Dernière mise à jour : juillet 2026

En bref : Pour les clés DKIM basées sur RSA, la norme actualisée (RFC 8301) exige une longueur de clé minimale de 1024 bits et recommande fortement 2048 bits. Les clés de moins de 1024 bits doivent être rejetées comme invalides par les serveurs de messagerie récepteurs.

La robustesse cryptographique de DomainKeys Identified Mail (DKIM) dépend fortement de la longueur de la paire de clés RSA déployée sur tes serveurs de messagerie. Les administrateurs se demandent souvent s’il faut publier des clés de 1024 bits ou de 2048 bits dans leurs enregistrements DNS. La norme actualisée, RFC 8301, fixe des exigences obligatoires claires pour la taille des clés et le choix des algorithmes.

Exigences obligatoires de la RFC 8301

Selon la RFC 8301, les signataires doivent déployer des clés RSA d’au moins 1024 bits et devraient idéalement adopter 2048 bits (Signers MUST use RSA keys of at least 1024 bits for all keys. Signers SHOULD use RSA keys of at least 2048 bits.).

Dans le même temps, la spécification fixe des normes de compatibilité pour les systèmes récepteurs : les vérificateurs doivent être capables de valider des signatures utilisant des clés allant de 1024 à 4096 bits (Verifiers MUST be able to validate signatures with keys ranging from 1024 bits to 4096 bits, and they MAY be able to validate signatures with larger keys.).

Un enregistrement de clé RSA de 2048 bits standard dans le DNS ressemble à ceci :

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Pourquoi les clés de moins de 1024 bits sont rejetées

Par le passé, les administrateurs déployaient souvent des clés RSA de 512 bits car leur courte représentation en base64 tenait facilement dans la limite historique des 255 caractères des anciens panneaux de configuration DNS. Aujourd’hui, cependant, les clés de 512 bits sont cryptographiquement faibles et peuvent être brisées rapidement grâce à la puissance de calcul moderne.

Pour protéger l’intégrité des e-mails, la RFC 8301 fixe une limite stricte : les vérificateurs doivent refuser de considérer comme valides les clés RSA inférieures à 1024 bits (Verifiers MUST NOT consider signatures using RSA keys of less than 1024 bits as valid signatures.). Si un message entrant est signé avec une clé de 512 bits, les serveurs récepteurs traitent la signature comme totalement invalide.

Algorithmes de hachage : SHA-256 est obligatoire

En plus de la longueur de la clé, l’algorithme de hachage cryptographique sous-jacent est essentiel. La RFC 8301 renforce la sécurité du protocole en rendant SHA-256 obligatoire : Signers MUST sign using rsa-sha256. Verifiers MUST be able to verify using rsa-sha256. De plus, l’algorithme obsolète SHA-1 est strictement interdit : rsa-sha1 MUST NOT be used for signing or verifying.

Gérer les longs enregistrements TXT pour les clés de 2048 bits

Comme la charge utile en base64 d’une clé RSA de 2048 bits dépasse 255 caractères, elle ne peut pas être stockée sous forme d’une seule chaîne ininterrompue dans les anciennes interfaces DNS. Cependant, le protocole DNS permet de découper les enregistrements TXT longs en plusieurs chaînes concaténées au sein d’une même entrée TXT. Les fournisseurs cloud modernes et les panneaux d’hébergement effectuent cette découpe automatiquement ou permettent de saisir directement la clé de 2048 bits en entier.

Auditer ta configuration

Pour vérifier si ton domaine utilise actuellement des clés de 1024 bits ou de 2048 bits, confirmer l’utilisation de SHA-256 et vérifier que tes chaînes DNS découpées se réassemblent correctement, teste ton domaine avec le scanner gratuit MXAudit.

Pour des guides détaillés sur la gestion de ton infrastructure de signature chez différents hébergeurs, explore le guide complet DKIM et des tutoriels pratiques comme configurer DKIM chez IONOS.

Pour aller plus loin