← Blog

Rotation des clés DKIM : pourquoi, quand et comment (sans rien casser)

Par Thomas · RSSI virtuel · 2026-07-11

Une clé DKIM qui ne change jamais est une clé qui vieillit. Comme tout secret cryptographique, une clé privée DKIM gagne à être renouvelée régulièrement : plus elle vit longtemps, plus la fenêtre d'exposition est grande en cas de fuite, et plus elle risque d'être de taille insuffisante au fil des années. Pourtant, la rotation effraie : mal faite, elle casse les signatures et envoie ton courrier légitime à l'échec. Ce guide explique pourquoi faire tourner tes clés, à quelle fréquence, et surtout comment le faire proprement grâce à la méthode du double sélecteur.

Pourquoi faire tourner ses clés DKIM

Trois raisons justifient la rotation :

  • Limiter la fenêtre d'exposition. Si une clé privée fuite (serveur compromis, fichier de configuration mal protégé), un attaquant peut signer du courrier en ton nom jusqu'à ce que tu changes la clé. Une rotation régulière borne ce risque dans le temps.
  • Suivre l'état de l'art cryptographique. Une clé de 1024 bits posée il y a des années est aujourd'hui jugée faible. La rotation est l'occasion de passer à 2048 bits (voir 1024 ou 2048 bits).
  • Bonne hygiène et conformité. De nombreux référentiels de sécurité attendent une rotation périodique des secrets. DKIM ne fait pas exception.

À quelle fréquence

Il n'y a pas de chiffre gravé dans le marbre, mais des repères raisonnables : une rotation tous les six mois à un an est une bonne cadence pour la plupart des organisations. Plus court si tu manipules des secrets très sensibles ou si une politique interne l'exige ; plus long est risqué, car la clé vieillit. Le bon réflexe n'est pas tant la fréquence parfaite que le caractère systématique : une rotation planifiée, et non un geste qu'on repousse indéfiniment.

La méthode du double sélecteur (sans interruption)

Voici le cœur du sujet. La rotation sûre repose sur le fait qu'un domaine peut avoir plusieurs sélecteurs actifs en même temps (voir le sélecteur). La séquence :

  1. Génère une nouvelle clé sous un nouveau sélecteur (par exemple s2), et publie sa clé publique en DNS — sans toucher à l'ancien sélecteur (s1).
  2. Laisse propager et vérifie que la nouvelle clé publique est bien visible partout.
  3. Bascule la signature côté plateforme pour qu'elle signe désormais avec s2.
  4. Surveille quelques jours : confirme que les nouvelles signatures (s2) passent et s'alignent dans tes rapports agrégés.
  5. Retire l'ancien sélecteur (s1) — mais seulement après un délai suffisant.

Pendant toute la transition, les deux sélecteurs coexistent : le courrier signé avec l'ancienne clé reste vérifiable, le nouveau aussi. C'est ce chevauchement qui rend la rotation sans interruption.

Le piège à éviter absolument

L'erreur classique, c'est de retirer l'ancien sélecteur trop tôt. Du courrier signé avec l'ancienne clé peut encore être en transit, en file d'attente, ou stocké pour un envoi différé. Si tu supprimes son sélecteur avant qu'il ne soit tout délivré, sa signature échoue à la vérification — alors qu'il est parfaitement légitime. La règle : laisse l'ancien sélecteur en place plusieurs jours après avoir basculé la signature, le temps que tout l'ancien courrier ait été traité. Mieux vaut un sélecteur de trop quelques jours qu'une signature cassée.

Rotation manuelle ou automatisée

Deux approches, selon ta configuration :

  • Automatisée. Si tu signes via une plateforme qui propose le CNAME (Microsoft 365, beaucoup de SaaS), la rotation est souvent gérée pour toi : le prestataire fait tourner la clé derrière le CNAME que tu as publié une fois. C'est l'idéal — tu n'as rien à faire.
  • Manuelle. Si tu opères ta propre infrastructure ou que tu publies des TXT en dur, tu pilotes la rotation toi-même, selon la séquence du double sélecteur ci-dessus. C'est plus de travail, mais parfaitement faisable avec une procédure écrite et un calendrier.

Où stocker tes clés privées DKIM

La rotation ne sert à rien si tes clés privées traînent dans un fichier de configuration accessible ou un e-mail. La clé privée DKIM est un secret critique : quiconque l'obtient peut signer du courrier en ton nom. Elle mérite donc le même soin que n'importe quel secret de production — stockage chiffré, accès tracé, rotation outillée.

DMARC.com est édité par Hucency, spécialiste de la cybersécurité ; pour centraliser et chiffrer ce type de secrets — clés privées DKIM, identifiants DNS, jetons d'API — et en orchestrer la rotation, regarde Hucency Vault. Une bonne politique de rotation DKIM suppose un endroit sûr où vivent les clés ; le coffre est ce maillon souvent négligé.

