{"id":19017,"date":"2026-04-14T08:35:56","date_gmt":"2026-04-14T06:35:56","guid":{"rendered":"https:\/\/webhosting.de\/dkim-key-rotation-verwaltung-server-sicherheit-rotationsplan\/"},"modified":"2026-04-14T08:35:56","modified_gmt":"2026-04-14T06:35:56","slug":"dkim-key-rotation-gestion-serveur-securite-plan-de-rotation","status":"publish","type":"post","link":"https:\/\/webhosting.de\/fr\/dkim-key-rotation-verwaltung-server-sicherheit-rotationsplan\/","title":{"rendered":"Rotation des cl\u00e9s DKIM : gestion du serveur de messagerie pour une s\u00e9curit\u00e9 maximale"},"content":{"rendered":"<p>Le <strong>Rotation des cl\u00e9s DKIM<\/strong> maintient les cl\u00e9s du serveur de messagerie \u00e0 jour et prot\u00e8ge les messages sign\u00e9s contre les falsifications en activant r\u00e9guli\u00e8rement de nouveaux s\u00e9lecteurs et en d\u00e9phasant les anciens de mani\u00e8re s\u00e9curis\u00e9e. Ainsi, je renforce <strong>D\u00e9livrabilit\u00e9<\/strong> et la r\u00e9putation des domaines, emp\u00eache les attaques sur les cl\u00e9s faibles de 1024 bits et s\u00e9curise l'authentification du courrier avec des cl\u00e9s de 2048 bits.<\/p>\n\n<h2>Points centraux<\/h2>\n\n<ul>\n  <li><strong>2048 bits<\/strong> Cl\u00e9 par d\u00e9faut, remplacer 1024 bits<\/li>\n  <li><strong>S\u00e9lecteurs<\/strong> utiliser en parall\u00e8le (par ex. selector1\/selector2)<\/li>\n  <li><strong>Intervalles<\/strong> 3-12 mois, avec phase de transition<\/li>\n  <li><strong>Tests<\/strong> avant la d\u00e9sactivation de l'ancienne cl\u00e9<\/li>\n  <li><strong>DMARC<\/strong> surveiller, \u00e9valuer les rapports<\/li>\n<\/ul>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-sicherheit-8921.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Ce que fait concr\u00e8tement la rotation cl\u00e9 DKIM<\/h2>\n\n<p>Je signe les e-mails sortants avec un certificat priv\u00e9. <strong>Cl\u00e9<\/strong>, Le destinataire v\u00e9rifie la signature \u00e0 l'aide de la cl\u00e9 publique dans l'enregistrement DNS-TXT. Des s\u00e9lecteurs tels que selector1._domainkey.example.com relient de mani\u00e8re fiable la signature \u00e0 l'enregistrement correspondant et permettent d'effectuer des recherches parall\u00e8les. <strong>Cl\u00e9s<\/strong> pour des changements en douceur. Sans rotation, les cl\u00e9s deviennent obsol\u00e8tes, les filtres anti-spam sanctionnent les courtes dur\u00e9es et les attaquants profitent des cl\u00e9s expos\u00e9es plus longtemps. <strong>Secrets<\/strong>. Avec une rotation planifi\u00e9e, je ne supprime les anciennes entr\u00e9es que lorsqu'il n'y a plus de messages valid\u00e9s qui circulent et que tous les syst\u00e8mes ont adopt\u00e9 la nouvelle version. <strong>S\u00e9lecteur<\/strong> utiliser le syst\u00e8me. Cela me permet d'\u00e9viter les pannes et de maintenir la cryptographie de mon domaine \u00e0 jour. <strong>Niveau<\/strong>.<\/p>\n\n<h2>Pourquoi une rotation r\u00e9guli\u00e8re assure la d\u00e9livrabilit\u00e9<\/h2>\n\n<p>Les cl\u00e9s courtes ou anciennes co\u00fbtent <strong>R\u00e9putation<\/strong>, Cela se traduit imm\u00e9diatement par des taux de spam plus \u00e9lev\u00e9s. J'ai l'habitude de passer \u00e0 2048 bits et de m'assurer que les fournisseurs d'acc\u00e8s comme Gmail et Outlook utilisent la signature en tant qu'identifiant. <strong>digne de confiance<\/strong> de la s\u00e9curit\u00e9. Chaque rotation r\u00e9duit la surface d'attaque, car les cl\u00e9s compromises ou faibles n'ont pas de <strong>opportunit\u00e9<\/strong> de rester actifs plus longtemps. J'ai d\u00e9lib\u00e9r\u00e9ment maintenu une p\u00e9riode de transition suffisamment longue pour que les caches expirent et que les syst\u00e8mes distribu\u00e9s puissent fournir un nouveau contenu DNS. <strong>voir<\/strong>. Pour une vue d'ensemble de l'authentification, je recommande le livre compact <a href=\"https:\/\/webhosting.de\/fr\/spf-dkim-dmarc-bimi-explique-la-matrice-de-securite-optimale-des-e-mails\/\">Matrice de s\u00e9curit\u00e9 du courrier \u00e9lectronique<\/a>, Le DKIM avec le SPF, le DMARC et le BIMI sont utiles. <strong>relie<\/strong>.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_dkim_rotation_8453.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Intervalles et forces cl\u00e9s recommand\u00e9s<\/h2>\n\n<p>Je fais une rotation tous les trois \u00e0 douze mois, en fonction des risques. <strong>Mois<\/strong>, et plus souvent si les exigences sont plus \u00e9lev\u00e9es. 2048 bits est aujourd'hui mon <strong>Standard<\/strong>, En effet, les fournisseurs de messagerie courants \u00e9valuent n\u00e9gativement les cl\u00e9s courtes et peuvent les bloquer \u00e0 long terme. Avant de passer \u00e0 la nouvelle version, j'active un deuxi\u00e8me s\u00e9lecteur, je teste les signatures et je laisse l'ancienne cl\u00e9 en place pendant au moins 30 jours. <strong>Jours<\/strong> existent en parall\u00e8le. Pendant la phase de transition, j'observe les r\u00e9sultats des rapports DMARC afin d'anticiper les \u00e9checs. <strong>Source<\/strong> de la cl\u00e9 publique. Ce n'est qu'apr\u00e8s des contr\u00f4les verts continus que je marque l'ancienne cl\u00e9 publique comme non valable et vide la valeur DNS par p=<strong>none<\/strong> ou les supprimer.