• Explication de la rotation des clés DKIM : meilleures pratiques, méthodes et outils

Explication de la rotation des clés DKIM : meilleures pratiques, méthodes et outils

Blog

La rotation des clés DKIM est le processus de mise à jour de vos clés DKIM. Vous devez procéder à une rotation périodique de vos clés - la fréquence n'est pas importante, c'est le processus qui l'est.

par YunesTarada

Dernière mise à jour :
6 Temps de lecture : 2 min
Explication de la rotation des clés DKIM : meilleures pratiques, méthodes et outils
Table des matières-

La rotation des clés DKIM consiste à remplacer vos clés cryptographiques DKIM existantes par de nouvelles afin de maintenir la sécurité des e-mails. Cela peut sembler technique, mais le principe est simple : tout comme les mots de passe ne doivent pas rester les mêmes indéfiniment, vos clés DKIM ne doivent pas non plus rester inchangées.

La rotation régulière des clés DKIM permet d'éviter l'usurpation d'identité par e-mail, le phishing et l'utilisation non autorisée de votre domaine. Dans ce guide, nous expliquerons ce que sont les clés DKIM, pourquoi leur rotation est importante, à quelle fréquence vous devez les faire tourner et les méthodes les plus sûres pour le faire (manuellement ou automatiquement).

Que sont les clés DKIM ?

DKIM (DomainKeys Identified Mail) est un protocole d'authentification des e-mails qui vérifie si un e-mail provient réellement du domaine qu'il prétend représenter.

Lorsqu'un e-mail est envoyé, le serveur expéditeur le signe à l'aide d'une clé cryptographique privée. Une clé publique correspondante est publiée dans le DNS sous forme d'enregistrement TXT. Lorsque le serveur de messagerie du destinataire reçoit le message, il récupère la clé publique dans le DNS et l'utilise pour valider la signature. Si la signature correspond, le message est confirmé comme authentique et non altéré.

Ce processus renforce la confiance entre les serveurs d'envoi et de réception. Il améliore également le placement dans la boîte de réception et protège les domaines contre l'usurpation d'identité. DKIM fonctionne en parallèle avec SPF DMARC, formant ainsi une défense multicouche contre l'usurpation d'identité et le phishing.

Mais la protection cryptographique n'est pas une configuration unique que vous pouvez simplement oublier. Les clés doivent également évoluer.

Pourquoi la rotation des clés DKIM est-elle cruciale ?

La rotation des clés DKIM consiste à générer une nouvelle paire de clés privée/publique et à retirer l'ancienne après une période de transition sécurisée. Mais pourquoi est-ce important ? Eh bien, si un acteur malveillant accède à votre clé privée, il peut signer des e-mails frauduleux qui semblent légitimes. Cela peut entraîner :

  • Campagnes de phishing à partir de votre domaine
  • Usurpation d'identité de marque
  • Liste noire des adresses électroniques
  • Dommages liés à la livraison

Plus une clé reste active longtemps, plus le risque d'exposition est élevé. Même si la clé n'est pas compromise, sa réutilisation à long terme augmente votre surface d'attaque. Mais ce n'est pas tout ! Il existe également une raison opérationnelle : les clés obsolètes (telles que les clés 1024 bits) peuvent ne plus répondre aux exigences de sécurité modernes et affecter la fiabilité de l'authentification. La rotation DKIM protège donc à la fois la réputation de votre marque et votre infrastructure de messagerie électronique en vous aidant à maintenir vos clés à jour, modernes et inviolables.

À quelle fréquence devez-vous faire tourner les clés DKIM ?

Il n'existe pas de règle universelle, mais les meilleures pratiques du secteur suggèrent :

  • Tous les 6 à 12 mois pour la plupart des organisations
  • Tous les 3 à 6 mois pour les expéditeurs à haut niveau de sécurité ou à volume élevé
  • Immédiatement, si un compromis est suspecté

Les organisations qui suivent les recommandations de groupes industriels tels que le Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) adoptent souvent des politiques de rotation annuelle ou semestrielle.

La longueur de la clé est tout aussi importante. Aujourd'hui, il est recommandé d'utiliser des clés d'au moins 2048 bits. Bien que les clés de 1024 bits soient encore techniquement prises en charge dans certains systèmes, elles sont de plus en plus considérées comme faibles. Le passage à des clés de 2048 bits renforce la résilience cryptographique et s'aligne sur les normes modernes.

Méthodes de rotation des clés DKIM

Il existe plusieurs façons de faire tourner les clés DKIM, en fonction de votre infrastructure et de votre niveau de contrôle.

