Configurer DKIM Office 365 : Guide étape par étape

Un DKIM mal configuré est l'une des causes les plus fréquentes d'échec de délivrabilité des emails dans les environnements Microsoft 365 (anciennement Office 365). 

Sans cela, vos messages sortants peuvent passer le SPF mais être quand même signalés comme non authentifiés. Cela déclenche les filtres anti-spam, échoue l'alignement DMARC et augmente l'exposition au spoofing et au phishing.

La configuration DKIM de Microsoft s'étend sur plusieurs portails d'administration et nécessite souvent PowerShell pour être finalisée.

Cette complexité entraîne des configurations incomplètes ou de longs retards dans le déploiement d'une authentification de domaine correcte.

Ce guide simplifie le processus en six étapes claires et concrètes. Vous apprendrez comment générer des enregistrements DKIM, publier des CNAMEs, activer la signature et vérifier que votre domaine personnalisé authentifie correctement les emails.

Prérequis pour la configuration de DKIM dans Office 365

Avant de commencer, assurez-vous que tous les paramètres de domaine et d'administration requis sont vérifiés. Prendre quelques minutes pour les vérifier maintenant peut vous éviter des heures de dépannage plus tard.

• Domaine personnalisé vérifié : Votre domaine doit être ajouté et vérifié dans Microsoft 365. Le DKIM ne fonctionnera pas avec le domaine par défaut onmicrosoft.com.
  Pour plus d'informations, consultez notre guide sur l'importance d'utiliser un domaine séparé pour l'envoi de cold emails. 

• Permissions d'administrateur : Vous aurez besoin des droits d'administrateur global ou de privilèges équivalents pour accéder et configurer les paramètres DKIM.

• Accès à votre fournisseur DNS : Assurez-vous d'avoir les accès de connexion à votre hébergeur DNS (GoDaddy, Cloudflare, Route53, etc.) pour ajouter deux enregistrements CNAME.

• Pas d'enregistrements DKIM existants : Vérifiez que selector1._domainkey et selector2._domainkey n'existent pas ou ne contiennent pas de valeurs incorrectes qui pourraient entrer en conflit avec la nouvelle configuration.

• Laissez du temps pour la propagation DNS : Certains changements prennent effet en quelques minutes, tandis que d'autres peuvent nécessiter 24 à 48 heures pour se propager et être reconnus par Microsoft 365.

Comment configurer DKIM dans Office 365 (Étape par étape)

Cette section contient les étapes essentielles pour activer la signature DKIM sur votre domaine Office 365. Suivez attentivement ces six étapes pour assurer une configuration correcte, à condition que vous ayez rempli les prérequis.

Étape 1 : Sélectionnez votre domaine dans Microsoft Defender

• Rendez-vous sur security.microsoft.com et connectez-vous en tant qu'administrateur global
• Accédez à : Email et collaboration → Stratégies et règles → Stratégies de menace → Paramètres d'authentification des emails → DKIM
• Dans la liste des domaines, sélectionnez votre domaine personnalisé (pas celui par défaut en onmicrosoft.com)

Vous ne verrez que les domaines qui ont été vérifiés dans votre tenant Microsoft 365. Si votre domaine n'est pas listé, il n'a probablement pas encore été ajouté ou vérifié dans le centre d'administration Microsoft 365.

Étape 2 : Générez les clés DKIM pour selector1 et selector2

Une fois que vous cliquez sur les paramètres DKIM de votre domaine, Microsoft affichera deux enregistrements CNAME requis, ce sont les clés publiques de votre domaine.

Ils sont généralement nommés :

• selector1._domainkey.yourdomain.com
  
• selector2._domainkey.yourdomain.com

Ils pointent vers des endpoints de clés DKIM hébergés par Microsoft, comme :

• selector1-yourdomain-com._domainkey.yourdomain.onmicrosoft.com

Ces valeurs sont générées dynamiquement, alors copiez-les toujours exactement comme indiqué. Ne les modifiez ou ne les approximiez jamais manuellement.

Étape 3 : Ajoutez deux enregistrements CNAME à votre DNS

• Connectez-vous à votre fournisseur DNS (par exemple, Cloudflare, GoDaddy, Route53, cPanel).
  Créez les deux enregistrements CNAME fournis par Microsoft

Note : L'interface utilisateur DNS de chaque fournisseur est différente, mais les noms des sélecteurs suivront toujours ce modèle :

• selector1._domainkey.yourdomain.com et 
• selector2._domainkey.yourdomain.com

Avertissement Proxy Cloudflare : Définissez-les sur « DNS Only ». Ne les proxifiez pas, sinon Microsoft ne pourra pas valider les enregistrements.