<\/p>\n\n<table>\n  <thead>\n    <tr>\n      <th>Profil de risque<\/th>\n      <th>Intervalle<\/th>\n      <th>Force de la cl\u00e9<\/th>\n      <th>P\u00e9riode de transition<\/th>\n      <th>Suivi<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td>Faible<\/td>\n      <td>De 9 \u00e0 12 mois<\/td>\n      <td>2048 bits<\/td>\n      <td>30 jours<\/td>\n      <td>Rapports DMARC, taux de distribution<\/td>\n    <\/tr>\n    <tr>\n      <td>Moyens<\/td>\n      <td>de 6 \u00e0 9 mois<\/td>\n      <td>2048 bits<\/td>\n      <td>30-45 jours<\/td>\n      <td>Taux d'erreur par s\u00e9lecteur<\/td>\n    <\/tr>\n    <tr>\n      <td>Haute<\/td>\n      <td>3-6 mois<\/td>\n      <td>2048 bits<\/td>\n      <td>45 jours<\/td>\n      <td>\u00c9valuation fine des politiques<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table>\n\n<h2>Profondeur technique : d\u00e9finir correctement l'enregistrement DKIM et les param\u00e8tres de la signature<\/h2>\n\n<p>Pour des signatures robustes, je veille \u00e0 ce que les param\u00e8tres de l'enregistrement DNS et de la ligne de signature dans l'en-t\u00eate soient propres. Dans l'enregistrement DNS, je mets au moins v=DKIM1 ; k=rsa ; p=... et je laisse tomber les ajouts inutiles. Le site <strong>t=<\/strong>-J'utilise les interrupteurs de mani\u00e8re cibl\u00e9e : <strong>t=y<\/strong> marque des tests (utile uniquement de mani\u00e8re temporaire), <strong>t=s<\/strong> force l'utilisation stricte uniquement pour le d=domaine exact - je ne le mets que si les sous-domaines ne signent jamais avec la m\u00eame cl\u00e9. L'indication <strong>s=email<\/strong> est facultatif, puisque le courrier \u00e9lectronique est de toute fa\u00e7on le service par d\u00e9faut. Dans la signature, je d\u00e9finis <strong>a=rsa-sha256<\/strong> en tant qu'algorithme, <strong>c=relaxed\/relax\u00e9<\/strong> pour une canonicalization robuste, et je <strong>sursigne<\/strong> (h=...) en-t\u00eates critiques tels que From, To, Subject, Date, Message-ID, MIME-Version et Content-Type. Sur les balises <strong>l=<\/strong> (longueur du corps) et <strong>z=<\/strong> (copie de l'en-t\u00eate), car elles rendent la v\u00e9rification plus fragile ou r\u00e9duisent la sph\u00e8re priv\u00e9e.<\/p>\n\n<p>Je planifie le d=domaine de mani\u00e8re \u00e0 ce qu'il corresponde \u00e0 mon alignement DMARC. Lorsque plusieurs syst\u00e8mes envoient, je choisis d\u00e9lib\u00e9r\u00e9ment des sous-domaines (par ex. crm.exemple.com) et je cr\u00e9e mes propres s\u00e9lecteurs par <strong>Cas d'utilisation<\/strong>. En cas de doute, je laisse l'identit\u00e9 i= dans la signature vide, afin qu'elle corresponde automatiquement au domaine d= et que DMARC ne soit pas inutilement <strong>brise<\/strong>.<\/p>\n\n<h2>les unit\u00e9s DNS : TTL, chunking et limites du fournisseur d'acc\u00e8s<\/h2>\n\n<p>Les cl\u00e9s de 2048 bits sont longues. De nombreux fournisseurs de DNS exigent <strong>Chunking<\/strong> en plusieurs sous-cha\u00eenes plac\u00e9es entre guillemets, qu'ils assemblent au moment de l'ex\u00e9cution. Apr\u00e8s l'enregistrement, je v\u00e9rifie que l'enregistrement TXT ne comporte pas de retours \u00e0 la ligne ou d'espaces dans le bloc Base64. En outre, je respecte la r\u00e8gle des 255 caract\u00e8res par cha\u00eene et les limitations DNS globales. Pour des conversions rapides, je r\u00e9duis les <strong>TTL<\/strong> quelques jours avant la rotation (par exemple \u00e0 300-600 secondes) et je l'augmente \u00e0 nouveau une fois la migration r\u00e9ussie. Ce faisant, je tiens compte <strong>mise en cache n\u00e9gative<\/strong> (NXDOMAIN), qui peut retarder la perception en cas de demandes pr\u00e9matur\u00e9es de nouveaux s\u00e9lecteurs.<\/p>\n\n<p>Comme tous les r\u00e9solveurs ne se mettent pas \u00e0 jour \u00e0 la m\u00eame vitesse, je pr\u00e9vois des tampons. Je conserve les anciens enregistrements au moins 30 jours, voire plus si le volume de courrier est tr\u00e8s \u00e9lev\u00e9 ou si le MTA est lent. <strong>45 jours<\/strong>. Ce n'est qu'ensuite que je les supprime ou que je place la balise de cl\u00e9 publique <strong>p=<\/strong> vide pour r\u00e9voquer l'utilisation. Important : Le <strong>p=<\/strong> dans l'enregistrement DKIM d\u00e9crit la cl\u00e9 publique ; le DMARC-<strong>p=<\/strong> contr\u00f4le la politique (none\/quarantine\/reject). Je documente cette <strong>Terminologie<\/strong>, Pour que l'\u00e9quipe de Runbooks ne m\u00e9lange pas les termes.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/dkim-key-rotation-mailserver-2764.