1. Rotation manuelle des clés DKIM

Vous pouvez faire tourner manuellement vos clés DKIM de temps en temps en créant de nouvelles clés pour votre domaine. Pour ce faire, suivez les étapes suivantes :

  • Rendez-vous sur notre outil gratuit de génération d'enregistrements DKIM.
  • Saisissez les informations relatives à votre domaine et entrez le sélecteur DKIM de votre choix.
  • Cliquez sur le bouton "Générer".
  • Copiez votre toute nouvelle paire de clés DKIM
  • La clé publique doit être publiée sur votre DNS, en remplacement de votre enregistrement précédent.
  • La clé privée doit être partagée avec votre ESP (si vous externalisez vos e-mails) ou téléchargée sur votre serveur d'e-mails (si vous gérez le transfert d'e-mails sur place).

2. Délégation de la clé DKIM du sous-domaine

Les propriétaires de domaines peuvent externaliser la rotation des clés DKIM en permettant à un tiers de s'en charger pour eux. Dans ce cas, le propriétaire du domaine délègue un sous-domaine dédié à un fournisseur de messagerie et lui demande de générer une paire de clés DKIM en son nom. Les propriétaires peuvent ainsi éviter les tracas de la rotation des clés DKIM en confiant cette responsabilité à un tiers.

Toutefois, cela peut entraîner des problèmes de substitution de politique avec les entrées DMARC. Il est recommandé que les clés tournantes soient contrôlées et révisées par les contrôleurs de domaine afin de garantir un déploiement sans heurts et sans erreurs.

3. Délégation de la clé DKIM CNAME

CNAME signifie "nom canonique". Il s'agit d'enregistrements DNS utilisés pour pointer vers les données d'un domaine externe. La délégation CNAME permet aux propriétaires de domaines de pointer vers les informations des enregistrements DKIM gérés par un tiers externe. Cette procédure est similaire à la délégation de sous-domaines, puisque le propriétaire du domaine n'a qu'à publier quelques enregistrements CNAME sur son DNS, tandis que l'infrastructure DKIM et la rotation des clés DKIM sont ensuite gérées par le tiers vers lequel l'enregistrement pointe.

Par exemple,
« domain.com » est le domaine à partir duquel les e-mails doivent être signés, et « third-party.com » est le fournisseur qui se chargera du processus de signature.

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

L'enregistrement CNAME susmentionné doit être publié dans le DNS du propriétaire du domaine.
À présent, s1.domain.com.third-party.com dispose déjà d'un enregistrement DKIM publié sur son DNS, qui peut être : s1.domain.com.third-party.com TXT « v=DKIM1; p=MIG89hdg599… ».

Ces informations seront utilisées pour signer les e-mails provenant de domain.com.

Remarque : vous devez publier plusieurs enregistrements DKIM (recommandation : au moins 3 enregistrements CNAME) avec différents sélecteurs sur votre DNS pour activer la rotation des clés DKIM. Cela permettra à votre fournisseur de basculer entre les clés lors de la signature et lui offrira d'autres options.

4. Rotation automatique des clés DKIM

La plupart des fournisseurs de messagerie et des prestataires de services de messagerie tiers permettent la rotation automatique des clés DKIM pour les clients. Par exemple, si vous utilisez Office 365 pour acheminer vos e-mails, vous serez heureux d'apprendre que Microsoft prend en charge la rotation automatique des clés DKIM pour ses utilisateurs d'Office 365.

Nous avons couvert un document complet sur la façon d'activer la rotation des clés DKIM pour vos emails Office 365 sur notre base de connaissances.

Meilleures pratiques pour la rotation des clés DKIM

Voici une liste de contrôle rapide à suivre :

  • Utilisez des clés d'au moins 2048 bits.
  • Tourner tous les 6 à 12 mois
  • Utilisez plusieurs sélecteurs
  • Tenir un registre des rotations
  • Testez les nouvelles clés avant de retirer les anciennes.
  • Accorder un délai de grâce pendant la transition
  • Coordonner avec tous les ESP et fournisseurs
  • Surveiller les rapports DMARC après la rotation

Les pièges les plus courants et comment les éviter

Même les équipes expérimentées font des erreurs. Voici les problèmes courants liés à la rotation :

Pièges courants et comment les éviter

1. Retirer les anciennes clés trop tôt

Toujours prévoir un délai pour la propagation DNS et l'achèvement du flux de messagerie avant la suppression. Dans ce cas, la configuration des rapports DMARC peut s'avérer utile. Il suffit de générer un enregistrement DMARC et de définir une balise « rua » avec votre adresse e-mail pour recevoir des rapports quotidiens sur votre statut d'authentification et vos résultats.

