Blog
>
Sendmarc
>
DKIM for Office 365 : guide MSP pour signer, sécuriser et protéger les emails

DKIM for Office 365 : guide MSP pour signer, sécuriser et protéger les emails

Date
|
Sendmarc
,
Sécurité
,
Technique
,
Webinar Offert
[Replay] Comment sécuriser de A à Z un environnement Microsoft 365 (sans passer des dizaines d’heures à vous former dessus)
Je m’inscris

Les attaques par spoofing et phishing sont de plus en plus crédibles. Les cybercriminels savent imiter une alerte Microsoft, un devis ou même un email interne. Sans mécanisme d’authentification, impossible de savoir si le mail vient vraiment du domaine qu’il affiche.

C’est là que DomainKeys Identified Mail (DKIM) entre en scène. DKIM ajoute une signature numérique aux emails, prouvant qu’ils proviennent bien de votre domaine Office 365/Exchange Online.

Dans cet article, on plonge dans l’univers des DKIM signatures, on explique comment configurer DKIM dans le Microsoft 365 Defender portal, et on détaille les bonnes pratiques MSP pour renforcer l’authentification email (SPF, DMARC).

Car oui, cliquer sur “activer DKIM” ne suffit pas. Les MSP doivent comprendre comment générer, publier et maintenir les DKIM DNS records pour vraiment protéger le mail de leurs clients.

Astuce MSP : Le meilleur combo sécurité reste la technique + la formation. Avec usecure, vous sensibilisez vos clients à ne pas tomber dans les pièges de phishing, même quand le mail est techniquement signé. 

À retenir

Point cléExplication
Signature DKIMOffice 365 signe automatiquement les emails sortants avec une digital signature.
Configuration DNSNécessite de créer deux enregistrements DKIM CNAME dans le DNS du domaine.
ActivationSe fait via le Microsoft 365 Defender portal ou avec PowerShell.
ObjectifsBloquer le spoofing et les phishing attacks, améliorer la délivrabilité.
Protection complèteLes MSP doivent combiner SPF + DKIM + DMARC pour une sécurité optimale.

Qu’est-ce que DKIM dans Office 365 ?

DKIM (DomainKeys Identified Mail) est une méthode d’authentification email.

Concrètement :

  • Votre serveur Office 365 ajoute une DKIM signature dans l’en-tête de chaque message.
  • Cette signature est basée sur une paire de clés private key / public key.
  • Le destinataire vérifie la signature avec la clé publique publiée dans vos DNS records.

Résultat : si l’email a été modifié ou falsifié → la signature est invalide → il est rejeté ou marqué comme suspect.

Pourquoi les MSP doivent activer DKIM ? 

  • Protection des clients : limiter les fraudes par usurpation de domaine.
  • Réduction du support : moins de tickets “mes emails finissent en spam”.
  • Amélioration de la réputation : meilleure délivrabilité pour les campagnes marketing.
  • Conformité : DKIM est souvent exigé dans les politiques de sécurité (RGPD, ISO 27001, cyberassurances).

Comment fonctionne une DKIM signature ? 

Lors de l’envoi, Exchange Online ajoute une digital signature dans l’entête DKIM-Signature.

Cette signature est générée avec votre private key stockée côté Microsoft.

Le serveur du destinataire interroge vos DKIM DNS records (côté domaine) pour récupérer la public key.

Si la clé correspond → message validé. Sinon → suspicion de falsification.

Étapes pour configurer DKIM for Office 365

  1. Se connecter au Microsoft 365 Defender portal

Accédez à : https://security.microsoft.com/dkimv2

  1. Sélectionner le domaine

Choisissez le domaine personnalisé que vous voulez protéger.

  1. Créer les DKIM DNS records

Microsoft vous fournit deux CNAME records à ajouter dans la zone DNS de votre domaine.

Exemple :

selector1._domainkey.votredomaine.com → selector1-votredomaine-com._domainkey.microsoft.com

selector2._domainkey.votredomaine.com → selector2-votredomaine-com._domainkey.microsoft.com

  1. Publier les enregistrements

Ajoutez-les via votre registrar ou fournisseur DNS. TTL recommandé : 1h.

  1. Activer DKIM

Retournez dans le Defender portal et cliquez sur “Enable” pour signer vos messages.

  1. Vérifiez

Envoyez un email vers une adresse externe (ex. Gmail) et consultez les en-têtes → vous devez voir DKIM=pass.

Créer et gérer vos clés DKIM 

La gestion des clés DKIM est souvent un sujet flou pour les administrateurs. Dans Office 365, la bonne nouvelle, c’est que Microsoft se charge de la partie la plus complexe.

  • Private key : elle est générée et stockée dans l’infrastructure Microsoft. Vous n’y avez pas accès directement, ce qui réduit le risque de fuite accidentelle. C’est cette clé qui signe chaque email sortant.
  • Public key : elle est publiée dans vos DNS records via les deux CNAME DKIM selectors (selector1 et selector2). C’est cette clé que les serveurs de réception vont interroger pour valider la signature.
  • Rotation automatique : Microsoft fait tourner les clés tous les 6 mois pour renforcer la sécurité. Si vous n’avez configuré qu’un seul selector, attention : la bascule risque de casser l’authentification.

