Comment configurer DKIM et enfin faire arriver vos cold emails dans les boîtes de réception

Si tu configures un nouveau domaine pour tes emails de prospection, et que ton email ressemble à outreach.yourcompany.com, la première chose à faire est de l'authentifier correctement. 

Sans ça, les fournisseurs de boîtes de réception comme Gmail et Outlook risquent de considérer tes emails comme suspects. Et avec des filtres de plus en plus stricts en 2024, même les expéditeurs avec un faible volume d'envois voient leurs emails légitimes atterrir dans les spams.

Configurer DKIM, c'est la façon de prouver que tes emails sont réels, qu'ils n'ont pas été falsifiés ou modifiés.

S'il est manquant, tu pourrais déjà voir :

❌ Des erreurs « Missing DKIM » dans ton outil de warm-up 

❌ Des en-têtes Gmail affichant dkim=fail

❌ Des campagnes peu performantes avec peu d'ouvertures, beaucoup de placements en spam et aucune réponse

Dans ce guide, on va te montrer comment configurer DKIM étape par étape, en fonction de ta configuration :

• Si tu utilises Google Workspace, on va te montrer comment générer et activer DKIM dans la console d'administration

• Si tu es sur Microsoft 365, on va t'expliquer comment le configurer dans le portail Defender

• Si tu utilises un domaine personnalisé sur GoDaddy ou Cloudflare, on va te montrer comment ajouter les bons enregistrements manuellement, même si tu n'as jamais touché au DNS auparavant.

Démarrage Rapide : Choisis ta Méthode DKIM

• Tu utilises Gmail (Google Workspace) ? Configure-le dans la Google Admin Console
  
• Tu utilises Outlook (Microsoft 365) ? Configure-le dans Microsoft Defender + DNS
  
• Tu utilises un domaine personnalisé avec des outils comme Instantly, Smartlead ou ActiveCampaign ? Ajoute les enregistrements DKIM chez ton fournisseur DNS (comme GoDaddy)

Comment fonctionne DKIM

Chaque fois que tu envoies un email, DKIM y ajoute une signature numérique invisible. Cette signature prouve deux choses :

1. L'email vient vraiment de ton domaine
   
2. Le contenu n'a pas été modifié après l'envoi.

Voici comment ça fonctionne en termes simples :

• Ton système d'email utilise une clé privée pour « signer » chaque email en coulisses.
  
• Cette signature est attachée à l'en-tête de l'email (tu ne la vois pas, mais les serveurs d'email, oui).
  
• Quand l'email est reçu, le serveur de messagerie recherche ta clé publique, qui est stockée dans les enregistrements DNS de ton domaine.
  
• Il utilise la clé publique pour vérifier la signature.
  
  
  • Si la correspondance est vérifiée : L'email passe le DKIM
    
  • Si ce n'est pas le cas : Il risque d'être marqué comme suspect.
    

Vous verrez souvent ça apparaître dans les en-têtes de vos emails sous une forme comme :
dkim=pass header.i=@yourcompany.com

Si cette ligne est manquante ou indique dkim=fail, vos emails ont plus de chances d'atterrir en spam ou d'être complètement bloqués.

Pourquoi le DKIM est plus important que jamais

En 2024, Gmail et Yahoo ont commencé à appliquer des exigences strictes pour toute personne envoyant plus de 5 000 emails par jour, y compris pour le cold outreach et le trafic de warmup. Le DKIM n'est plus une option si vous voulez que vos emails atterrissent.

Même si vous envoyez moins de 5 000 emails, échouer aux vérifications DKIM vous met quand même sur la voie rapide du spam. C'est pourquoi les outils de délivrabilité comme MailReach vérifient la présence d'un enregistrement DKIM valide.

Si vous voyez une erreur « Missing DKIM » dans MailReach, cela signifie que vos emails ne sont pas signés et que les boîtes de réception comme Gmail ne peuvent pas vérifier qu'ils viennent vraiment de vous.

