Outil de lookup DKIM
Vérifie n'importe quel selector DKIM et lis sa clé publique. Sors le record TXT sous selector._domainkey, confirme la présence de la clé et signale son type.
Cet outil de lookup DKIM vérifie n'importe quel selector et sort le record de clé publique qu'il pointe. Donne-lui un domaine et un selector, il lit le record TXT qui se planque sous selector._domainkey, là où DKIM range la clé dont les serveurs de réception se servent pour vérifier la signature de tes mails. Sans le selector, tu avances à l'aveugle, donc l'outil indique si un record existe, si la clé publique (p=) est présente et quel type de clé (k=) il déclare, puis affiche le record complet. C'est le bout à re-vérifier dès qu'un mail rebondit ou tombe en spam, parce que la moitié du temps un selector faux ou manquant est tout le problème. Va chercher la valeur s= sur un vrai mail si tu hésites sur celui à taper.
Les requêtes passent par le service de lookup PeopleAreGeek. Nous ne journalisons rien.
Outil de lookup DKIM : vérifier le selector DKIM et le record de clé publique
Donne-moi un domaine et un selector, je vais te sortir le record DKIM. Le truc avec DKIM, c'est que le record se planque sous selector._domainkey.example.com, donc sans le selector tu avances à l'aveugle. Dedans, tu trouves la clé publique dont les serveurs de réception se servent pour vérifier la signature de tes mails. Franchement, c'est le bout que je finis toujours par re-vérifier quand un mail rebondit, parce que la moitié du temps le problème est là.
C'est quoi un selector DKIM ?
Le selector DKIM est en gros une étiquette. Il indique au serveur de réception quelle clé aller chercher. Tu peux en publier plusieurs en même temps, et c'est toute l'astuce derrière la rotation des clés sans casser les mails d'hier. Le hic ? Chacun nomme le sien à sa sauce. J'ai croisé default, google, le duo selector1 / selector2, k1, plus une tonne de noms propres à chaque hébergeur qui ressemblent à du clavier tapé au hasard. Aucun standard nulle part. Du coup, tu pars à la chasse.
Comment retrouver ton selector
- Commence par la doc DNS de ton hébergeur. Il y nomme presque toujours le selector noir sur blanc, et c'est la voie la plus rapide.
- La doc reste vague ? Ouvre un message que tu as déjà envoyé et lis son en-tête DKIM-Signature. La valeur s= est ton selector, elle est là, en clair.
- Le même en-tête te donne d=, le domaine signataire. Tu colles d= dans le champ domaine et s= dans le champ selector. Et voilà.
Questions fréquentes
Pourquoi mon lookup DKIM ne renvoie aucun record ?
La plupart du temps, c'est le mauvais selector, alors teste-en deux ou trois autres avant de paniquer. Il se peut aussi que le record n'ait jamais été publié, ou que le DNS n'ait pas encore propagé et que le vide se remplisse dans l'heure. Certains hébergeurs planquent la clé sous un hostname que tu ne devinerais jamais. Dans le doute, va chercher la valeur s= sur un vrai mail que tu as envoyé et fais-lui confiance plutôt qu'à ce que tu as tapé de mémoire.
C'est quoi un selector DKIM ?
Le selector est une étiquette qui indique au serveur de réception quelle clé aller chercher. Tu peux en publier plusieurs en même temps, et c'est toute l'astuce derrière la rotation des clés sans casser les mails d'hier. Chacun nomme le sien à sa sauce : default, google, le duo selector1 et selector2, k1, plus une tonne de noms propres à chaque hébergeur. Aucun standard, donc tu pars à la chasse.
Comment retrouver mon selector ?
Commence par la doc DNS de ton hébergeur, qui nomme presque toujours le selector noir sur blanc. Si la doc reste vague, ouvre un message que tu as déjà envoyé et lis son en-tête DKIM-Signature. La valeur s= est ton selector et la valeur d= est le domaine signataire. Colle d= dans le champ domaine et s= dans le champ selector.
Est-ce que DKIM remplace SPF ?
Non, tu veux les deux. SPF dit quels serveurs ont le droit d'envoyer pour ton domaine. DKIM prouve que le message n'a pas été trafiqué en route. Ce sont deux boulots différents qui ne se recoupent presque pas. DMARC se pose par-dessus, relie les deux et indique aux serveurs de réception quoi faire quand l'un des deux échoue. Fais tourner les trois.