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Guide pratique de la messagerie : Rotation manuelle sur son propre serveur de messagerie<\/h2>\n\n<p>Je commence par une nouvelle paire de cl\u00e9s et je choisis 2048 bits comme cl\u00e9 de chiffrement. <strong>Ligne<\/strong>. Pour OpenDKIM, je g\u00e9n\u00e8re une paire par s\u00e9lecteur avec opendkim-genkey, je publie la cl\u00e9 publique dans le DNS et j'attends les <strong>Propagation<\/strong> de l'adresse. Ensuite, je modifie la configuration Milter du MTA en fonction du nouveau s\u00e9lecteur et je v\u00e9rifie la signature de l'en-t\u00eate dans des e-mails de test tr\u00e8s <strong>exactement<\/strong>. Si tout va bien, je laisse les deux s\u00e9lecteurs actifs pendant la p\u00e9riode de transition pr\u00e9vue, afin qu'aucun courrier l\u00e9gitime ne soit envoy\u00e9 aux anciennes caches. <strong>\u00e9choue<\/strong>. Ceux qui utilisent Plesk trouveront des conseils pragmatiques dans le compact <a href=\"https:\/\/webhosting.de\/fr\/spf-dkim-dmarc-plesk-guide-securite-tuning-professional\/\">Guide Plesk<\/a>, Le syst\u00e8me de gestion DKIM et le r\u00e9glage fin sont \u00e0 port\u00e9e de main. <strong>fait<\/strong>.<\/p>\n\n<p>Je documente chaque changement dans un simple protocole de rotation avec la date, le s\u00e9lecteur, la taille de la cl\u00e9 et le statut DNS comme une pratique v\u00e9cue. <strong>Routine<\/strong>. Ce journal m'aidera plus tard lors d'audits, de perturbations ou de transferts d'\u00e9quipe sans qu'il soit n\u00e9cessaire de passer par de longues \u00e9tapes. <strong>Recherche<\/strong>. Pour plus de commodit\u00e9, j'\u00e9cris un petit script qui g\u00e9n\u00e8re des cl\u00e9s, formate les enregistrements DNS et adapte la configuration MTA avant d'envoyer des courriers de validation <strong>envoie<\/strong>. Cela me permet de standardiser les processus et de r\u00e9duire les erreurs de frappe, qui entra\u00eenent des temps d'arr\u00eat co\u00fbteux dans les environnements de production. <strong>provoquent<\/strong>. Apr\u00e8s l'expiration de la p\u00e9riode de transition, je r\u00e9voque les anciennes cl\u00e9s dans le DNS et je v\u00e9rifie une derni\u00e8re fois les rapports DMARC sur <strong>Anomalies<\/strong>.<\/p>\n\n<h2>Gestion s\u00e9curis\u00e9e des cl\u00e9s et qualit\u00e9 de fonctionnement<\/h2>\n\n<p>Je traite les cl\u00e9s priv\u00e9es DKIM comme les autres <strong>Secrets<\/strong>: des droits de fichiers restrictifs (par ex. uniquement lisibles par l'utilisateur Milter), pas de sauvegardes non crypt\u00e9es et des r\u00f4les clairs pour l'acc\u00e8s et les partages. Dans les grands environnements, je stocke les cl\u00e9s dans des <strong>HSM<\/strong>- ou des syst\u00e8mes de gestion des secrets et je ne fais signer les MTA que via des interfaces d\u00e9finies. Dans les configurations CI\/CD, je garde les cl\u00e9s s\u00e9par\u00e9es des d\u00e9p\u00f4ts de code source et j'\u00e9vite qu'elles soient stock\u00e9es dans des artefacts ou des journaux. <strong>atterrissent<\/strong>. Un calendrier rotatif avec des rappels (par exemple 60\/30\/7 jours avant la date limite) emp\u00eache le renouvellement dans les activit\u00e9s quotidiennes. <strong>se couche<\/strong>.<\/p>\n\n<p>Je choisis d\u00e9lib\u00e9r\u00e9ment <strong>rsa-sha256<\/strong>; Des alternatives comme ed25519-sha256 sont certes efficaces, mais ne sont pas encore \u00e9tablies \u00e0 grande \u00e9chelle dans l'\u00e9cosyst\u00e8me de la messagerie. Le RSA 3072 bits am\u00e9liore la s\u00e9curit\u00e9, mais peut se heurter \u00e0 des limites chez certains fournisseurs de DNS. 2048 bits est le plus robuste <strong>Point sensible<\/strong> de la s\u00e9curit\u00e9 et de la compatibilit\u00e9.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/Mailserver_Management_Sicherheit_7834.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Rotation automatis\u00e9e pour Microsoft 365 et Google Workspace<\/h2>\n\n<p>Dans Microsoft 365, j'utilise PowerShell et je d\u00e9finis avec Rotate-DkimSigningConfig la <strong>Doux<\/strong> sur une nouvelle cl\u00e9, tandis que deux s\u00e9lecteurs sont disponibles pour une transition en douceur. Microsoft pr\u00e9voit en interne une phase de transition de plusieurs jours, afin qu'aucun message sign\u00e9 en transit ne soit perdu. <strong>expire<\/strong>. Pendant ce temps, je contr\u00f4le les taux DMARC et les en-t\u00eates jusqu'\u00e0 ce que les deux s\u00e9lecteurs soient propres. <strong>v\u00e9rifier<\/strong>. Dans Google Workspace, je g\u00e9n\u00e8re manuellement de nouveaux s\u00e9lecteurs, je saisis la cl\u00e9 publique et je r\u00e8gle le syst\u00e8me sur la nouvelle cl\u00e9. <strong>Signature<\/strong>. Ici aussi, la r\u00e8gle est la suivante : naviguer suffisamment longtemps en parall\u00e8le, lire les logs et ensuite seulement les anciennes cl\u00e9s. <strong>\u00e9teindre<\/strong>.