Aussi, si le DKIM a été configuré précédemment (avec un autre fournisseur d'emails), assure-toi de vérifier et de supprimer d'abord tout enregistrement selector1/2._domainkey en conflit.

Étape 4 : Attends la propagation DNS

Après avoir enregistré les enregistrements, la propagation DNS commence. Cela peut prendre :

• Dès 15 minutes
• Jusqu'à 24-48 heures, selon le TTL, la mise en cache DNS et les délais de propagation
• Dans de rares cas, Microsoft prévient que cela peut prendre jusqu'à 4 jours pour détecter les enregistrements en interne.

Tu peux vérifier que les enregistrements sont actifs en utilisant des outils comme :

• nslookup
• MXToolbox DKIM Lookup

Étape 5 : Activer la signature DKIM dans Microsoft 365

• Retourne au panneau des paramètres DKIM dans le portail Defender
• Cliquez sur “Activer” ou activez l'option “Signer les messages pour ce domaine avec les signatures DKIM”.

Si le DNS est détecté, vous verrez le statut passer à “Signature”. Si l'activation échoue ou si vous obtenez une erreur comme “L'enregistrement CNAME n'existe pas pour cette configuration,” le DNS n'a peut-être pas encore été propagé, alors réessayez dans quelques heures.

Étape 6 : Envoyez un email de test et vérifiez les en-têtes DKIM

• Envoyez un email depuis votre domaine Office 365 vers une boîte de réception Gmail ou Yahoo
• Ouvrez l'email, visualisez les en-têtes complets, et cherchez :

Authentication-Results: ... dkim=pass ...

Vérifie aussi que le domaine listé sous d= dans l'en-tête DKIM-Signature correspond bien à ton domaine personnalisé.

Le DMARC est un autre enregistrement important que tu dois configurer. Lis notre guide DMARC pour une configuration rapide. 

Dépannage de la configuration DKIM dans Office 365

Utilise cette section pour identifier et corriger rapidement les problèmes de configuration DKIM les plus courants, sans avoir à interpréter des erreurs Microsoft peu claires ou à deviner.

Erreur : « L'enregistrement CNAME n'existe pas »

Microsoft ne peut pas détecter les enregistrements selector1 et selector2 requis.

Solution :

• Vérifie bien les champs hôte et valeur dans tes paramètres DNS
• Assurez-vous de ne pas avoir inclus votre domaine deux fois dans le hostname (par exemple, selector1._domainkey.yourdomain.com.yourdomain.com)
• Si vous utilisez Cloudflare, assurez-vous d'avoir désactivé le proxy pour ces enregistrements    

Problème : Les emails sont toujours signés avec onmicrosoft.com

Le DKIM est techniquement actif, mais Microsoft utilise toujours le domaine de tenant par défaut au lieu de votre domaine personnalisé.

Solution :

• Vous avez probablement sauté l'étape finale d'« activation » pour votre domaine personnalisé
• Retournez aux paramètres DKIM dans Defender et activez l'option « Signer les messages pour ce domaine ». 

Erreur : Le DKIM échoue même après la configuration

Le DNS est actif, mais les en-têtes d'email affichent dkim=fail ou aucune signature du tout.

Solution :

• Il s'agit généralement d'un délai de propagation. Les enregistrements peuvent être actifs pour vous, mais pas encore visibles pour le DNS de Microsoft.
• Ça peut aussi arriver si un seul des deux sélecteurs est publié, ou si le mauvais domaine est utilisé.
• Vérifie bien le formatage du sélecteur, et confirme que les CNAMEs se résolvent publiquement.

Problème : Pas d'en-tête DKIM dans les emails envoyés

L'email est envoyé depuis un domaine qui n'a pas DKIM activé.

Solution :

• Assure-toi que le domaine « From » correspond à celui où DKIM a été configuré.
• Si tu utilises plusieurs domaines ou alias, tu devras répéter la configuration DKIM pour chacun individuellement.

Pour confirmer que tout fonctionne correctement, envoie un email de test et fais-le passer par le spam test MailReach. Il indiquera immédiatement si DKIM passe et signalera tout problème de DNS ou de signature avant qu'ils n'impactent le placement en boîte de réception.