Rôle des MSP : ne pas se contenter de l’activation initiale. Il faut planifier un contrôle régulier (via scripts ou outils RMM) pour vérifier que :

  1. Les DKIM records existent toujours dans le DNS.
  2. Ils pointent bien vers les sélecteurs Microsoft actifs.
  3. La résolution DNS est correcte (pas de TTL trop long, pas de typo dans les valeurs).

Bref : Microsoft signe, mais le MSP supervise. Et c’est cette supervision proactive qui fait la différence entre une sécurité “par défaut” et une sécurité fiable et maîtrisée.

Protéger vos emails : combiner SPF, DKIM et DMARC 

Parler de DKIM seul, c’est comme mettre une serrure sur une porte mais laisser les fenêtres ouvertes. 

Pour qu’un domaine soit réellement protégé, les MSP doivent toujours mettre en place le trio gagnant : SPF + DKIM + DMARC.

  • SPF (Sender Policy Framework) : il définit quels serveurs sont autorisés à envoyer des emails pour votre domaine. Sans SPF, n’importe quel serveur peut prétendre être vous.
  • DKIM (DomainKeys Identified Mail) : il signe numériquement chaque message. Si l’email est modifié en transit, la signature devient invalide.
  • DMARC (Domain-based Message Authentication, Reporting & Conformance) : c’est le chef d’orchestre. Il indique aux serveurs destinataires quoi faire si un email échoue aux contrôles SPF ou DKIM (ignorer, mettre en quarantaine ou rejeter).

Ensemble, ces trois mécanismes sont devenus la norme pour protéger vos emails contre le spoofing et le phishing. 

Pour un MSP, c’est aussi une opportunité : proposer un pack “Email Authentication” incluant SPF, DKIM et DMARC, avec éventuellement un outil comme Sendmarc pour centraliser la gestion. Ce trio ne bloque pas tout, mais élimine déjà près de 90 % des usurpations d’identité.

Erreurs fréquentes des MSP avec DKIM

  • Publier uniquement un selector au lieu des deux (risque lors de rotation).
  • Oublier la propagation DNS avant d’activer la signature.
  • Ne pas vérifier la cohérence avec SPF et DMARC.
  • Ignorer les sous-domaines envoyant des emails (ex. newsletters).

Tester et surveiller DKIM for office 365

  • MXToolbox ou CheckMX pour tester la validité des enregistrements.
  • Rapports DMARC pour vérifier que vos emails passent bien la validation.
  • Surveiller dans le Microsoft 365 Defender portal les logs d’authentification.

Bonnes pratiques pour MSP

  • Toujours documenter les DNS records (IT Glue).
  • Automatiser les vérifications DKIM via votre RMM.
  • Proposer à vos clients un service pack “SPF + DKIM + DMARC + Formation”.
  • Compléter la protection avec Sendmarc (authentification email avancée) et Ironscales (détection anti-phishing).

Conclusion : DKIM est votre allié MSP

Activer DKIM for Office 365 n’est pas une option mais une nécessité. C’est un pilier de l’email authentication method, indispensable pour protéger vos clients contre le spoofing et le phishing.

Besoin d’aller plus loin ? Combinez Sendmarc (gestion DMARC), Ironscales (détection phishing) et Usecure (formation utilisateurs) pour une stratégie béton.

Réservez une démo avec BeMSP et transformez l’email en canal sécurisé pour vos clients.

FAQ 

Comment activer DKIM sur Office 365 ?

Ajoutez les DKIM CNAME records fournis par Microsoft dans vos DNS, puis activez la signature dans le Microsoft 365 Defender portal.

Qu’est-ce que DKIM dans Office 365 ?

C’est un mécanisme d’authentification email qui ajoute une signature numérique aux messages sortants pour garantir qu’ils proviennent bien de votre domaine.

Comment configurer DKIM pour mes emails ?

Créez les enregistrements DKIM dans vos DNS, puis activez-les sur Exchange Online via Defender ou PowerShell.

Comment configurer un enregistrement SPF pour mon domaine dans Office 365 ?

Ajoutez un SPF record de type TXT dans vos DNS, par exemple :

v=spf1 include:spf.protection.outlook.com -all.

Comment authentifier mes emails dans Outlook ?

Outlook s’appuie sur l’infrastructure Office 365. Vos emails sont signés via DKIM/SPF/DMARC si le domaine est correctement configuré.

Comment créer un enregistrement DKIM pour un serveur Exchange ?

Générez une paire de clés private/public key, publiez la clé publique en DNS, et configurez Exchange pour signer les messages avec la clé privée. Dans Office 365, cette gestion est automatisée.

Dans cet article
This is some text inside of a div block.
Partagez autour de vous !
Découvrez nos rubriques
Sécurité
Webroot
Brightgauge
Vidéo
Malwarebytes
IT Glue
Workshop
Technique
Overe
Tout voir

Dans la catégorie

Sendmarc
Faux support technique : comment protéger vos clients contre cette arnaque redoutable
Lire l'article
Conseil en cybersécurité : un levier stratégique pour maîtriser les risques numériques de vos clients
Lire l'article
Parc informatique : définition, méthode et outils pour une gestion optimale
Lire l'article