Tant que ce n'est pas réglé, votre outreach est soit invisible, soit signalé comme non fiable. Le DKIM est l'une des premières et des plus importantes étapes pour être visible.

Avant de configurer le DKIM : Ce dont vous aurez besoin

1. Accès aux paramètres DNS de votre domaine

Vous devrez vous connecter à votre fournisseur DNS comme GoDaddy, Cloudflare ou Namecheap pour ajouter un enregistrement TXT ou CNAME. Si vous n'avez pas accès, demandez-le à la personne qui gère votre domaine.

2. Accès à votre plateforme d'envoi d'emails

Les clés DKIM sont générées à l'intérieur de la plateforme qui envoie vos emails, Google Workspace, Microsoft 365, Zoho ou Mailgun. 

Cette plateforme doit être configurée pour signer vos emails avant que vous n'ajoutiez l'enregistrement DNS.

3. Savoir qui envoie des emails depuis votre domaine

Les emails de cold outreach peuvent passer par des outils comme Instantly, Smartlead ou Lemlist. Les emails marketing peuvent venir de Mailchimp ou Brevo.

Les emails transactionnels peuvent être acheminés via SendGrid, Postmark ou Amazon SES.

Chacun a généralement besoin de son propre enregistrement DKIM avec un sélecteur unique. Si vous utilisez plusieurs outils, vous devrez ajouter plusieurs enregistrements.

4. Un moyen de vérifier si ça fonctionne

Ne partez pas du principe que ça fonctionne juste après avoir publié l'enregistrement. Vous voudrez vérifier que les emails sont réellement signés.

Utilisez le DKIM Checker gratuit de MailReach pour faire ça après avoir terminé la configuration. Nous expliquons comment faire plus tard dans l'article (faites défiler jusqu'en bas). 

Comment configurer DKIM

La configuration du DKIM diffère selon votre fournisseur d'email. Ci-dessous se trouvent les plateformes les plus courantes. Choisissez celle que vous utilisez et suivez les étapes exactes. 

Configurer le DKIM dans Google Workspace (Gmail)

1. Connectez-vous à la Google Admin Console avec un compte super admin. C'est le compte admin principal qui a servi à configurer Google Workspace pour votre domaine. Si vous n'y avez pas accès, il faudra demander à votre admin IT ou au gestionnaire de domaine..

Une fois connecté, allez dans : Apps → Google Workspace → Gmail → Authenticate Email
Là, vous verrez la liste des domaines liés à votre compte. Choisissez le domaine que vous utilisez pour envoyer des emails (comme votresociete.com). Si le DKIM n'est pas encore configuré, vous verrez un bouton « Generate new record ». Cliquez dessus.

 2. On va maintenant vous demander de choisir deux choses :

• Un selector name (utilisez simplement "google", c'est la valeur par défaut. Pas besoin de le personnaliser, sauf raison spécifique)
• Une key length (choisissez 2048-bit, c'est plus sécurisé et recommandé par Google)
  
  

Cliquez sur Generate. Google va ensuite vous montrer deux informations importantes :

• Un DNS Hostname (par exemple, google._domainkey.votresociete.com)
  
  
• Une valeur de champ TXT — une très longue chaîne de caractères qui commence par v=DKIM1; k=rsa; p=... C'est votre clé DKIM publique, et vous devez maintenant la publier pour que les serveurs de messagerie puissent la trouver.

3. Ouvrez le tableau de bord de votre fournisseur DNS. C'est là où votre domaine est hébergé. Les plus courants sont GoDaddy, Cloudflare, Namecheap ou Google Domains. Vous allez y ajouter un champ TXT, ce qui peut paraître intimidant, mais c'est juste une tâche de copier-coller.

4. Dans votre tableau de bord DNS, cliquez sur « Add new record », et choisissez :

• Type : TXT
  
• Nom / Hôte : google._domainkey (n'incluez pas votre domaine complet, sauf si votre fournisseur l'exige — beaucoup le remplissent automatiquement)
  
• Valeur : collez la chaîne de caractères complète que Google vous a donnée
  

Enregistrez le champ. Les changements DNS se propagent généralement en 5 à 30 minutes, mais dans de rares cas, cela peut prendre jusqu'à 24 heures.