<\/p>\n\n<p>Je garde \u00e0 l'esprit que les plateformes externes ont des temps de mise en cache et de d\u00e9ploiement diff\u00e9rents, ce qui rend le timing et la surveillance encore plus importants. <strong>fait<\/strong>. Ceux qui desservent plusieurs canaux de diffusion consolident la planification des rotations dans un calendrier avec des dates fixes. <strong>Fen\u00eatres<\/strong>. J'\u00e9vite ainsi les modifications conflictuelles qui peuvent perturber les d\u00e9codeurs et les r\u00e9cepteurs et affecter les taux de livraison. <strong>abaisser<\/strong>. En cas de doute, je reporte les commutations \u00e0 des p\u00e9riodes de faible activit\u00e9. <strong>Trafic<\/strong>. Cela implique \u00e9galement de communiquer clairement les fen\u00eatres de maintenance et d'ouvrir des comptes de test via diff\u00e9rents fournisseurs cibles. <strong>utiliser<\/strong>.<\/p>\n\n<h2>M365\/Workspace : particularit\u00e9s et pi\u00e8ges<\/h2>\n\n<p>Je note que Microsoft 365 utilise des noms de s\u00e9lecteurs fixes (selector1\/selector2) et des cl\u00e9s internes <strong>roule<\/strong>, d\u00e8s que les enregistrements DNS sont corrects. Entre-temps, les e-mails peuvent \u00eatre sign\u00e9s avec l'ancienne ou la nouvelle cl\u00e9 selon la r\u00e9gion - la phase parall\u00e8le est donc pr\u00e9vue. Dans Google Workspace, je veille \u00e0 ce que les cl\u00e9s de 2048 bits soient correctement sign\u00e9es au format TXT-.<strong>Chunking<\/strong> et je r\u00e8gle d\u00e9lib\u00e9r\u00e9ment le TTL \u00e0 un niveau bas pour une visibilit\u00e9 rapide. Les deux plateformes enregistrent les informations d'\u00e9tat ; je les lis activement pour d\u00e9tecter les erreurs de timing et les d\u00e9ploiements partiels. <strong>\u00e0 reconna\u00eetre<\/strong>.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/dkim_key_rotation_6734.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>D\u00e9l\u00e9gation et coordination correcte de plusieurs ESP<\/h2>\n\n<p>Si des prestataires de services travaillent pour mon domaine, je mise sur la d\u00e9l\u00e9gation par <strong>CNAME<\/strong>-vers leurs h\u00f4tes _domainkey. Les fournisseurs d'acc\u00e8s conservent ainsi la gestion des cl\u00e9s sur leur propre plate-forme et peuvent assurer une rotation sans faille. <strong>imp\u00f4ts<\/strong>. Je documente les s\u00e9lecteurs utilis\u00e9s pour chaque source, afin d'\u00e9viter les conflits et de ne pas saisir une entr\u00e9e par inadvertance. <strong>\u00e9crasez<\/strong>. En cas d'envoi parall\u00e8le par le biais d'outils de newsletter, de CRM et de passerelles propres, je planifie consciemment l'ordre des rotations <strong>par<\/strong>. Pour chaque syst\u00e8me, je teste au pr\u00e9alable si les cl\u00e9s de 2048 bits sont accept\u00e9es correctement et si les en-t\u00eates sont coh\u00e9rents. <strong>apparaissent<\/strong>.<\/p>\n\n<p>Pour la s\u00e9curit\u00e9 contre les pannes, je d\u00e9finis trois s\u00e9lecteurs \u00e0 l'avance, mais n'en active que deux en fonctionnement normal en tant que <strong>Tampon<\/strong>. Le troisi\u00e8me reste en r\u00e9serve au cas o\u00f9 j'aurais besoin d'une cl\u00e9 compromise imm\u00e9diatement. <strong>remplacer<\/strong> doit \u00eatre faite. Cette r\u00e9serve permet de sauver la d\u00e9livrabilit\u00e9 lorsque je dois agir \u00e0 court terme. <strong>doit \u00eatre<\/strong>. En outre, j'ancre la gestion des cl\u00e9s dans le syst\u00e8me de gestion interne. <strong>Runbook<\/strong> avec des r\u00f4les bien d\u00e9finis. Ainsi, chacun sait qui s'occupe du DNS, du MTA et de l'acc\u00e8s au fournisseur pendant le d\u00e9ploiement et qui est charg\u00e9 de la r\u00e9ception. <strong>signe<\/strong>.<\/p>\n\n<h2>Planifier proprement la strat\u00e9gie multidomaine et l'alignement<\/h2>\n\n<p>Je s\u00e9pare logiquement les canaux de production, de transaction et de marketing : des sous-domaines propres (p. ex. billing.example.com, notify.example.com, news.example.com) avec des s\u00e9lecteurs s\u00e9par\u00e9s soutiennent proprement les canaux de production, de transaction et de marketing. <strong>Alignements DMARC<\/strong> et r\u00e9duisent les effets de page en cas de mauvaise configuration. Ainsi, un envoi CRM ne peut pas nuire involontairement \u00e0 la r\u00e9putation du domaine principal. <strong>p\u00e8sent sur<\/strong>. Pour chaque canal, je d\u00e9finis des propri\u00e9taires, des dates de rotation et des chemins de test. J'\u00e9vite que plusieurs syst\u00e8mes partagent le m\u00eame s\u00e9lecteur et je conserve le nom des canaux. <strong>uniforme<\/strong> (par ex. s2026q1, s2026q3), afin que les logs et les rapports DMARC soient imm\u00e9diatement compr\u00e9hensibles.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/dkim-key-rotation-9056.