2. Ignorer la vérification

Testez toujours vos résultats d'authentification après avoir activé un nouveau sélecteur. Vous pouvez le faire manuellement ou, de préférence, à l'aide d'un outil de vérification DKIM pour obtenir instantanément des informations claires et précises.

3. Ne pas utiliser plusieurs sélecteurs

Les configurations à sélecteur unique créent un risque d'indisponibilité. Veillez à définir des sélecteurs distincts pour chaque enregistrement DKIM configuré sur votre domaine afin que les serveurs destinataires puissent facilement localiser vos clés.

4. Délégation mal configurée

Des enregistrements CNAME ou sous-domaine incorrects peuvent perturber l'alignement DKIM. Veillez donc à vérifier votre configuration chaque fois que vous apportez des modifications.

5. Ignorer la taille de la clé

Les clés 1024 bits obsolètes affaiblissent la sécurité. Les experts recommandent de configurer des clés DKIM d'au moins 2048 bits pour une protection renforcée et pour se conformer aux normes de sécurité modernes.

Déploiement d'une stratégie de rotation des clés DKIM

Nous appelons cela les 3 D de la rotation des clés DKIM:

Étape 1. Discussion: mettez-vous d'accord avec les parties prenantes et les fournisseurs sur la fréquence de rotation, la taille de la clé (2048 bits recommandés) et la méthode de délégation.

Étape 2. Décidez: choisissez maintenant votre modèle de rotation : manuel, délégation CNAME, délégation de sous-domaine ou entièrement automatisé.

Étape 3. Déploiement: enfin, implémentez en toute sécurité en générant un nouveau sélecteur, surveillez votre authentification et ne supprimez les anciennes clés qu'après validation.

Exemple de calendrier de rotation

Janvier : Ajouter un nouveau sélecteur et une nouvelle clé
Février : Basculer la signature vers le nouveau sélecteur
Mi-février : Supprimer l'ancienne clé
Répéter tous les 6 à 12 mois

Résumé

La rotation des clés DKIM est un élément essentiel, mais souvent négligé, de la sécurité des e-mails. Laisser les clés inchangées pendant des années augmente le risque d'exposition et affaiblit votre cadre d'authentification. En résumé, la rotation des clés tous les 6 à 12 mois, l'utilisation d'un cryptage 2048 bits, le maintien de plusieurs sélecteurs et la surveillance des résultats d'authentification constituent les fondements d'une stratégie de rotation solide.

Pour faciliter la rotation et l'authentification de votre clé DKIM, PowerDMARC peut vous aider ! Notre équipe d'experts a aidé plus de 10 000 organisations à automatiser la configuration et la gestion des protocoles, sans aucune approximation ni temps d'arrêt. Contactez-nous dès aujourd'hui pour en savoir plus ou pour commencer !

Foire aux questions

1. La rotation des clés DKIM nécessite-t-elle un temps d'arrêt ?

Non. La rotation des clés DKIM ne devrait pas entraîner de temps d'arrêt si elle est mise en œuvre correctement. En introduisant un nouveau sélecteur tout en conservant l'ancienne clé active pendant une période de grâce, les e-mails continuent à être authentifiés normalement tout au long de la transition.

2. Dois-je faire tourner les clés DKIM pour toutes les sources d'envoi en même temps ?

Pas nécessairement. Si vous utilisez plusieurs fournisseurs de services de messagerie électronique ou serveurs de messagerie internes, chaque source peut avoir sa propre configuration DKIM. La rotation doit être coordonnée par source d'envoi afin d'éviter tout décalage dans l'authentification.

3. Combien de temps dois-je conserver l'ancienne clé DKIM après la rotation ?

Il est généralement recommandé de conserver l'ancienne clé publiée pendant au moins 1 à 2 semaines après le passage à un nouveau sélecteur. Cela permet de tenir compte des délais de propagation DNS et des e-mails en attente qui peuvent encore faire référence à l'ancienne signature.

4. Les clés DKIM peuvent-elles expirer automatiquement ?

Les clés DKIM n'expirent pas techniquement, sauf si vous les configurez pour qu'elles expirent. Les enregistrements DNS restent actifs jusqu'à ce qu'ils soient supprimés ou remplacés manuellement.

5. La rotation des clés DKIM est-elle nécessaire pour la conformité DMARC?

DMARC n'exige pas explicitement la rotation des clés DKIM. Cependant, une rotation régulière renforce l'authentification globale des e-mails et réduit le risque d'échecs d'alignement DKIM causés par des clés compromises ou obsolètes.

Derniers messages de Yunes Tarada (voir tous)
Dernière mise à jour :
Comment fusionner les enregistrements SPF ?Fusionner SPF RecordsLa réputation des expéditeurs d'e-mails expliquéeLa réputation des expéditeurs d'e-mails expliquée