Pourquoi générer une paire de clés ici au lieu de laisser mon provider mail le faire ?

La plupart des providers managés (Google Workspace, Microsoft 365, Mailgun, SendGrid) te donnent une clé DKIM clés en main. Mais si tu fais tourner **ton propre SMTP** (Postfix + opendkim, exim, Haraka, un mailer Node custom), si tu **changes de provider** et veux continuer à signer pendant la transition, ou si tu veux simplement **faire la rotation** d'une clé périmée que ton panneau d'hébergement n'a jamais exposée, tu génères la paire de clés toi-même. Cet outil le fait en un clic sans que tu aies besoin d'installer OpenSSL.

Quelle longueur de clé choisir : 1024, 2048 ou 4096 ?

**2048 bits est la bonne réponse pour presque tout le monde**. C'est la recommandation dans **RFC 8301** et le défaut moderne de facto. **1024 bits** marche encore chez la plupart des destinataires mais est considéré faible (NIST l'a déprécié pour les signatures RSA il y a des années) et des providers comme Google avertissent maintenant à ce sujet. **4096 bits** est techniquement plus fort mais produit des signatures environ **5 à 7 fois plus lentes** à calculer et une clé publique avec laquelle certains panneaux DNS legacy galèrent à héberger. La signature est recalculée pour chaque message sortant, donc 4096 bits peut devenir un coût CPU mesurable sur des serveurs mail haute volumétrie sans gain de sécurité réel par rapport à 2048 bits.

C'est quoi un « selector » et comment en choisir un ?

Un **selector** est un court label (typiquement alphanumérique, par exemple `mail2024`, `s1`, `google`, `mxvault`) qui devient une partie du nom DNS où tu publies la clé publique : ` ._domainkey. `. Le message signant inclut le selector dans son header DKIM-Signature (`s=mail2024`), pour que les destinataires sachent quelle clé récupérer. Le but des selectors c'est que tu peux publier **plusieurs clés simultanément** sous différents selectors, ce qui est exactement ce qui permet une **rotation de clés** propre sans downtime. Choisis quelque chose de descriptif comme `mail-2026-05` si tu fais la rotation sur un planning.

Où va la clé privée après que je l'ai téléchargée ?

Sur ton **serveur mail**, dans un emplacement que le démon SMTP (ou son module de signature comme opendkim) peut lire. Chemins typiques : `/etc/opendkim/keys/ / .private` sur Linux, ou ce que ton provider documente. **Les permissions comptent** : le fichier devrait être lisible seulement par l'utilisateur du serveur mail (`chmod 600`, possédé par `opendkim` ou ton utilisateur mailer). La clé privée ne quitte jamais le serveur, n'est jamais envoyée par e-mail, et n'est jamais commit dans un dépôt git. Si elle l'est, traite-la comme compromise et fais la rotation immédiatement.

À quelle fréquence faire la rotation des clés DKIM ?

Les conseils du secteur de **M3AAWG** et Google sont **tous les 6 mois** pour les expéditeurs en production. En pratique, beaucoup de petits expéditeurs font la rotation annuellement et c'est toujours OK, tandis que les grandes plateformes (providers transactionnels, grandes entreprises) font souvent la rotation trimestriellement. La rotation est pas chère si tu la fais bien : génère un nouveau selector, publie la nouvelle clé en DNS, bascule la config du serveur mail pour signer avec la nouvelle clé, puis **attends au moins une semaine** avant de retirer l'ancien selector (pour que le mail signé avant le switch se vérifie toujours, puisque les signatures DKIM sont vérifiées au moment de la livraison, ce qui peut être des heures ou jours après l'envoi pour du mail retardé).

Comment DKIM se relie à SPF et DMARC ?

**SPF** dit « ces adresses IP sont autorisées à envoyer du mail pour mon domaine ». **DKIM** dit « ce message spécifique a été signé avec la clé privée de mon domaine, donc le contenu est authentique ». **DMARC** les attache ensemble : il dit aux destinataires « si un message échoue à la fois SPF et DKIM, fais X » (X est généralement `none` pour le monitoring, `quarantine` pour le dossier spam, ou `reject` pour le jeter). Tu veux **les trois**. DKIM est le plus fort des trois parce que la signature couvre le corps du message, donc même si un hop intermédiaire modifie les headers, la signature peut toujours se vérifier. SPF casse au moment où un message est transféré ; DKIM survit à la plupart des transferts.

Que se passe-t-il si ma clé privée fuit ?

N'importe qui avec la clé peut signer du mail comme ton domaine, ruinant tout le but de DKIM. **Traite une fuite comme sérieuse** : génère immédiatement une nouvelle paire de clés sous un **nouveau selector**, publie la nouvelle clé publique en DNS, bascule ton serveur mail pour signer avec la nouvelle clé, et **révoque la clé fuitée** en réglant la valeur `p=` de son enregistrement DNS à vide (`v=DKIM1; k=rsa; p=`). Les destinataires qui essaient de vérifier une signature de la clé fuitée verront le `p=` vide et rejetteront la signature comme révoquée. Ne supprime pas l'ancien enregistrement TXT d'emblée, laisse la révocation en place pendant quelques semaines pour que les destinataires voient « explicitement révoquée » plutôt que « selector manquant ».