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Validation et suivi apr\u00e8s la conversion<\/h2>\n\n<p>Je v\u00e9rifie chaque changement en envoyant plusieurs e-mails de test \u00e0 diff\u00e9rentes bo\u00eetes aux lettres, en lisant les r\u00e9sultats d'authentification et en contr\u00f4lant la signature DKIM jusqu'au bout. <strong>d\u00e9tail<\/strong>. Les rapports d'agr\u00e9gation DMARC me fournissent quotidiennement des taux de r\u00e9ussite\/\u00e9chec par <strong>Source<\/strong>. Je marque les domaines destinataires qui attirent l'attention afin d'identifier pr\u00e9cis\u00e9ment les probl\u00e8mes de routage ou de DNS. <strong>trouver<\/strong>. De plus, j'enregistre les \u00e9v\u00e9nements MTA et je les corr\u00e8le avec les statistiques de livraison afin de pouvoir d\u00e9terminer rapidement la cause et l'effet. <strong>reconnais<\/strong>. Pour ceux qui ont encore besoin de bases sur SPF, DKIM et DMARC, cette vue d'ensemble compacte vous permettra de vous lancer : <a href=\"https:\/\/webhosting.de\/fr\/spf-dkim-dmarc-hebergement-securite-email-serverauth-serveur\/\">SPF, DKIM et DMARC<\/a> expliquent clairement les r\u00f4les et <strong>concr\u00e8tement<\/strong>.<\/p>\n\n<p>Si des \u00e9checs isol\u00e9s persistent, j'analyse les en-t\u00eates sur Selector, d=Domain et b=Signature tr\u00e8s <strong>\u00e0 fond<\/strong>. Il s'agit souvent d'une faute de frappe dans l'enregistrement DNS, d'un retour \u00e0 la ligne dans la cl\u00e9 publique ou d'un mot de passe mal d\u00e9fini. <strong>Nom d'h\u00f4te<\/strong>. Je compare les m\u00e9thodes de canonicalization utilis\u00e9es dans la signature avec les syst\u00e8mes destinataires afin d'identifier les cas de bord avec des r\u00e9\u00e9critures d'en-t\u00eate. <strong>d\u00e9masquer<\/strong>. Ensuite, je teste \u00e0 nouveau contre plusieurs bo\u00eetes aux lettres, car certains fournisseurs d'acc\u00e8s se comportent de mani\u00e8re visible <strong>diff\u00e9rent<\/strong>. Ce n'est que lorsque tous les chemins sont stables que je supprime d\u00e9finitivement l'ancienne cl\u00e9 du <strong>DNS<\/strong>.<\/p>\n\n<h2>M\u00e9triques de qualit\u00e9 et valeurs cibles<\/h2>\n\n<p>Je d\u00e9finis des SLO internes pour la d\u00e9livrabilit\u00e9 : le taux de passage DKIM par source, l'alignement DMARC par canal, la proportion de d\u00e9livrances \u201een bo\u00eete\u201c chez les grands fournisseurs d'acc\u00e8s et le temps n\u00e9cessaire \u00e0 la conversion compl\u00e8te par s\u00e9lecteur. Dans la phase parall\u00e8le, je m'attends \u00e0 des taux mixtes \u00e0 court terme, mais \u00e0 moyen terme \u00e0 une <strong>stable<\/strong> Quota de passe DKIM proche de 100 %. Si les quotas tombent en dessous de seuils d\u00e9finis, je d\u00e9clenche un playbook (rollback, contr\u00f4le TTL, validation DNS, configuration MTA, nouveaux tests). J'\u00e9vite ainsi que des rotations passent inaper\u00e7ues. <strong>Qualit\u00e9<\/strong> Appuyez sur .<\/p>\n\n<h2>Erreurs fr\u00e9quentes et solutions directes<\/h2>\n\n<p>Des temps de transition trop courts brisent les signatures, car les caches DNS durent 24 \u00e0 48 heures. <strong>tiennent<\/strong>. Je planifie donc la phase parall\u00e8le de mani\u00e8re g\u00e9n\u00e9reuse et je m'oriente vers des situations r\u00e9elles. <strong>Dur\u00e9es<\/strong>. Les cl\u00e9s de 1024 bits sont un probl\u00e8me pour les taux de livraison, je pr\u00e9f\u00e8re donc utiliser des cl\u00e9s de 2048 bits. <strong>Valeur par d\u00e9faut<\/strong>. Si le s\u00e9lecteur correct manque dans l'en-t\u00eate, je v\u00e9rifie la configuration MTA et la carte OpenDKIM jusqu'\u00e0 ce que l'exp\u00e9diteur et le DNS soient corrects. <strong>matcher<\/strong>. Chez certains fournisseurs d'acc\u00e8s avec des limites strictes, je r\u00e9partis les volumes de diffusion dans le temps afin d'\u00e9viter les suspicions et les limites de taux. <strong>\u00e9viter<\/strong>.<\/p>\n\n<p>Si, malgr\u00e9 une signature propre, des mails \u00e9chouent, je regarde la politique DMARC et l'alignement SPF en tant que <strong>Cha\u00eene<\/strong>. Souvent, un CDN, un service de redirection ou un connecteur CRM provoque de subtiles modifications du corps ou des en-t\u00eates, qui emp\u00eachent la v\u00e9rification de DKIM. <strong>briser<\/strong>. Dans de tels cas, je mise sur une canonicalization stable et je v\u00e9rifie si un autre s\u00e9lecteur avec un code adapt\u00e9 peut \u00eatre utilis\u00e9. <strong>Politique<\/strong> m'aide dans ma d\u00e9marche. En outre, je contr\u00f4le si les passerelles ajoutent des body-rewrites, des footer ou des param\u00e8tres de suivi que je <strong>prend en compte<\/strong>. Les contr\u00f4les syst\u00e9matiques me font gagner du temps au final et assurent la <strong>Qualit\u00e9<\/strong>.