Construire un calendrier de rotation

La meilleure rotation est celle qu'on n'a pas à se rappeler de faire. Plutôt que de t'en remettre à ta mémoire, inscris la rotation DKIM dans un calendrier de sécurité, au même titre que le renouvellement des certificats TLS. Une cadence semestrielle ou annuelle, notée à l'avance, transforme un geste anxiogène en routine prévisible. Documente la procédure une fois — quel sélecteur, quelle plateforme, quelle taille de clé, combien de jours de chevauchement — et chaque rotation suivante n'est plus qu'une exécution, pas une réinvention. Pour les domaines à plusieurs plateformes, échelonne les rotations plutôt que de tout faire le même jour : tu limites la surface de risque si une bascule se passe mal, et tu gardes l'attention disponible pour surveiller chaque transition une par une.

Cas d'urgence : une clé compromise

La rotation planifiée est une chose ; la rotation d'urgence en est une autre. Si tu as la moindre raison de penser qu'une clé privée a fuité — serveur compromis, sauvegarde exposée, départ d'un prestataire avec des accès — n'attends pas l'échéance planifiée : tourne immédiatement. La séquence reste la même (nouveau sélecteur, nouvelle clé, bascule de la signature), mais tu raccourcis le chevauchement et tu révoques l'ancienne clé dès que possible en publiant un p= vide à son sélecteur, ce qui invalide toute signature s'en réclamant. Une clé compromise qu'on laisse vivre, c'est une porte ouverte à l'usurpation signée : l'attaquant peut produire des messages qui passent DKIM en ton nom, le pire scénario possible. Traite-la comme une fuite de mot de passe — rotation et révocation sans délai — et documente l'incident pour ta traçabilité.

Vérifier qu'une rotation s'est bien passée

Après une rotation, deux contrôles suffisent :

  1. Le nouveau sélecteur signe et s'aligne : tes rapports doivent montrer les signatures s2 qui passent. Vois comment vérifier une signature email.
  2. Aucune signature légitime ne casse pendant la transition : surveille l'absence d'échecs DKIM soudains sur tes vraies sources.

Notre analyseur gratuit confirme la présence et la validité de tes clés publiques au sélecteur courant, un coup d'œil utile juste après une bascule.

Questions fréquentes

À quelle fréquence renouveler ? Tous les six mois à un an pour la plupart des cas. L'important est que ce soit planifié et systématique, pas la fréquence parfaite.

La rotation interrompt-elle l'envoi ? Non, si tu suis la méthode du double sélecteur : les deux clés coexistent pendant la transition, donc aucune interruption.

Quand puis-je retirer l'ancien sélecteur ? Plusieurs jours après avoir basculé la signature, le temps que tout l'ancien courrier ait été délivré. Retirer trop tôt casse des signatures légitimes.

Ma plateforme gère-t-elle la rotation ? Si tu as publié un CNAME fourni par le prestataire, probablement oui. Si tu publies des TXT en dur, c'est à toi de la piloter.

Faut-il changer de sélecteur à chaque rotation ? Oui, c'est tout l'intérêt : une nouvelle clé sous un nouveau sélecteur permet le chevauchement sans interruption. Réutiliser le même sélecteur pour une nouvelle clé crée une fenêtre où les signatures échouent.

DKIM et conformité : ce que les référentiels attendent

Si tu opères dans un environnement réglementé — finance, santé, collectivités — la rotation des clés DKIM peut ne plus être un simple choix de bonne pratique, mais une exigence documentée. Des référentiels comme ISO 27001 (contrôles cryptographiques §A.10) ou NIS2 attendent une politique de gestion des secrets qui inclut leur renouvellement périodique. Une clé DKIM posée il y a cinq ans et jamais renouvelée est difficilement défendable lors d'un audit. La traçabilité compte aussi : qui a généré la clé, quand, quelle taille, quelle est la date de prochaine rotation — autant d'éléments que les auditeurs peuvent demander. Tenir un journal de rotation DKIM simple (date, sélecteur, plateforme, taille) te sort de ces situations sans effort, et montre que la sécurité email est pilotée, pas subie. Ce n'est pas beaucoup de travail, mais c'est exactement ce qui fait la différence entre « on gère » et « on documente qu'on gère ».

Laisse Thomas rythmer tes rotations

Une rotation oubliée laisse vieillir une clé ; une rotation bâclée casse des signatures. Thomas, ton RSSI virtuel, suit l'âge de tes clés DKIM, te rappelle quand il est temps de tourner, te guide dans la séquence du double sélecteur, et vérifie sur tes rapports que la bascule s'est faite sans casse.

Analyse ton domaine gratuitement → ou crée un compte pour des clés DKIM toujours fraîches et bien gardées.

Prêt à appliquer DMARC ?

Atteindre p=reject — gratuit

Guides liés

À propos de l'auteur

ThomasThomas est le RSSI virtuel de DMARC.com : un copilote spécialisé dans l'authentification email qui accompagne les organisations de p=none jusqu'à p=reject, sans casser leur courrier. Ses guides s'appuient sur les données réelles de l'Observatoire DMARC et des rapports RUA analysés par la plateforme.