Ticket support LWS — DKIM cassé pour caritasbenin.org¶
Date : 2026-07-03
Prêt à copier-coller dans le formulaire de support LWS (ou par email).
Objet : DKIM cassé pour caritasbenin.org — mauvais sélecteur utilisé pour la signature SMTP authentifiée
Domaine concerné : caritasbenin.org Compte SMTP concerné : b.kanmadozo@caritasbenin.org Serveur : mail.caritasbenin.org / web59.lws-hosting.com (mail35.lwspanel.com)
Description du problème :
Les emails envoyés en SMTP authentifié depuis le compte b.kanmadozo@caritasbenin.org sont rejetés en tant que suspects (dossier spam) par Gmail, à cause d'une erreur de signature DKIM.
L'en-tête DKIM-Signature des emails sortants indique que le serveur signe avec le sélecteur dkim :
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=caritasbenin.org; s=dkim; ...
Or, aucune clé publique DKIM n'est publiée dans le DNS pour ce sélecteur (dkim._domainkey.caritasbenin.org). La page "Email Deliverability" de cPanel affiche bien un enregistrement DKIM "Valid", mais celui-ci est publié sous le sélecteur default (default._domainkey.caritasbenin.org), pas dkim. Il y a donc un décalage entre le sélecteur utilisé pour signer (dkim) et celui géré/publié par cPanel (default).
Résultat : Gmail ne trouve aucune clé pour vérifier la signature et renvoie l'erreur suivante dans ses en-têtes Authentication-Results :
dkim=permerror (no key for signature) header.i=@caritasbenin.org header.s=dkim header.b=...
Le SPF et le DMARC passent correctement (spf=pass, dmarc=pass), donc le problème est bien circonscrit à cette incohérence de sélecteur DKIM.
Ce qui est demandé :
Merci de corriger l'un des deux points suivants, au choix :
1. Publier la clé DKIM active sous le sélecteur dkim (dkim._domainkey.caritasbenin.org), correspondant à la clé privée réellement utilisée par le serveur pour signer, ou
2. Reconfigurer la signature DKIM du serveur mail pour ce domaine afin qu'elle utilise le sélecteur default (déjà correctement publié et validé dans cPanel).
En-têtes complets d'un email affecté (pour référence) :
ARC-Authentication-Results: i=1; mx.google.com; dkim=permerror (no key for signature) header.i=@caritasbenin.org header.s=dkim header.b=AoXXfVwH; spf=pass (google.com: domain of b.kanmadozo@caritasbenin.org designates 91.234.194.57 as permitted sender) smtp.mailfrom=b.kanmadozo@caritasbenin.org; dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=caritasbenin.org
Authentication-Results: mx.google.com; dkim=permerror (no key for signature) header.i=@caritasbenin.org header.s=dkim header.b=AoXXfVwH; spf=pass (google.com: domain of b.kanmadozo@caritasbenin.org designates 91.234.194.57 as permitted sender) smtp.mailfrom=b.kanmadozo@caritasbenin.org; dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=caritasbenin.org
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=caritasbenin.org; s=dkim; t=1783098087; h=from:from:reply-to:subject:subject:date:date:message-id:message-id:to:to:cc:mime-version:mime-version:content-type:content-type; bh=UJObW4hm4UDCmacNFbo23BfNw/QP0hJZ0gWd5n+Sgck=; b=AoXXfVwHnE9werq7yyjErLmvYUoBl9nv3dQoM/YgOewL7TiFjPSJGoQ1CEqrt5OBhI/yaHge2hYckDJvZPaB8ImDN5hxx4h/tNOzr2M/tdYvI+IzTkBF6Ky5S1V8BYIB1P//bkjKHZSpKIQD3QpSPI9DE3fTKxfkvNxgjaNF2Rc=
Merci d'avance pour votre aide.
Contexte (pour référence future)¶
- SPF de
caritasbenin.org: valide, autorise déjà91.234.194.57— ne pas toucher, fonctionne en pratique. - DMARC de
caritasbenin.org:p=quarantine, valide, passe grâce au SPF. - cPanel "Email Deliverability" affiche DKIM/SPF/DMARC/PTR tous "Valid" — mais ce statut concerne le sélecteur
default, pas le sélecteurdkimréellement utilisé pour signer les emails envoyés par l'application (confirmé sur 2 tests réels, en-têtes Gmail identiques les deux fois). - Voir aussi
Documents/20260703_1434_procedure-cablage-auth-package.md(contexte applicatif, EMAIL_FROM/SMTP_USER=b.kanmadozo@caritasbenin.org) et la note second-memorywiki/jobPipeline/decisions/explication-non-technique-echec-envoi-emails-caritasbenin.md.