<\/p>\n\n<h2>Plan d'urgence pour la s\u00e9curit\u00e9 : D\u00e9samorcer imm\u00e9diatement les cl\u00e9s compromises<\/h2>\n\n<p>Si une cl\u00e9 est compromise, j'ai recours \u00e0 la cl\u00e9 pr\u00e9par\u00e9e \u00e0 l'avance. <strong>S\u00e9lecteur de r\u00e9serve<\/strong>Publier la nouvelle cl\u00e9 publique, faire passer le MTA \u00e0 la r\u00e9serve, envoyer l'ancien s\u00e9lecteur via <strong>p=<\/strong> signaler vide ou supprimer. Je v\u00e9rifie si des logs indiquent un abus, j'informe les \u00e9quipes concern\u00e9es et j'augmente la surveillance des taux d'\u00e9chec DMARC. Ensuite, je d\u00e9roule r\u00e9guli\u00e8rement un troisi\u00e8me selecteur frais pour <strong>Tampon<\/strong> de r\u00e9tablir la situation. Le runbook contient des r\u00f4les, des voies de communication et des \u00e9tapes d'approbation clairs afin de r\u00e9duire les temps de r\u00e9action. <strong>tiennent<\/strong>.<\/p>\n\n<h2>Choix de l'h\u00e9bergement : Comparaison des fournisseurs<\/h2>\n\n<p>Pour l'h\u00e9bergement de mails, je veille \u00e0 une prise en charge DKIM sans faille, \u00e0 une rotation simple avec plusieurs <strong>S\u00e9lecteurs<\/strong> et la norme 2048 bits. Les services qui n'autorisent que 1024 bits mettent en danger <strong>Livraison<\/strong> et de la r\u00e9putation. Celui qui int\u00e8gre OpenDKIM et autorise le scripting \u00e9conomise en pratique beaucoup <strong>Temps<\/strong>. Dans les tests, webhoster.de convainc par son int\u00e9gration DKIM sans faille et ses fonctions d'automatisation. <strong>Proc\u00e9dures<\/strong>. L'aper\u00e7u suivant pr\u00e9sente de mani\u00e8re claire et pr\u00e9cise les crit\u00e8res importants pour la d\u00e9cision d'achat. <strong>clairement<\/strong>:<\/p>\n\n<table>\n  <thead>\n    <tr>\n      <th>Fournisseur d'h\u00e9bergement<\/th>\n      <th>Prise en charge de DKIM<\/th>\n      <th>Rotation<\/th>\n      <th>Force de la cl\u00e9<\/th>\n      <th>Estimation<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td>webhoster.de<\/td>\n      <td>Complet (OpenDKIM)<\/td>\n      <td>Scriptable &amp; int\u00e9gr\u00e9<\/td>\n      <td>2048 bits<\/td>\n      <td><strong>Vainqueur du test<\/strong> pour les admins<\/td>\n    <\/tr>\n    <tr>\n      <td>Autres<\/td>\n      <td>Base<\/td>\n      <td>Manuel<\/td>\n      <td>Souvent 1024 bits<\/td>\n      <td>Limit\u00e9 seulement <strong>appropri\u00e9<\/strong><\/td>\n    <\/tr>\n  <\/tbody>\n<\/table>\n\n<h2>Conformit\u00e9, DNSSEC et journalisation<\/h2>\n\n<p>J'active <strong>DNSSEC<\/strong>, J'utilise les cl\u00e9s DKIM publi\u00e9es dans le DNS lorsqu'elles sont disponibles, afin de les prot\u00e9ger contre toute manipulation. Dans les environnements r\u00e9glement\u00e9s, je d\u00e9finis des p\u00e9riodes de conservation pour les logs, les rapports DMARC et les journaux de rotation. Je garde une trace de qui a activ\u00e9, chang\u00e9 ou modifi\u00e9 quel s\u00e9lecteur et \u00e0 quel moment. <strong>d\u00e9sactiv\u00e9<\/strong> a \u00e9t\u00e9 faite. Cette tra\u00e7abilit\u00e9 vaut son pesant d'or en cas d'incident et facilite le travail des services externes. <strong>Audits<\/strong>. En outre, je v\u00e9rifie chaque ann\u00e9e si les politiques, les intervalles et les forces cl\u00e9s correspondent toujours au profil de risque.<\/p>\n\n<h2>Int\u00e9grer la rotation dans les processus DevOps<\/h2>\n\n<p>J'int\u00e8gre la rotation des cl\u00e9s dans CI\/CD afin que les pipelines de construction g\u00e9n\u00e8rent des cl\u00e9s, remplissent les mod\u00e8les DNS et contr\u00f4lent les configurations MTA. <strong>d\u00e9rouler<\/strong>. Avant chaque mise en production, une \u00e9tape de validation est effectu\u00e9e pour v\u00e9rifier la visibilit\u00e9 du DNS et la signature de l'en-t\u00eate. <strong>v\u00e9rifie<\/strong>. Les rollbacks restent pr\u00e9par\u00e9s au cas o\u00f9 un fournisseur fixerait des limites ou des retards impr\u00e9vus. <strong>met<\/strong>. En outre, je pr\u00e9vois une revue de s\u00e9curit\u00e9 annuelle dans laquelle je d\u00e9termine les intervalles, les valeurs cl\u00e9s et la qualit\u00e9 des rapports. <strong>adapter<\/strong>. Cette automatisation permet de gagner du temps et de r\u00e9duire les sources d'erreurs aux endroits critiques. <strong>Interfaces<\/strong>.<\/p>\n\n<h2>Liste de contr\u00f4le pratique pour chaque rotation<\/h2>\n\n<ul>\n  <li>Cr\u00e9er une nouvelle cl\u00e9 de 2048 bits, nommer un s\u00e9lecteur unique (par ex. sYYYqX)<\/li>\n  <li>Publier proprement l'enregistrement DNS-TXT (v\u00e9rifier le chunking, pas de retours \u00e0 la ligne)<\/li>\n  <li>Abaisser temporairement le TTL, observer activement la propagation<\/li>\n  <li>Convertir MTA\/ESP au nouveau s\u00e9lecteur, envoyer des e-mails de test \u00e0 plusieurs fournisseurs<\/li>\n  <li>Pr\u00e9voir un fonctionnement en parall\u00e8le (30-45 jours), v\u00e9rifier les rapports DMARC quotidiennement<\/li>\n  <li>Analyser les sources d'erreur (en-t\u00eates, canonicalisation, alignement, passerelles)<\/li>\n  <li>Ne r\u00e9voquer\/supprimer l'ancienne cl\u00e9 qu'apr\u00e8s des