Aller au contenu

Ticket support LWS — DKIM cassé pour caritasbenin.org

Date : 2026-07-03

Prêt à copier-coller dans le formulaire de support LWS (ou par email).


Objet : DKIM cassé pour caritasbenin.org — mauvais sélecteur utilisé pour la signature SMTP authentifiée

Domaine concerné : caritasbenin.org Compte SMTP concerné : b.kanmadozo@caritasbenin.org Serveur : mail.caritasbenin.org / web59.lws-hosting.com (mail35.lwspanel.com)

Description du problème :

Les emails envoyés en SMTP authentifié depuis le compte b.kanmadozo@caritasbenin.org sont rejetés en tant que suspects (dossier spam) par Gmail, à cause d'une erreur de signature DKIM.

L'en-tête DKIM-Signature des emails sortants indique que le serveur signe avec le sélecteur dkim :

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=caritasbenin.org; s=dkim; ...

Or, aucune clé publique DKIM n'est publiée dans le DNS pour ce sélecteur (dkim._domainkey.caritasbenin.org). La page "Email Deliverability" de cPanel affiche bien un enregistrement DKIM "Valid", mais celui-ci est publié sous le sélecteur default (default._domainkey.caritasbenin.org), pas dkim. Il y a donc un décalage entre le sélecteur utilisé pour signer (dkim) et celui géré/publié par cPanel (default).

Résultat : Gmail ne trouve aucune clé pour vérifier la signature et renvoie l'erreur suivante dans ses en-têtes Authentication-Results :

dkim=permerror (no key for signature) header.i=@caritasbenin.org header.s=dkim header.b=...

Le SPF et le DMARC passent correctement (spf=pass, dmarc=pass), donc le problème est bien circonscrit à cette incohérence de sélecteur DKIM.

Ce qui est demandé :

Merci de corriger l'un des deux points suivants, au choix : 1. Publier la clé DKIM active sous le sélecteur dkim (dkim._domainkey.caritasbenin.org), correspondant à la clé privée réellement utilisée par le serveur pour signer, ou 2. Reconfigurer la signature DKIM du serveur mail pour ce domaine afin qu'elle utilise le sélecteur default (déjà correctement publié et validé dans cPanel).

En-têtes complets d'un email affecté (pour référence) :

ARC-Authentication-Results: i=1; mx.google.com; dkim=permerror (no key for signature) header.i=@caritasbenin.org header.s=dkim header.b=AoXXfVwH; spf=pass (google.com: domain of b.kanmadozo@caritasbenin.org designates 91.234.194.57 as permitted sender) smtp.mailfrom=b.kanmadozo@caritasbenin.org; dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=caritasbenin.org
Authentication-Results: mx.google.com; dkim=permerror (no key for signature) header.i=@caritasbenin.org header.s=dkim header.b=AoXXfVwH; spf=pass (google.com: domain of b.kanmadozo@caritasbenin.org designates 91.234.194.57 as permitted sender) smtp.mailfrom=b.kanmadozo@caritasbenin.org; dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=caritasbenin.org
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=caritasbenin.org; s=dkim; t=1783098087; h=from:from:reply-to:subject:subject:date:date:message-id:message-id:to:to:cc:mime-version:mime-version:content-type:content-type; bh=UJObW4hm4UDCmacNFbo23BfNw/QP0hJZ0gWd5n+Sgck=; b=AoXXfVwHnE9werq7yyjErLmvYUoBl9nv3dQoM/YgOewL7TiFjPSJGoQ1CEqrt5OBhI/yaHge2hYckDJvZPaB8ImDN5hxx4h/tNOzr2M/tdYvI+IzTkBF6Ky5S1V8BYIB1P//bkjKHZSpKIQD3QpSPI9DE3fTKxfkvNxgjaNF2Rc=

Merci d'avance pour votre aide.


Contexte (pour référence future)

  • SPF de caritasbenin.org : valide, autorise déjà 91.234.194.57 — ne pas toucher, fonctionne en pratique.
  • DMARC de caritasbenin.org : p=quarantine, valide, passe grâce au SPF.
  • cPanel "Email Deliverability" affiche DKIM/SPF/DMARC/PTR tous "Valid" — mais ce statut concerne le sélecteur default, pas le sélecteur dkim réellement utilisé pour signer les emails envoyés par l'application (confirmé sur 2 tests réels, en-têtes Gmail identiques les deux fois).
  • Voir aussi Documents/20260703_1434_procedure-cablage-auth-package.md (contexte applicatif, EMAIL_FROM/SMTP_USER=b.kanmadozo@caritasbenin.org) et la note second-memory wiki/jobPipeline/decisions/explication-non-technique-echec-envoi-emails-caritasbenin.md.