Ce guide explique comment préparer puis activer la double signature DKIM2 sur le courrier sortant de votre domaine, depuis votre interface d'administration e-securemail. La procédure se déroule en quatre étapes, guidées par l'interface : vérification des prérequis DKIM, génération du jeu de clés, publication des enregistrements DNS, puis activation.
Qu'est-ce que DKIM2 ?
DKIM2 est la future évolution du protocole de signature DKIM, en cours de standardisation à l'IETF. Ce n'est pas encore une RFC : le format peut évoluer d'une révision à l'autre du draft, et Secuserve adapte son signataire au fil des révisions.
Par rapport à DKIM, la signature DKIM2 apporte les garanties suivantes :
L'enveloppe SMTP est signée. Les champs MAIL FROM et RCPT TO sont couverts par la signature : le rejeu d'un message vers un autre destinataire (« DKIM replay », massivement exploité par les campagnes de phishing) devient détectable.
Une double signature cryptographique. Chaque message est signé à la fois en ed25519 et en RSA-2048, sous deux sélecteurs DNS distincts, garantissant robustesse et compatibilité.
Tous les en-têtes sont signés. Contrairement à DKIM, il n'y a plus de liste d'en-têtes à choisir (balise h=) : l'intégralité des en-têtes est couverte, et les relais successifs sont chaînés, formant une chaîne de transmission vérifiable.
DKIM2 s'ajoute, il ne remplace pas. La signature DKIM existante reste en place sur vos messages : la double signature DKIM2 est apposée en complément.
draft-ietf-dkim-dkim2-spec-04), avec sa date d'expiration. Le comportement du signataire peut évoluer au rythme des révisions du draft IETF.Accéder à la page DKIM2
Accès direct : https://www.security-mail.net/domain?action=dkim2
La page présente d'abord un rappel de l'état de la norme DKIM2, puis les quatre étapes de mise en œuvre, numérotées de 1 à 4. Suivez-les dans l'ordre.
Étape 1 : Vérifier les prérequis DKIM
Le signataire DKIM2 s'appuie sur l'aiguillage de la signature DKIM existante. Pour que la signature DKIM2 s'applique, votre domaine doit remplir deux conditions, dont l'état est affiché directement dans cette section :
- Clés DKIM générées : votre domaine dispose d'un jeu de clés DKIM ;
- Signature DKIM activée : la signature DKIM est effectivement active sur le courrier sortant.
Si l'un des deux indicateurs est en anomalie (croix rouge), cliquez sur le lien DKIM → pour rejoindre la page de gestion DKIM et corriger la situation : générez vos clés DKIM et/ou activez la signature.
Étape 2 : Générer le jeu de clés DKIM2
Dans la section Clés de signature, cliquez sur le bouton « Générer un nouveau jeu de clés ».
e-securemail génère alors le jeu de clés propre à DKIM2, composé de deux clés — une clé ed25519 et une clé RSA-2048 — associées à deux sélecteurs DNS distincts. Cette opération est sans effet sur votre trafic : les clés générées ne sont utilisées qu'à partir de l'activation (étape 4).
Étape 3 : Publier les enregistrements DNS
Une fois le jeu de clés généré, la section Enregistrements DNS affiche les enregistrements à publier dans la zone DNS de votre domaine (un enregistrement par sélecteur, correspondant aux deux clés générées à l'étape 2).
- Copiez chaque enregistrement affiché (nom du sélecteur et valeur) ;
- Publiez-les dans la zone DNS de votre domaine, auprès de votre hébergeur DNS ou de votre registrar ;
- Patientez le temps de la propagation DNS (selon le TTL de votre zone), puis revenez sur la page pour vérifier que les enregistrements sont bien détectés.
Étape 4 : Activer la signature DKIM2
La section État commande l'apposition de la double signature DKIM2 sur le courrier sortant du domaine, en plus de la signature DKIM existante.
- Vérifiez que les étapes 1 à 3 sont complètes (prérequis DKIM au vert, clés générées, enregistrements DNS publiés et propagés) ;
- Basculez l'état de Désactivé vers Activé.
À compter de l'activation, tous les messages sortants de votre domaine portent la double signature DKIM2 (ed25519 + RSA-2048), en complément de leur signature DKIM habituelle. Vos correspondants qui ne vérifient pas encore DKIM2 continuent de valider vos messages via DKIM : l'activation est donc sans risque pour votre délivrabilité.
Vous pouvez à tout moment revenir à l'état Désactivé : vos messages restent alors signés en DKIM, comme auparavant.
Récapitulatif
| Étape | Action | Point de contrôle |
|---|---|---|
| 1. Prérequis DKIM | Vérifier que les clés DKIM sont générées et la signature DKIM activée (lien DKIM → si besoin) | Les deux indicateurs sont au vert |
| 2. Clés de signature | Cliquer sur « Générer un nouveau jeu de clés » | Le jeu de clés ed25519 + RSA-2048 est créé |
| 3. Enregistrements DNS | Publier les deux enregistrements (deux sélecteurs) dans la zone DNS du domaine | Les enregistrements sont détectés après propagation |
| 4. État | Basculer sur « Activé » | Le courrier sortant porte la double signature DKIM2 en plus de DKIM |
Questions fréquentes
DKIM2 remplace-t-il ma signature DKIM ?
Non. La signature DKIM reste en place : DKIM2 s'ajoute, il ne la remplace pas. C'est ce qui garantit une transition sans aucun impact sur la validation de vos messages par les destinataires.
Que se passe-t-il si je désactive DKIM après avoir activé DKIM2 ?
Le signataire DKIM2 s'appuyant sur l'aiguillage de la signature DKIM, la désactivation de DKIM suspend également la signature DKIM2. Maintenez DKIM actif sur votre domaine.
Pourquoi la page indique-t-elle un numéro de draft et une date d'expiration ?
DKIM2 est en cours de standardisation à l'IETF et n'est pas encore une RFC publiée. La page affiche la révision du draft actuellement implémentée (par exemple draft-ietf-dkim-dkim2-spec-04) et sa date d'expiration. Secuserve adapte son signataire au fil des révisions : aucune action de votre part n'est nécessaire lors de ces mises à jour, hormis d'éventuelles régénérations de clés qui vous seraient signalées dans l'interface.
Je ne vois pas la page DKIM2 dans mon interface
La page est actuellement en préversion et réservée aux comptes superusers. Si vous souhaitez y accéder, rapprochez-vous de notre support.