de pointe aux passerelles de messagerie modernes.

Auditer ta configuration

Pour vérifier si les en-têtes de tes e-mails sortants portent une double signature et confirmer que la syntaxe de ton enregistrement de clé Ed25519 est valide dans le DNS, audite ton domaine avec le scanner gratuit MXAudit.

Pour approfondir les aspects techniques de l’authentification ou suivre des guides étape par étape par fournisseur, consulte le guide complet DKIM et des tutoriels pratiques comme configurer DKIM chez IONOS.

Pour aller plus loin