Configuration DKIM avancée dans Office 365 via PowerShell

Cette méthode est destinée aux administrateurs qui gèrent plusieurs domaines, automatisent la configuration sur plusieurs tenants, ou gèrent des domaines qui ne sont pas visibles dans l'UI. Si tu gères un seul domaine, le portail Defender est plus rapide et plus fiable, tandis que PowerShell offre un contrôle administratif plus important.

Se connecter à Exchange Online

Commence par te connecter à Exchange Online PowerShell en utilisant tes identifiants d'administrateur Microsoft 365. Cela te permet de visualiser et de gérer les configurations DKIM à grande échelle.

Vérifier le statut DKIM

Lancez une commande pour lister toutes les configurations DKIM sur votre tenant. Ça vous permet de voir quels domaines ont déjà le DKIM configuré et lesquels ont encore besoin d'attention.

Initialiser le DKIM pour un nouveau domaine

Si votre domaine n'est pas listé, vous devrez initialiser le DKIM manuellement. Cela crée la configuration et indique à Microsoft de préparer les clés DKIM pour votre domaine personnalisé.

Obtenir les enregistrements CNAME avec PowerShell

Une fois initialisé, vous pouvez récupérer les enregistrements CNAME exacts selector1 et selector2 pour ce domaine. Ceux-ci doivent être publiés dans vos paramètres DNS, tout comme avec la méthode standard.

Activer la signature DKIM

Après avoir confirmé que les enregistrements se sont propagés, activez la signature DKIM pour le domaine. Cela active la configuration et commence à signer les emails sortants.

Faire pivoter les clés DKIM (facultatif)

Microsoft prend en charge la rotation des clés pour une sécurité renforcée. Si nécessaire, vous pouvez déclencher une rotation à l'aide d'une seule commande PowerShell. Tant que les deux sélecteurs restent dans le DNS, la transition est transparente.

PowerShell est une option efficace pour l'onboarding de plusieurs domaines ou la gestion d'un tenant global.

Même avec l'automatisation, le DKIM ne représente qu'une seule composante de votre stratégie d'authentification des emails. MailReach vous aide à surveiller la réputation de votre domaine et le placement en spam à grande échelle, surtout lorsque vous gérez des volumes importants pour plusieurs marques ou clients.

Combien de temps le DKIM met-il à être actif ?

Ayez des attentes réalistes concernant les délais. La configuration DKIM est rapide de votre côté, mais les fournisseurs de boîtes mail peuvent ne pas reconnaître les changements immédiatement.

Propagation DNS : 15 minutes à 48 heures

Une fois que vous publiez les enregistrements CNAME dans votre DNS, ils peuvent prendre effet en quelques minutes, ou dans certains cas, jusqu'à deux jours complets. Cela dépend des valeurs TTL et du cycle de mise à jour de votre hébergeur DNS.

Tant que les enregistrements ne se sont pas propagés globalement, Microsoft ne vous laissera pas activer le DKIM. Si vous voyez toujours des erreurs DNS après avoir publié les enregistrements, c'est généralement un délai de propagation et non une mauvaise configuration.

Signature DKIM : Immédiate après l'activation

Une fois que vous avez activé le DKIM dans le portail Microsoft 365 et que le système détecte vos enregistrements, la signature prend effet immédiatement. Tous les nouveaux emails sortants incluront une signature DKIM à partir de ce moment-là.

Cependant, le DKIM ne s'applique pas rétroactivement. Tout email envoyé avant l'activation du DKIM restera non signé.

Rotation des clés : Peut prendre jusqu'à 96 heures

Lors de la rotation des clés DKIM, prévoyez un délai supplémentaire pour la transition. Microsoft peut retarder la signature active avec le nouveau sélecteur jusqu'à quatre jours pour s'assurer que les changements DNS sont entièrement reconnus.

Les enregistrements selector1 et selector2 doivent rester dans le DNS pour éviter toute interruption pendant le renouvellement des clés.

Dans les 24 premières heures après la configuration, les fournisseurs de boîtes mail comme Gmail ou Outlook pourraient encore considérer votre domaine comme non vérifié, surtout s'ils ne détectent pas encore les enregistrements DKIM. Si vous observez un placement en boîte de réception mitigé ou des taux d'ouverture plus faibles pendant cette période, ne paniquez pas.

Bonnes pratiques pour la configuration DKIM dans Office 365

Ce sont des habitudes pratiques et à long terme pour maintenir votre configuration DKIM en bonne santé, surtout lorsque vous gérez la délivrabilité sur plusieurs boîtes mail ou unités commerciales. Chacune inclut un exemple de situation pour que vous sachiez quand c'est important.