Pourquoi l'enregistrement TXT est splitté en plusieurs strings entre guillemets ?

Une seule character-string dans un enregistrement DNS TXT est **cappée à 255 octets** par **RFC 1035**. Une clé publique RSA 2048 bits en base64 fait environ **400 caractères**, et une clé 4096 bits fait environ **730 caractères**, les deux bien au-dessus du cap. Le DNS résout ça en autorisant un seul enregistrement TXT à contenir **plusieurs strings entre guillemets** que le resolver concatène : `"v=DKIM1; k=rsa; p=MIIBIj..." "...AQAB"`. Certaines UI DNS modernes (Cloudflare, Route 53) acceptent la longue string unique et la splittent pour toi automatiquement ; les panneaux plus anciens (certaines installs cPanel, OVH classique, registrars génériques) exigent que tu entres la forme splittée toi-même. On te donne les deux, colle celle que ton provider accepte.

Quelle est la bonne stratégie de rollover de clé avec plusieurs selectors ?

Le pattern propre : (1) **génère** une nouvelle paire de clés sous un nouveau selector, par exemple `s2-2026` ; (2) **publie** la nouvelle clé publique en DNS pendant que l'ancien selector `s1-2025` est encore là ; (3) **attends la propagation DNS** (quelques heures à un jour) ; (4) **bascule** le serveur mail pour signer avec la clé du nouveau selector ; (5) **attends au moins 1 à 2 semaines** pour que tout mail en cours ou retardé signé avec l'ancienne clé se vérifie toujours ; (6) **révoque** l'ancien selector en vidant sa valeur `p=` ; (7) **supprime** entièrement l'ancien enregistrement TXT après un autre mois. Cette séquence zero-downtime est exactement pourquoi DKIM a des selectors en premier lieu, tu n'as jamais à casser la signature pour faire la rotation.

Générateur paire de clés DKIM - gratuit

Ce qu'est une paire de clés DKIM

DKIM (DomainKeys Identified Mail) est une façon pour ton serveur mail de signer cryptographiquement chaque message sortant, pour que les destinataires comme Gmail et Outlook puissent vérifier que le message vient vraiment de ton domaine et n'a pas été trafiqué en transit. Pour ça, ton serveur mail a besoin d'une paire de clés : une clé privée qui vit sur le serveur et signe chaque message, et une clé publique que tu publies comme enregistrement DNS TXT à `<selector>._domainkey.<ton-domaine>` pour que les destinataires puissent la récupérer.

Cet outil génère cette paire de clés pour toi dans ta requête navigateur, renvoie la clé privée encodée en PEM (que tu installes sur ton serveur mail) et l'enregistrement TXT prêt à coller (que tu publies en DNS). RSA, 1024 / 2048 / 4096 bits, généré avec le crypto intégré de Node (bindings OpenSSL sous le capot). On ne stocke jamais la clé.

Comment l'utiliser

Choisis un selector : un court label comme `mail2024`, `s1`, ou `google`. Il identifie quelle clé a signé le message, donc un nouveau selector te permet de faire la rotation sans casser le vieux mail.
Choisis une longueur de clé : 2048 bits est le défaut moderne. 1024 bits est legacy (toujours accepté mais découragé). 4096 bits est overkill pour presque tout le monde et ralentit le chemin de signature.
Optionnel : entre ton domaine pour qu'on puisse t'afficher le nom DNS complet (`<selector>._domainkey.<ton-domaine>`). Sans lui, tu obtiens quand même le corps de l'enregistrement TXT.
Clique sur Générer. On renvoie la clé privée en format PEM et la valeur de l'enregistrement TXT prête à coller dans ton panneau DNS.
Sauvegarde la clé privée maintenant. On ne la stocke jamais. Fermer cet onglet la perd à jamais. Installe-la dans ton serveur mail (Postfix + opendkim, exim, MTA-STS, Mailgun, SendGrid, Postmark, ton propre SMTP) selon la doc de ton provider.
Publie l'enregistrement TXT à `<selector>._domainkey.<ton-domaine>` dans ton DNS. Si ton provider limite une seule string TXT à 255 caractères (la plupart le font, c'est la limite RFC), utilise la forme splittée qu'on fournit : `"part1" "part2"` sur une ligne.
Attends la propagation DNS (de quelques minutes à quelques heures), puis envoie un mail de test et vérifie les headers pour `dkim=pass`. Gmail l'affiche sous « Afficher l'original ».

