Dernière mise à jour : juillet 2026

En bref : Un sélecteur DKIM divise l’espace de noms des clés d’un domaine, permettant à plusieurs clés publiques de coexister simultanément dans le DNS. C’est le mécanisme clé qui rend possible l’utilisation de plateformes d’envoi tierces et la rotation des clés sans interruption de service.

Lorsque ton serveur de messagerie applique une signature cryptographique DomainKeys Identified Mail (DKIM) à un e-mail sortant, il ajoute l’en-tête DKIM-Signature au message. Dans cet en-tête, le tag d= indique ton domaine de signature et le tag s= spécifie le sélecteur exact utilisé pour signer le message. Les serveurs récepteurs ont besoin de ces deux informations pour localiser et récupérer la bonne clé publique dans tes enregistrements DNS.

Diviser l’espace de noms des clés

Selon la norme RFC 6376, les sélecteurs divisent l’espace de noms (To support multiple concurrent public keys per signing domain, the key namespace is subdivided using "selectors".).

Sans sélecteurs, un domaine ne pourrait publier qu’une seule clé publique DKIM sous _domainkey.example.com. Cependant, les organisations modernes expédient souvent des e-mails depuis plusieurs plateformes indépendantes en même temps — comme Google Workspace, une API d’e-mails transactionnels et un outil d’automatisation marketing. Le sélecteur (s=) résout ce problème en créant des sous-domaines uniques sous _domainkey.

Par exemple, si l’en-tête d’une signature entrante spécifie d=example.com et s=mail2026, le serveur récepteur interroge l’enregistrement TXT suivant :

mail2026._domainkey.example.com

Un enregistrement de clé publique standard renvoyé par cette requête DNS ressemble à ceci :

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Clés simultáneas et rotation sans coupure

Les sélecteurs permettent deux pratiques d’administration essentielles :

  • Isolation des plateformes : Tu peux attribuer des sélecteurs distincts à chaque fournisseur de services, par exemple google._domainkey pour ton fournisseur de messagerie principal et crm._domainkey pour ton système de gestion de la relation client.
  • Rotation de clés fluide : Les bonnes pratiques de sécurité exigent de renouveler régulièrement les clés cryptographiques. Grâce aux sélecteurs, tu peux publier une nouvelle clé sous un nouveau sélecteur (comme s=2026b), activer la signature sur ton serveur et laisser l’ancien sélecteur (s=2026a) actif dans le DNS jusqu’à ce que tous les e-mails en transit aient été livrés et vérifiés.

Tags optionnels dans l’enregistrement de clé

Au-delà de la chaîne du sélecteur qui pointe vers l’enregistrement DNS, la chaîne TXT publiée elle-même peut contenir des tags de contrôle optionnels. Selon la RFC 6376, le tag s= (s= Service Type (plain-text; OPTIONAL; default is "*")) restreint l’enregistrement à des types de services spécifiques. De plus, tu peux déployer de nouvelles clés en toute sécurité grâce au mode de test : le flag t=y indique qu’un domaine teste DKIM (y This domain is testing DKIM. Verifiers MUST NOT treat messages from Signers in testing mode differently from unsigned email, even should the signature fail to verify.). Un enregistrement de test s’écrit ainsi :

v=DKIM1; k=rsa; t=y; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Vérifier tes sélecteurs

Pour confirmer que tes sélecteurs DKIM se résolvent correctement dans le DNS et que la syntaxe de ta clé publique est valide, teste ton domaine avec le scanner gratuit MXAudit.

Pour explorer d’autres concepts et détails techniques, consulte le guide complet DKIM et des tutoriels pratiques comme configurer DKIM chez IONOS.

Pour aller plus loin