Utilisez des clés de 2048 bits

Microsoft 365 (anciennement Office 365) utilise par défaut des clés DKIM de 2048 bits. Il est recommandé de conserver ce paramètre. Certains systèmes hérités utilisent encore des clés de 1024 bits, mais de nombreux fournisseurs (y compris Gmail) les considèrent désormais comme faibles.

Exemple : Si votre domaine était auparavant configuré avec un DKIM 1024 bits sur une autre plateforme (comme cPanel), passez à 2048 bits lors de la migration vers Office 365. Un décalage dans la force de la clé peut entraîner des problèmes de délivrabilité pendant le warm-up ou lors de l'application de DMARC.

Faites tourner les clés DKIM tous les 6 à 12 mois

La rotation des clés réduit le risque de compromission et aide à maintenir la conformité avec les normes.

Exemple : Si vous envoyez des e-mails transactionnels ou réglementés (dans des domaines comme la finance, la santé, l'éducation), la rotation des clés DKIM tous les 6 à 12 mois peut satisfaire les audits internes et les examens de sécurité. Cela réduit également l'exposition aux clés obsolètes lors des transitions de domaine ou informatiques.

Alignez le domaine DKIM “d=” avec votre adresse d'expéditeur

Pour que le DKIM passe l'alignement DMARC, le domaine de la signature DKIM (d=) doit correspondre au domaine de votre adresse d'expéditeur.

Exemple : Si vous envoyez depuis marketing@brand.com mais que votre DKIM est toujours signé par onmicrosoft.com, le DMARC échouera. Cela arrive souvent quand les administrateurs oublient la dernière étape qui consiste à activer le DKIM pour le domaine personnalisé. Cela devrait être corrigé avant que vous n'appliquiez une politique DMARC p=reject.

Ne supprimez pas les CNAMEs selector1/2

Même après l'activation du DKIM, laissez les CNAMEs dans votre DNS. Microsoft 365 utilise les deux sélecteurs pour permettre une rotation de clé fluide.

Exemple : Un membre junior de l'équipe pourrait supprimer selector1._domainkey, pensant que c'est redondant. Cela interrompt le renouvellement des clés et peut entraîner un échec silencieux de la signature. Laissez toujours les deux enregistrements publiés, sauf si Microsoft indique explicitement le contraire.

Combinez le DKIM avec le SPF, le DMARC et le domain warming

Le DKIM fait partie du profil de confiance de votre domaine. Pour protéger le placement en boîte de réception, combinez-le avec :

• Un enregistrement SPF valide
  
• Une politique DMARC de niveau surveillance ou d'application
  
• Un processus de warm-up d'emails structuré
  

Exemple : Si vous lancez du cold outreach depuis un nouveau domaine, le DKIM seul n'empêchera pas le filtrage anti-spam. Le coupler avec le SPF, un enregistrement DMARC (p=none pour commencer), et un outil de warm-up d'emails donne aux fournisseurs de boîtes mail des signaux cohérents au fil du temps. C'est particulièrement important si vos volumes d'envoi augmentent rapidement.

Une authentification solide est votre base technique, mais ce n'est qu'une partie du placement en boîte de réception. MailReach vous aide à la maintenir avec des spam tests quotidiens, le suivi de la réputation de votre domaine, et un warm-up automatisé qui respecte vos paramètres DKIM, SPF et DMARC.

Dernières étapes vers une meilleure délivrabilité

La configuration du DKIM dans Office 365 est rapide, mais son impact se renforce avec le temps. Vous avez maintenant ajouté une couche d'authentification essentielle que les fournisseurs de boîtes mail vérifient pour déterminer si vos cold emails arrivent dans la boîte de réception ou dans le dossier spam.

Le DKIM sert de base technique et vérifie l'identité de votre domaine. Cependant, bâtir une réputation d'expéditeur demande un effort continu.

Le vrai défi commence après la configuration. De nouveaux domaines, de nouvelles boîtes de réception ou des pics de volume soudains peuvent toujours déclencher les filtres anti-spam, même avec le DKIM en place. Sans tests et suivi constants, vous ne saurez pas si votre réputation s'améliore ou se dégrade discrètement.

C'est là que nous pouvons vous aider. Prêt à aller plus loin ?

MailReach automatise le warm-up des boîtes de réception, les tests DKIM et SPF, et la surveillance de la santé des domaines chez les fournisseurs de boîtes mail pour s'assurer que les emails sont livrés dans les boîtes de réception de vos clients potentiels.

Découvrez le warm-up d'emails automatisé.