Quand c'est utile

Six scénarios typiques où tu as besoin d'une nouvelle paire de clés DKIM :

Configurer DKIM pour la première fois sur un nouveau domaine ou un nouveau serveur mail. Il te faut la paire de clés avant de pouvoir configurer chaque côté.
Rotation de clés tous les 6 à 12 mois comme pratique d'hygiène de sécurité. Génère un nouveau selector, publie-le, bascule la clé de signature sur le serveur, puis retire l'ancien selector après une période de grâce.
Suspicion de compromission de clé : si tu penses que la clé privée a fuité (brèche serveur, commit accidentel sur un dépôt public, ex-admin avec encore l'accès), génères-en une nouvelle immédiatement et révoque l'ancienne en vidant sa valeur `p=`.
Ajouter une seconde source d'envoi (un provider transactionnel comme SendGrid à côté de ton propre Postfix). Chaque source veut typiquement son propre selector et sa propre clé.
Passer d'une clé 1024 bits legacy à une clé 2048 bits moderne. La plupart des providers crient fort à ce sujet en 2026.
Tester DKIM sur un domaine de staging avant de l'activer pour le mail de production.

Outils connexes : vérificateur DNS e-mail (vérifier ton enregistrement publié), lookup DNS, analyseur de header mail.

Questions et réponses

DKIM (DomainKeys Identified Mail) est un standard d'authentification e-mail. Ton serveur mail signe chaque message sortant avec une clé privée, et les destinataires récupèrent ta clé publique depuis le DNS pour vérifier la signature. Si la math passe, le destinataire sait que le message vient vraiment de ton domaine et que le corps n'a pas été modifié en transit. Sans DKIM, Gmail et Outlook marqueront ton mail comme suspect ou l'enverront direct en spam. DKIM est l'un des trois piliers de la délivrabilité e-mail moderne, à côté de SPF (qui est autorisé à envoyer pour toi) et DMARC (ce que les destinataires devraient faire quand SPF ou DKIM échoue).

Ce qu'est une paire de clés DKIM

Comment l'utiliser

Choisis un selector : un court label comme `mail2024`, `s1`, ou `google`. Il identifie quelle clé a signé le message, donc un nouveau selector te permet de faire la rotation sans casser le vieux mail.

Choisis une longueur de clé : 2048 bits est le défaut moderne. 1024 bits est legacy (toujours accepté mais découragé). 4096 bits est overkill pour presque tout le monde et ralentit le chemin de signature.

Optionnel : entre ton domaine pour qu'on puisse t'afficher le nom DNS complet (`<selector>._domainkey.<ton-domaine>`). Sans lui, tu obtiens quand même le corps de l'enregistrement TXT.

Clique sur Générer. On renvoie la clé privée en format PEM et la valeur de l'enregistrement TXT prête à coller dans ton panneau DNS.

Sauvegarde la clé privée maintenant. On ne la stocke jamais. Fermer cet onglet la perd à jamais. Installe-la dans ton serveur mail (Postfix + opendkim, exim, MTA-STS, Mailgun, SendGrid, Postmark, ton propre SMTP) selon la doc de ton provider.

Publie l'enregistrement TXT à `<selector>._domainkey.<ton-domaine>` dans ton DNS. Si ton provider limite une seule string TXT à 255 caractères (la plupart le font, c'est la limite RFC), utilise la forme splittée qu'on fournit : `"part1" "part2"` sur une ligne.

Attends la propagation DNS (de quelques minutes à quelques heures), puis envoie un mail de test et vérifie les headers pour `dkim=pass`. Gmail l'affiche sous « Afficher l'original ».

Quand c'est utile

Six scénarios typiques où tu as besoin d'une nouvelle paire de clés DKIM :

Configurer DKIM pour la première fois sur un nouveau domaine ou un nouveau serveur mail. Il te faut la paire de clés avant de pouvoir configurer chaque côté.
Rotation de clés tous les 6 à 12 mois comme pratique d'hygiène de sécurité. Génère un nouveau selector, publie-le, bascule la clé de signature sur le serveur, puis retire l'ancien selector après une période de grâce.
Suspicion de compromission de clé : si tu penses que la clé privée a fuité (brèche serveur, commit accidentel sur un dépôt public, ex-admin avec encore l'accès), génères-en une nouvelle immédiatement et révoque l'ancienne en vidant sa valeur `p=`.
Ajouter une seconde source d'envoi (un provider transactionnel comme SendGrid à côté de ton propre Postfix). Chaque source veut typiquement son propre selector et sa propre clé.
Passer d'une clé 1024 bits legacy à une clé 2048 bits moderne. La plupart des providers crient fort à ce sujet en 2026.
Tester DKIM sur un domaine de staging avant de l'activer pour le mail de production.

Outils connexes : vérificateur DNS e-mail (vérifier ton enregistrement publié), lookup DNS, analyseur de header mail.

Questions et réponses

Générateur paire de clés DKIM

Ce qu'est une paire de clés DKIM

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Vérificateur DNS email

Lookup DNS

Validateur DNSSEC

Analyseur headers email

Lookup WHOIS

Générateur paire de clés DKIM

Ce qu'est une paire de clés DKIM

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Vérificateur DNS email

Lookup DNS

Validateur DNSSEC

Analyseur headers email

Lookup WHOIS