5. Maintenant, retournez dans la Google Admin Console et cliquez sur « Start authentication ». Cela indique à Google de commencer à signer tous vos emails sortants avec cette clé DKIM. Si vous voyez une erreur, c'est probablement parce que le champ DNS ne s'est pas encore propagé. Attendez 10 à 30 minutes et réessayez.

6. Une fois l'authentification lancée, Google affichera le statut « Authenticating email with DKIM ». Cela signifie que c'est actif.

7. Pour confirmer que tout fonctionne, envoyez un email de test depuis votre domaine vers un compte Gmail (comme votre compte personnel). Ouvrez l'email, cliquez sur les trois points en haut à droite, et choisissez « Show original ». Faites défiler et cherchez cette ligne :

dkim=pass header.i=@votresociete.com

Si vous voyez ça, c'est tout bon. Votre domaine est maintenant protégé par DKIM, et vos emails ont plus de chances d'arriver dans les boîtes de réception, pas dans les spams.

Vous n'avez besoin de faire ça qu'une seule fois par domaine, et c'est tout. Le DKIM ne change pas souvent, mais nous vous recommandons de faire un test de spam email rapide chaque semaine ou après des changements DNS. Cela permet de détecter les problèmes accidentels avant qu'ils n'affectent la délivrabilité.

✅ Configurer le DKIM dans Microsoft 365 (Outlook / Office 365)

Si votre email professionnel tourne sur Microsoft 365 (par exemple, Outlook), vos messages sont par défaut signés avec la clé DKIM partagée de Microsoft liée à onmicrosoft.com, ce qui n'est pas idéal, surtout si vous faites de la prospection à froid. Vous voulez utiliser le DKIM de votre propre domaine pour que vos messages paraissent légitimes et fiables, surtout pour Gmail et les autres filtres anti-spam.

1. Commencez par vous connecter au portail Microsoft 365 Defender en tant qu'administrateur :
   
   
2. Allez sur https://security.microsoft.com → puis naviguez vers :
   Email & Collaboration → Policies & Rules → Threat Policies → DKIM
   
   
3. Là, vous verrez une liste de vos domaines d'email. Trouvez le domaine depuis lequel vous envoyez des emails (comme votresociete.com), et cliquez dessus.
   
   
4. Si le DKIM n'a pas encore été configuré, vous verrez une option pour « Créer des clés DKIM ». Cliquez dessus. Microsoft va maintenant générer deux enregistrements DNS que vous devrez ajouter aux paramètres DNS de votre domaine. Ce sont des enregistrements CNAME, pas TXT — et vous devrez ajouter les deux.
   
   
5. Microsoft vous montrera les valeurs à utiliser. Pour chaque valeur, vous obtiendrez :

• Un Nom / Hôte comme selector1._domainkey.yourcompany.com
  
  
• A Points to / Value like: selector1-yourcompany-com._domainkey.<region>.onmicrosoft.com
  
  

6. Copiez ces deux enregistrements : un pour selector1 et un pour selector2.
7. Ensuite, allez chez votre fournisseur DNS (par exemple GoDaddy, Cloudflare, Namecheap — là où votre domaine est géré).
8. Ajoutez deux nouveaux enregistrements CNAME, en utilisant les noms et valeurs exacts fournis par Microsoft :
   
   

• Type : CNAME
  
  
• Nom : selector1._domainkey
  
  
• Value: selector1-yourcompany-com._domainkey.<region>.onmicrosoft.com
  

• Type : CNAME
  
  
• Nom : selector2._domainkey
  
  
• Value: selector2-yourcompany-com._domainkey.<region>.onmicrosoft.com
  Save both records. Make sure to replace <region> with what Microsoft shows (like europe or us), and match your actual domain. Once added, give the records some time to propagate—5 minutes to a few hours depending on your DNS provider.
  
