Rotation des clés DKIM : pourquoi, quand et comment (sans rien casser)
Par Thomas · RSSI virtuel · 2026-07-11
Une clé DKIM qui ne change jamais est une clé qui vieillit. Comme tout secret cryptographique, une clé privée DKIM gagne à être renouvelée régulièrement : plus elle vit longtemps, plus la fenêtre d'exposition est grande en cas de fuite, et plus elle risque d'être de taille insuffisante au fil des années. Pourtant, la rotation effraie : mal faite, elle casse les signatures et envoie ton courrier légitime à l'échec. Ce guide explique pourquoi faire tourner tes clés, à quelle fréquence, et surtout comment le faire proprement grâce à la méthode du double sélecteur.
Pourquoi faire tourner ses clés DKIM
Trois raisons justifient la rotation :
- Limiter la fenêtre d'exposition. Si une clé privée fuite (serveur compromis, fichier de configuration mal protégé), un attaquant peut signer du courrier en ton nom jusqu'à ce que tu changes la clé. Une rotation régulière borne ce risque dans le temps.
- Suivre l'état de l'art cryptographique. Une clé de 1024 bits posée il y a des années est aujourd'hui jugée faible. La rotation est l'occasion de passer à 2048 bits (voir 1024 ou 2048 bits).
- Bonne hygiène et conformité. De nombreux référentiels de sécurité attendent une rotation périodique des secrets. DKIM ne fait pas exception.
À quelle fréquence
Il n'y a pas de chiffre gravé dans le marbre, mais des repères raisonnables : une rotation tous les six mois à un an est une bonne cadence pour la plupart des organisations. Plus court si tu manipules des secrets très sensibles ou si une politique interne l'exige ; plus long est risqué, car la clé vieillit. Le bon réflexe n'est pas tant la fréquence parfaite que le caractère systématique : une rotation planifiée, et non un geste qu'on repousse indéfiniment.
La méthode du double sélecteur (sans interruption)
Voici le cœur du sujet. La rotation sûre repose sur le fait qu'un domaine peut avoir plusieurs sélecteurs actifs en même temps (voir le sélecteur). La séquence :
- Génère une nouvelle clé sous un nouveau sélecteur (par exemple
s2), et publie sa clé publique en DNS — sans toucher à l'ancien sélecteur (s1). - Laisse propager et vérifie que la nouvelle clé publique est bien visible partout.
- Bascule la signature côté plateforme pour qu'elle signe désormais avec
s2. - Surveille quelques jours : confirme que les nouvelles signatures (
s2) passent et s'alignent dans tes rapports agrégés. - Retire l'ancien sélecteur (
s1) — mais seulement après un délai suffisant.
Pendant toute la transition, les deux sélecteurs coexistent : le courrier signé avec l'ancienne clé reste vérifiable, le nouveau aussi. C'est ce chevauchement qui rend la rotation sans interruption.
Le piège à éviter absolument
L'erreur classique, c'est de retirer l'ancien sélecteur trop tôt. Du courrier signé avec l'ancienne clé peut encore être en transit, en file d'attente, ou stocké pour un envoi différé. Si tu supprimes son sélecteur avant qu'il ne soit tout délivré, sa signature échoue à la vérification — alors qu'il est parfaitement légitime. La règle : laisse l'ancien sélecteur en place plusieurs jours après avoir basculé la signature, le temps que tout l'ancien courrier ait été traité. Mieux vaut un sélecteur de trop quelques jours qu'une signature cassée.
Rotation manuelle ou automatisée
Deux approches, selon ta configuration :
- Automatisée. Si tu signes via une plateforme qui propose le
CNAME(Microsoft 365, beaucoup de SaaS), la rotation est souvent gérée pour toi : le prestataire fait tourner la clé derrière leCNAMEque tu as publié une fois. C'est l'idéal — tu n'as rien à faire. - Manuelle. Si tu opères ta propre infrastructure ou que tu publies des
TXTen dur, tu pilotes la rotation toi-même, selon la séquence du double sélecteur ci-dessus. C'est plus de travail, mais parfaitement faisable avec une procédure écrite et un calendrier.
Où stocker tes clés privées DKIM
La rotation ne sert à rien si tes clés privées traînent dans un fichier de configuration accessible ou un e-mail. La clé privée DKIM est un secret critique : quiconque l'obtient peut signer du courrier en ton nom. Elle mérite donc le même soin que n'importe quel secret de production — stockage chiffré, accès tracé, rotation outillée.
DMARC.com est édité par Hucency, spécialiste de la cybersécurité ; pour centraliser et chiffrer ce type de secrets — clés privées DKIM, identifiants DNS, jetons d'API — et en orchestrer la rotation, regarde Hucency Vault. Une bonne politique de rotation DKIM suppose un endroit sûr où vivent les clés ; le coffre est ce maillon souvent négligé.
Construire un calendrier de rotation
La meilleure rotation est celle qu'on n'a pas à se rappeler de faire. Plutôt que de t'en remettre à ta mémoire, inscris la rotation DKIM dans un calendrier de sécurité, au même titre que le renouvellement des certificats TLS. Une cadence semestrielle ou annuelle, notée à l'avance, transforme un geste anxiogène en routine prévisible. Documente la procédure une fois — quel sélecteur, quelle plateforme, quelle taille de clé, combien de jours de chevauchement — et chaque rotation suivante n'est plus qu'une exécution, pas une réinvention. Pour les domaines à plusieurs plateformes, échelonne les rotations plutôt que de tout faire le même jour : tu limites la surface de risque si une bascule se passe mal, et tu gardes l'attention disponible pour surveiller chaque transition une par une.