taux de passe stables<\/li>\n  <li>Documentation, runbook et calendrier des rotations <strong>mettre \u00e0 jour<\/strong><\/li>\n<\/ul>\n\n<h2>R\u00e9sum\u00e9 pratique<\/h2>\n\n<p>Je s\u00e9curise les canaux de messagerie en utilisant des cl\u00e9s de 2048 bits, en d\u00e9finissant des intervalles clairs et en n'utilisant les anciennes cl\u00e9s qu'apr\u00e8s un nettoyage complet. <strong>Remise<\/strong> les supprimer. Les s\u00e9lecteurs permettent une phase parall\u00e8le sans risque, alors que les rapports DMARC garantissent la qualit\u00e9 de chaque <strong>Signature<\/strong> rendre visible. Gr\u00e2ce \u00e0 des tests structur\u00e9s, \u00e0 la journalisation et \u00e0 une liste de contr\u00f4le, je peux planifier les d\u00e9ploiements et les rendre plus efficaces. <strong>stable<\/strong>. L'automatisation en CI\/CD, la d\u00e9l\u00e9gation \u00e0 des prestataires de services et un bon h\u00e9bergement avec OpenDKIM permettent de r\u00e9aliser des \u00e9conomies tangibles. <strong>Charges<\/strong>. Pour ceux qui souhaitent aller plus loin, un guide compact est disponible dans la version pratique. <a href=\"https:\/\/webhosting.de\/fr\/spf-dkim-dmarc-hebergement-securite-email-serverauth-serveur\/\">Guide sur SPF, DKIM et DMARC<\/a>, qui d\u00e9finit clairement les principaux leviers <strong>d\u00e9signe<\/strong>.<\/p>","protected":false},"excerpt":{"rendered":"<p>DKIM Key Rotation optimise votre h\u00e9bergement de s\u00e9curit\u00e9 e-mail. Apprenez l'authentification mail et la gestion des cl\u00e9s pour des mails fiables.<\/p>","protected":false},"author":1,"featured_media":19010,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_crdt_document":"","inline_featured_image":false,"footnotes":""},"categories":[708],"tags":[],"class_list":["post-19017","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-email"],"acf":[],"_wp_attached_file":null,"_wp_attachment_metadata":null,"litespeed-optimize-size":null,"litespeed-optimize-set":null,"_elementor_source_image_hash":null,"_wp_attachment_image_alt":null,"stockpack_author_name":null,"stockpack_author_url":null,"stockpack_provider":null,"stockpack_image_url":null,"stockpack_license":null,"stockpack_license_url":null,"stockpack_modification":null,"color":null,"original_id":null,"original_url":null,"original_link":null,"unsplash_location":null,"unsplash_sponsor":null,"unsplash_exif":null,"unsplash_attachment_metadata":null,"_elementor_is_screenshot":null,"surfer_file_name":null,"surfer_file_original_url":null,"envato_tk_source_kit":null,"envato_tk_source_index":null,"envato_tk_manifest":null,"envato_tk_folder_name":null,"envato_tk_builder":null,"envato_elements_download_event":null,"_menu_item_type":null,"_menu_item_menu_item_parent":null,"_menu_item_object_id":null,"_menu_item_object":null,"_menu_item_target":null,"_menu_item_classes":null,"_menu_item_xfn":null,"_menu_item_url":null,"_trp_menu_languages":null,"rank_math_primary_category":null,"rank_math_title":null,"inline_featured_image":null,"_yoast_wpseo_primary_category":null,"rank_math_schema_blogposting":null,"rank_math_schema_videoobject":null,"_oembed_049c719bc4a9f89deaead66a7da9fddc":null,"_oembed_time_049c719bc4a9f89deaead66a7da9fddc":null,"_yoast_wpseo_focuskw":null,"_yoast_wpseo_linkdex":null,"_oembed_27e3473bf8bec795fbeb3a9d38489348":null,"_oembed_c3b0f6959478faf92a1f343d8f96b19e":null,"_trp_translated_slug_en_us":null,"_wp_desired_post_slug":null,"_yoast_wpseo_title":null,"tldname":null,"tldpreis":null,"tldrubrik":null,"tldpolicylink":null,"tldsize":null,"tldregistrierungsdauer":null,"tldtransfer":null,"tldwhoisprivacy":null,"tldregistrarchange":null,"tldregistrantchange":null,"tldwhoisupdate":null,"tldnameserverupdate":null,"tlddeletesofort":null,"tlddeleteexpire":null,"tldumlaute":null,"tldrestore":null,"tldsubcategory":null,"tldbildname":null,"tldbildurl":null,"tldclean":null,"tldcategory":null,"tldpolicy":null,"tldbesonderheiten":null,"tld_bedeutung":null,"_oembed_d167040d816d8f94c072940c8009f5f8":null,"_oembed_b0a0fa59ef14f8870da2c63f2027d064":null,"_oembed_4792fa4dfb2a8f09ab950a73b7f313ba":null,"_oembed_33ceb1fe54a8ab775d9410abf699878d":null,"_oembed_fd7014d14d919b45ec004937c0db9335":null,"_oembed_21a029d076783ec3e8042698c351bd7e":null,"_oembed_be5ea8a0c7b18e658f08cc571a909452":null,"_oembed_a9ca7a298b19f9b48ec5914e010294d2":null,"_oembed_f8db6b27d08a2bb1f920e7647808899a":null,"_oembed_168ebde5096e77d8a89326519af9e022":null,"_oembed_cdb76f1b345b42743edfe25481b6f98f":null,"_oembed_87b0613611ae54e86e8864265404b0a1":null,"_oembed_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_oembed_time_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_tldname":null,"_tldclean":null,"_tldpreis":null,"_tldcategory":null,"_tldsubcategory":null,"_tldpolicy":null,"_tldpolicylink":null,"_tldsize":null,"_tldregistrierungsdauer":null,"_tldtransfer":null,"_tldwhoisprivacy":null,"_tldregistrarchange":null,"_tldregistrantchange":null,"_tldwhoisupdate":null,"_tldnameserverupdate":null,"_tlddeletesofort":null,"_tlddeleteexpire":null,"_tldumlaute":null,"_tldrestore":null,"_tldbildname":null,"_tldbildurl":null,"_tld_bedeutung":null,"_tldbesonderheiten":null,"_oembed_ad96e4112edb9f8ffa35731d4098bc6b":null,"_oembed_8357e2b8a2575c74ed5978f262a10126":null,"_oembed_3d5fea5103dd0d22ec5d6a33eff7f863":null,"_eael_widget_elements":null,"_oembed_0d8a206f09633e3d62b95a15a4dd0487":null,"_oembed_time_0d8a206f09633e3d62b95a15a4dd0487":null,"_aioseo_description":null,"_eb_attr":null,"_eb_data_table":null,"_oembed_819a879e7da16dd629cfd15a97334c8a":null,"_oembed_time_819a879e7da16dd629cfd15a97334c8a":null,"_acf_changed":null,"_wpcode_auto_insert":null,"_edit_last":null,"_edit_lock":null,"_oembed_e7b913c6c84084ed9702cb4feb012ddd":null,"_oembed_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_time_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_03514b67990db061d7c4672de26dc514":null,"_oembed_time_03514b67990db061d7c4672de26dc514":null,"rank_math_news_sitemap_robots":null,"rank_math_robots":null,"_eael_post_view_count":"508","_trp_automatically_translated_slug_ru_ru":null,"_trp_automatically_translated_slug_et":null,"_trp_automatically_translated_slug_lv":null,"_trp_automatically_translated_slug_fr_fr":null,"_trp_automatically_translated_slug_en_us":null,"_wp_old_slug":null,"_trp_automatically_translated_slug_da_dk":null,"_trp_automatically_translated_slug_pl_pl":null,"_trp_automatically_translated_slug_es_es":null,"_trp_automatically_translated_slug_hu_hu":null,"_trp_automatically_translated_slug_fi":null,"_trp_automatically_translated_slug_ja":null,"_trp_automatically_translated_slug_lt_lt":null,"_elementor_edit_mode":null,"_elementor_template_type":null,"_elementor_version":null,"_elementor_pro_version":null,"_wp_page_template":null,"_elementor_page_settings":null,"_elementor_data":null,"_elementor_css":null,"_elementor_conditions":null,"_happyaddons_elements_cache":null,"_oembed_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_time_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_time_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_59808117857ddf57e478a31d79f76e4d":null,"_oembed_time_59808117857ddf57e478a31d79f76e4d":null,"_oembed_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_time_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_81002f7ee3604f645db4ebcfd1912acf":null,"_oembed_time_81002f7ee3604f645db4ebcfd1912acf":null,"_elementor_screenshot":null,"_oembed_7ea3429961cf98fa85da9747683af827":null,"_oembed_time_7ea3429961cf98fa85da9747683af827":null,"_elementor_controls_usage":null,"_elementor_page_assets":[],"_elementor_screenshot_failed":null,"theplus_transient_widgets":null,"_eael_custom_js":null,"_wp_old_date":null,"_trp_automatically_translated_slug_it_it":null,"_trp_automatically_translated_slug_pt_pt":null,"_trp_automatically_translated_slug_zh_cn":null,"_trp_automatically_translated_slug_nl_nl":null,"_trp_automatically_translated_slug_pt_br":null,"_trp_automatically_translated_slug_sv_se":null,"rank_math_analytic_object_id":null,"rank_math_internal_links_processed":"1","_trp_automatically_translated_slug_ro_ro":null,"_trp_automatically_translated_slug_sk_sk":null,"_trp_automatically_translated_slug_bg_bg":null,"_trp_automatically_translated_slug_sl_si":null,"litespeed_vpi_list":null,"litespeed_vpi_list_mobile":null,"rank_math_seo_score":null,"rank_math_contentai_score":null,"ilj_limitincominglinks":null,"ilj_maxincominglinks":null,"ilj_limitoutgoinglinks":null,"ilj_maxoutgoinglinks":null,"ilj_limitlinksperparagraph":null,"ilj_linksperparagraph":null,"ilj_blacklistdefinition":null,"ilj_linkdefinition":null,"_eb_reusable_block_ids":null,"rank_math_focus_keyword":"DKIM Key Rotation","rank_math_og_content_image":null,"_yoast_wpseo_metadesc":null,"_yoast_wpseo_content_score":null,"_yoast_wpseo_focuskeywords":null,"_yoast_wpseo_keywordsynonyms":null,"_yoast_wpseo_estimated-reading-time-minutes":null,"rank_math_description":null,"surfer_last_post_update":null,"surfer_last_post_update_direction":null,"surfer_keywords":null,"surfer_location":null,"surfer_draft_id":null,"surfer_permalink_hash":null,"surfer_scrape_ready":null,"_thumbnail_id":"19010","footnotes":null,"_links":{"self":[{"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/posts\/19017","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/comments?post=19017"}],"version-history":[{"count":0,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/posts\/19017\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/media\/19010"}],"wp:attachment":[{"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/media?parent=19017"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/categories?post=19017"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/tags?post=19017"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}