  

9. Une fois les enregistrements sauvegardés et après un petit temps de propagation, retournez sur le portail Microsoft Defender où vous avez créé les clés.
10. Là, vous verrez maintenant un interrupteur qui dit quelque chose comme « Signer les messages pour ce domaine avec des signatures DKIM. » Activez l'interrupteur sur Activé.

Si tout est configuré correctement, Microsoft confirmera que le DKIM est maintenant actif. À partir de ce moment, chaque email envoyé depuis votre domaine via Microsoft 365 sera signé en utilisant les propres clés DKIM de votre domaine.

Pour vérifier que tout fonctionne :

• Envoyez un email de test à une boîte de réception Gmail ou Yahoo
  
  
• Ouvrez le message → cliquez sur le menu à trois points → « Afficher l'original »
  
  
• Cherchez cette ligne :
  dkim=pass header.i=@yourcompany.com
  
  

Si vous voyez dkim=pass, félicitations, tout fonctionne.

Une fois que c'est fait, vous n'aurez plus à y toucher, sauf si vous changez votre DNS ou si vous voulez faire pivoter les clés pour des raisons de sécurité. Microsoft gérera la rotation des clés automatiquement en arrière-plan en utilisant ces deux sélecteurs (selector1 et selector2), donc vous êtes tranquille.

Pourquoi c'est important : Sans cette configuration, vos emails risquent d'être signalés comme suspects, surtout avec les nouvelles règles de Gmail pour les expéditeurs de masse. Le DKIM vous aide à bâtir une solide réputation d'expéditeur, ce qui est crucial si vous faites du cold outreach ou si vous réchauffez des boîtes de réception avec des email warmup tools comme MailReach.

Configurer le DKIM avec d'autres fournisseurs d'emails (GoDaddy, Zoho, Mailchimp)

Même si vous n'utilisez pas Google Workspace ou Microsoft 365 pour envoyer des emails, vous devrez configurer le DKIM.

La plupart des fournisseurs, y compris l'hébergement email GoDaddy, Zoho Mail, Mailchimp, SendGrid ou Brevo, génèrent un DKIM que vous devez copier-coller dans les paramètres de votre domaine.

Nous allons vous guider à travers trois des configurations les plus courantes en dehors de Google/Microsoft :

Hébergement Email GoDaddy (cPanel ou GoDaddy Webmail)

Si vous avez acheté votre domaine et votre email via GoDaddy, et que vous utilisez leur service d'email intégré (Webmail ou basé sur cPanel), voici ce qu'il faut faire :

1. Connectez-vous à votre compte GoDaddy et ouvrez votre tableau de bord cPanel (pour les forfaits cPanel) ou votre tableau de bord Email & Office (pour le Webmail GoDaddy).
   
2. Dans cPanel, cherchez une section appelée Deliverability des Emails ou Authentification des e-mails.
   C'est là que vous trouverez les paramètres DKIM s'ils existent.
   
   
   • Si le DKIM est déjà activé, cPanel affichera l'enregistrement TXT existant et si ça fonctionne.
     
   • Si ce n'est pas le cas, cliquez sur “Activer DKIM” ou “Réparer”.
     
3. Si GoDaddy fournit l'enregistrement DKIM manuellement :
   
   • Copiez le Nom / Hôte (quelque chose comme default._domainkey.votredomaine.com)
     
   • Copiez la Valeur TXT (qui commence par v=DKIM1; k=rsa; p=...)
     
4. Allez dans vos paramètres DNS GoDaddy (Mes produits → Domaine → Gérer le DNS).
   
   • Cliquez sur Ajouter → Choisissez TXT
     
   • Hôte : le sélecteur + _domainkey (par exemple default._domainkey)
     
   • Valeur : collez la longue chaîne de caractères de la clé de l'étape 3
     
   • Enregistrez et patientez. Le DNS se met généralement à jour en quelques minutes mais ça peut prendre jusqu'à 48 heures.