Cas d'urgence : une clé compromise
La rotation planifiée est une chose ; la rotation d'urgence en est une autre. Si tu as la moindre raison de penser qu'une clé privée a fuité — serveur compromis, sauvegarde exposée, départ d'un prestataire avec des accès — n'attends pas l'échéance planifiée : tourne immédiatement. La séquence reste la même (nouveau sélecteur, nouvelle clé, bascule de la signature), mais tu raccourcis le chevauchement et tu révoques l'ancienne clé dès que possible en publiant un p= vide à son sélecteur, ce qui invalide toute signature s'en réclamant. Une clé compromise qu'on laisse vivre, c'est une porte ouverte à l'usurpation signée : l'attaquant peut produire des messages qui passent DKIM en ton nom, le pire scénario possible. Traite-la comme une fuite de mot de passe — rotation et révocation sans délai — et documente l'incident pour ta traçabilité.
Vérifier qu'une rotation s'est bien passée
Après une rotation, deux contrôles suffisent :
- Le nouveau sélecteur signe et s'aligne : tes rapports doivent montrer les signatures
s2qui passent. Vois comment vérifier une signature email. - Aucune signature légitime ne casse pendant la transition : surveille l'absence d'échecs DKIM soudains sur tes vraies sources.
Notre analyseur gratuit confirme la présence et la validité de tes clés publiques au sélecteur courant, un coup d'œil utile juste après une bascule.
Questions fréquentes
À quelle fréquence renouveler ? Tous les six mois à un an pour la plupart des cas. L'important est que ce soit planifié et systématique, pas la fréquence parfaite.
La rotation interrompt-elle l'envoi ? Non, si tu suis la méthode du double sélecteur : les deux clés coexistent pendant la transition, donc aucune interruption.
Quand puis-je retirer l'ancien sélecteur ? Plusieurs jours après avoir basculé la signature, le temps que tout l'ancien courrier ait été délivré. Retirer trop tôt casse des signatures légitimes.
Ma plateforme gère-t-elle la rotation ? Si tu as publié un CNAME fourni par le prestataire, probablement oui. Si tu publies des TXT en dur, c'est à toi de la piloter.
Faut-il changer de sélecteur à chaque rotation ? Oui, c'est tout l'intérêt : une nouvelle clé sous un nouveau sélecteur permet le chevauchement sans interruption. Réutiliser le même sélecteur pour une nouvelle clé crée une fenêtre où les signatures échouent.
DKIM et conformité : ce que les référentiels attendent
Si tu opères dans un environnement réglementé — finance, santé, collectivités — la rotation des clés DKIM peut ne plus être un simple choix de bonne pratique, mais une exigence documentée. Des référentiels comme ISO 27001 (contrôles cryptographiques §A.10) ou NIS2 attendent une politique de gestion des secrets qui inclut leur renouvellement périodique. Une clé DKIM posée il y a cinq ans et jamais renouvelée est difficilement défendable lors d'un audit. La traçabilité compte aussi : qui a généré la clé, quand, quelle taille, quelle est la date de prochaine rotation — autant d'éléments que les auditeurs peuvent demander. Tenir un journal de rotation DKIM simple (date, sélecteur, plateforme, taille) te sort de ces situations sans effort, et montre que la sécurité email est pilotée, pas subie. Ce n'est pas beaucoup de travail, mais c'est exactement ce qui fait la différence entre « on gère » et « on documente qu'on gère ».
Laisse Thomas rythmer tes rotations
Une rotation oubliée laisse vieillir une clé ; une rotation bâclée casse des signatures. Thomas, ton RSSI virtuel, suit l'âge de tes clés DKIM, te rappelle quand il est temps de tourner, te guide dans la séquence du double sélecteur, et vérifie sur tes rapports que la bascule s'est faite sans casse.
Analyse ton domaine gratuitement → ou crée un compte pour des clés DKIM toujours fraîches et bien gardées.
Prêt à appliquer DMARC ?
Atteindre p=reject — gratuitGuides liés
- Comment générer une clé DKIM (et publier la bonne)
Générer une clé DKIM, c'est créer une paire clé privée / clé publique, en garder une secrète et publier l'autre en DNS. Les étapes, le choix de la taille, et le piège de l'alignement.
- Le sélecteur DKIM, c'est quoi (et pourquoi il y en a plusieurs)
Le sélecteur DKIM est ce qui permet à un destinataire de retrouver la bonne clé publique pour vérifier une signature. Ce qu'il est, où il apparaît, et pourquoi tu en as souvent plusieurs.
- SPF pour Microsoft 365 et Google Workspace : la configuration qui marche
Configurer SPF pour Microsoft 365 et Google Workspace, séparément ou ensemble, sans dépasser la limite des 10 résolutions. Les bons include, les pièges, et la stratégie pour les tiers.
À propos de l'auteur
Thomas — Thomas est le RSSI virtuel de DMARC.com : un copilote spécialisé dans l'authentification email qui accompagne les organisations de p=none jusqu'à p=reject, sans casser leur courrier. Ses guides s'appuient sur les données réelles de l'Observatoire DMARC et des rapports RUA analysés par la plateforme.
