Outil de lookup DKIM

Vérifiez n'importe quel selector DKIM et lisez sa clé publique. Nous sortons le record TXT sous selector._domainkey, confirmons la présence de la clé et signalons son type.

Cet outil de lookup DKIM vérifie n'importe quel selector et sort le record de clé publique qu'il pointe. Donnez-nous un domaine et un selector, nous lisons le record TXT stocké sous selector._domainkey, là où DKIM range la clé dont les serveurs de réception se servent pour vérifier la signature de vos mails. Sans le selector, il n'y a rien à interroger, donc nous indiquons si un record existe, si la clé publique (p=) est présente et quel type de clé (k=) il déclare, puis affichons le record complet. C'est la valeur à re-vérifier dès qu'un mail rebondit ou tombe en spam, parce qu'un selector faux ou manquant est souvent tout le problème. Si vous hésitez sur le selector à saisir, lisez la valeur s= dans un message que vous avez déjà envoyé. Tout tourne dans votre navigateur, rien de ce que vous saisissez n'est envoye.

Les requêtes passent par le service de lookup PeopleAreGeek. Nous ne journalisons rien.

Outil de lookup DKIM : vérifier le selector DKIM et le record de clé publique

Cet outil de lookup DKIM lit le record DKIM pour le domaine et le selector que vous nous donnez. Le record se trouve sous selector._domainkey.example.com, donc sans le selector il n'y a rien à interroger. Dedans se trouve la clé publique dont les serveurs de réception se servent pour vérifier la signature de vos mails. Nous indiquons si un record existe, si la clé publique est présente et quel type de clé il déclare, puis affichons le record complet. C'est la valeur à re-vérifier dès qu'un mail rebondit, parce qu'un selector faux ou manquant est souvent là où se cache le problème.

C'est quoi un selector DKIM ?

Le selector DKIM est en gros une étiquette. Il indique au serveur de réception quelle clé aller chercher. Tu peux en publier plusieurs en même temps, et c'est toute l'astuce derrière la rotation des clés sans casser les mails d'hier. Le hic ? Chacun nomme le sien à sa sauce. J'ai croisé default, google, le duo selector1 / selector2, k1, plus une tonne de noms propres à chaque hébergeur qui ressemblent à du clavier tapé au hasard. Aucun standard nulle part. Du coup, tu pars à la chasse.

Comment retrouver ton selector

  • Commence par la doc DNS de ton hébergeur. Il y nomme presque toujours le selector noir sur blanc, et c'est la voie la plus rapide.
  • La doc reste vague ? Ouvre un message que tu as déjà envoyé et lis son en-tête DKIM-Signature. La valeur s= est ton selector, elle est là, en clair.
  • Le même en-tête te donne d=, le domaine signataire. Tu colles d= dans le champ domaine et s= dans le champ selector. Et voilà.

Questions fréquentes

Pourquoi mon lookup DKIM ne renvoie aucun record ?

La plupart du temps, c'est le mauvais selector, alors teste-en deux ou trois autres avant de paniquer. Il se peut aussi que le record n'ait jamais été publié, ou que le DNS n'ait pas encore propagé et que le vide se remplisse dans l'heure. Certains hébergeurs planquent la clé sous un hostname que tu ne devinerais jamais. Dans le doute, va chercher la valeur s= sur un vrai mail que tu as envoyé et fais-lui confiance plutôt qu'à ce que tu as tapé de mémoire.

C'est quoi un selector DKIM ?

Le selector est une étiquette qui indique au serveur de réception quelle clé aller chercher. Tu peux en publier plusieurs en même temps, et c'est toute l'astuce derrière la rotation des clés sans casser les mails d'hier. Chacun nomme le sien à sa sauce : default, google, le duo selector1 et selector2, k1, plus une tonne de noms propres à chaque hébergeur. Aucun standard, donc tu pars à la chasse.

Comment retrouver mon selector ?

Commence par la doc DNS de ton hébergeur, qui nomme presque toujours le selector noir sur blanc. Si la doc reste vague, ouvre un message que tu as déjà envoyé et lis son en-tête DKIM-Signature. La valeur s= est ton selector et la valeur d= est le domaine signataire. Colle d= dans le champ domaine et s= dans le champ selector.

Est-ce que DKIM remplace SPF ?

Non, tu veux les deux. SPF dit quels serveurs ont le droit d'envoyer pour ton domaine. DKIM prouve que le message n'a pas été trafiqué en route. Ce sont deux boulots différents qui ne se recoupent presque pas. DMARC se pose par-dessus, relie les deux et indique aux serveurs de réception quoi faire quand l'un des deux échoue. Fais tourner les trois.