Zoho Mail

Zoho Mail est populaire auprès des startups et des petites entreprises. Voici comment configurer le DKIM dans Zoho :

1. Allez sur la Console d'administration de Zoho Mail
   
2. Naviguez vers :
   Administration du courrier > Domaines > [votre domaine] > DKIM
   
3. Cliquez sur “Ajouter un sélecteur” et choisissez un nom de sélecteur — quelque chose comme zoho ou default fonctionne très bien.
   
4. Zoho vous montrera ensuite l'enregistrement DNS à publier :
   
   • Hôte : zoho._domainkey.votredomaine.com (ou incluez le domaine complet si nécessaire)
     
   • Type : TXT
     
   • Valeur : une longue chaîne de caractères qui commence par v=DKIM1; p=...
     
5. Allez chez votre fournisseur DNS, ajoutez un TXT enregistrement avec :
   
   
   • Hôte : zoho._domainkey
     
   • Valeur : collez la clé de Zoho
     
6. De retour dans Zoho Admin, cliquez sur “Verify” une fois que l'enregistrement s'est propagé.
   

✅ Une fois vérifié, Zoho commencera à signer tous les e-mails sortants avec DKIM.

Plateformes d'Email Marketing & Transactionnel (Mailchimp, SendGrid, Brevo, etc.)

Ces plateformes vous donnent généralement plusieurs enregistrements DNS à publier pour les records DKIM (et SPF ou DMARC). Le format le plus courant implique deux enregistrements CNAME :

1. Dans le tableau de bord de votre outil d'e-mailing, allez dans la section Authentification de domaine ou Vérification de l'expéditeur.
   (Dans Mailchimp : Website > Domains > Authenticate)
   
   
2. Ajoutez votre domaine, et l'outil générera les enregistrements nécessaires.
   
   • Généralement, cela inclut 1 à 2 enregistrements CNAME pour DKIM
     
   • Parfois, cela inclut aussi un enregistrement TXT pour SPF
     
3. Copiez chaque enregistrement et ajoutez-les aux paramètres DNS de votre domaine.
   
   Exemple (Mailchimp)
   
   
   • CNAME 1 : k1._domainkey.yourdomain.com → dkim.mailchimp.com
     
   • CNAME 2 : k2._domainkey.yourdomain.com → dkim2.mailchimp.com
     
4. Une fois ajoutés, retournez sur la plateforme et cliquez sur Verify ou Authenticate
   

• Pour SendGrid, Brevo et la plupart des autres plateformes, la configuration est similaire : elles affichent des paires hôte/valeur, souvent mte1._domainkey / dkim1, etc., que vous devez entrer comme CNAMEs sur votre panneau DNS.

SPF vs DKIM vs DMARC : Quelle est la différence ?

Ces trois acronymes sont souvent mentionnés ensemble, et ils fonctionnent mieux en équipe. Voici comment ils se décomposent :

As-tu besoin des trois ?

Oui, idéalement. Mais DKIM est souvent le plus important quand il s'agit de la délivrabilité et de la confiance du domaine, surtout pour Gmail et Outlook.

Si tu pars de zéro, commence par DKIM et SPF. Ajoute ensuite DMARC quand tu seras prêt à surveiller et appliquer la politique.

Ne laisse pas une configuration parfaite finir en spam   

À ce stade, tu as fait le plus dur : configuré DKIM, authentifié ton domaine et commencé le warmup de ta boîte de réception. C'est la base.

Mais une délivrabilité constante est un processus continu.

Qu'est-ce qui la maintient forte ?

• Des habitudes d'envoi stables (pas de sauts de volume soudains)

• Des signaux d'engagement constants (ouvertures, réponses, peu de spam)

• Un comportement d'expéditeur propre (pas de mauvaises listes ou de liens blacklistés)

MailReach surveille tout ça en coulisses. Si la réputation de ta boîte de réception commence à baisser, tu sauras ce qui ne va pas avant que ça ne fasse couler tes campagnes. 

Utilise MailReach pour rester dans la boîte de réception, pas juste pour y arriver une fois.

Inscris-toi à MailReach maintenant.