La rotation des clés DKIM est le processus de mise à jour de vos clés DKIM. Vous devez procéder à une rotation périodique de vos clés - la période exacte n'est pas importante, mais le processus lui-même l'est. Pourquoi le faire ? La rotation des clés consiste à créer de nouvelles clés et à mettre à jour les enregistrements DNS avec ces nouvelles clés. L'objectif de la rotation des clés DKIM est similaire à celui de la modification périodique des mots de passe : il s'agit d'une mesure de sécurité qui permet d'empêcher les pirates d'usurper l'identité de votre domaine et d'envoyer des spams ou des courriels d'hameçonnage.
Voyons d'abord pourquoi vous utilisez des clés DKIM.
Pourquoi utilisez-vous les clés DKIM ?
DKIM est l'abréviation de DomainKeys Identified Mail. Il s'agit d'un moyen d'ajouter une couche de sécurité supplémentaire à votre serveur de courrier électronique afin que vos messages ne soient pas considérés comme du spam et ne finissent pas dans les dossiers de spam. La meilleure façon d'envisager DKIM est de le considérer comme un identifiant crypté joint à vos messages afin que les destinataires puissent vérifier que le message a bien été envoyé par vous, la personne dont il prétend provenir. Cet identifiant, ou clé, est ce qui leur permet de le vérifier.
Comment fonctionne DKIM ?
DKIM fonctionne en ajoutant cet identifiant à chaque courriel envoyé. Lorsqu'une personne reçoit un de ces courriels, elle peut vérifier l'en-tête ou le pied de page du message et y trouver une chaîne de chiffres et de lettres, qui est l'identifiant crypté ou la clé DKIM. Avant qu'un courriel ne soit envoyé à son destinataire, le serveur de messagerie de l'expéditeur signe chaque courriel avec une signature numérique, qui est ensuite validée par le serveur de messagerie du destinataire. Ce processus prouve que l'e-mail n'a pas été altéré ou modifié de quelque manière que ce soit.
Lorsque vous envoyez votre courrier électronique, la signature est jointe en tant qu'en-tête à la fin du message. Les serveurs des destinataires utilisent des clés publiques (fournies par les propriétaires de domaines par le biais des enregistrements DNS) pour décrypter et vérifier ces signatures.
Pourquoi la rotation des clés DKIM est-elle importante pour la sécurité de votre domaine ?
La rotation des clés DKIM consiste à commencer à utiliser une nouvelle paire de clés privée/publique pour signer et authentifier votre message, puis à cesser d'utiliser l'ancienne paire de clés privée/publique.
Pourquoi est-ce important ? Si quelqu'un parvenait à accéder à votre clé privée, il pourrait l'utiliser pour envoyer des courriels frauduleux qui semblent provenir de vous ! Pour éviter ce genre d'activité malveillante, la meilleure pratique consiste à faire tourner vos clés tous les deux mois.
Pour mieux comprendre l'importance de la rotation des clés DKIM, prenons l'exemple suivant :
Imaginons que vous envoyiez une campagne d'e-mails pour une vente de vacances dans votre magasin. Vous utilisez vos clés DKIM pour signer vos e-mails, mais si vous envoyez suffisamment d'e-mails en utilisant la même paire de clés au fil du temps, les mauvais acteurs peuvent finir par intercepter et décoder l'un d'entre eux, puisque chaque message utilise le même algorithme de hachage cryptographique. Une fois qu'ils ont votre clé publique, ils peuvent commencer à signer leurs courriels d'hameçonnage sans que vous le sachiez ! C'est pourquoi la rotation périodique des clés DKIM est cruciale pour la sécurité de votre domaine.
Comment pouvez-vous faire tourner vos clés DKIM ?
1. Rotation manuelle des clés DKIM
Vous pouvez faire tourner manuellement vos clés DKIM de temps en temps en créant de nouvelles clés pour votre domaine. Pour ce faire, suivez les étapes suivantes :
- Rendez-vous sur notre site gratuit générateur d'enregistrements DKIM outil
- Saisissez les informations relatives à votre domaine et entrez le sélecteur DKIM de votre choix.
- Cliquez sur le bouton "Générer".
- Copiez votre toute nouvelle paire de clés DKIM
- La clé publique doit être publiée sur votre DNS, en remplacement de votre enregistrement précédent.
- La clé privée doit être partagée avec votre ESP (si vous externalisez vos e-mails) ou téléchargée sur votre serveur d'e-mails (si vous gérez le transfert d'e-mails sur place).
2. Délégation de la clé DKIM du sous-domaine
Les propriétaires de domaines peuvent externaliser la rotation des clés DKIM en permettant à un tiers de s'en charger pour eux. Dans ce cas, le propriétaire du domaine délègue un sous-domaine dédié à un fournisseur de messagerie et lui demande de générer une paire de clés DKIM en son nom. Les propriétaires peuvent ainsi éviter les tracas de la rotation des clés DKIM en confiant cette responsabilité à un tiers.
Toutefois, cela peut entraîner des problèmes de substitution de politique avec les entrées DMARC. Il est recommandé que les clés tournantes soient contrôlées et révisées par les contrôleurs de domaine afin de garantir un déploiement sans heurts et sans erreurs.
3. Délégation de la clé DKIM CNAME
CNAME signifie "nom canonique". Il s'agit d'enregistrements DNS utilisés pour pointer vers les données d'un domaine externe. La délégation CNAME permet aux propriétaires de domaines de pointer vers les informations des enregistrements DKIM gérés par un tiers externe. Cette procédure est similaire à la délégation de sous-domaines, puisque le propriétaire du domaine n'a qu'à publier quelques enregistrements CNAME sur son DNS, tandis que l'infrastructure DKIM et la rotation des clés DKIM sont ensuite gérées par le tiers vers lequel l'enregistrement pointe.
Par exemple,
"domain.com" est le domaine à partir duquel les courriels de départ doivent être signés, et "third-party.com" est le fournisseur qui se chargera du processus de signature.
s1._domainkey.domain.com CNAME s1.domain.com.third-party.com
L'enregistrement CNAME susmentionné doit être publié dans le DNS du propriétaire du domaine.
Maintenant, s1.domain.com.third-party.com a déjà un enregistrement DKIM publié sur son DNS qui peut être : s1.domain.com.third-party.com TXT "v=DKIM1 ; p=MIG89hdg599...."
Ces informations seront utilisées pour signer les e-mails provenant de domain.com.
Note: Vous devez publier plusieurs enregistrements DKIM (recommandé : au moins 3 enregistrements CNAME) avec différents sélecteurs sur votre DNS pour activer la rotation des clés DKIM. Cela permettra à votre fournisseur de passer d'une clé à l'autre pendant la signature et lui fournira d'autres options.
4. Rotation automatique des clés DKIM
La plupart des fournisseurs de messagerie et des prestataires de services de messagerie tiers permettent la rotation automatique des clés DKIM pour les clients. Par exemple, si vous utilisez Office 365 pour acheminer vos e-mails, vous serez heureux d'apprendre que Microsoft prend en charge la rotation automatique des clés DKIM pour ses utilisateurs d'Office 365.
Nous avons couvert un document complet sur la façon d'activer la rotation des clés DKIM pour vos emails Office 365 sur notre base de connaissances.
Avantages de la rotation automatique de vos clés DKIM
- Vous n'avez rien à faire de votre côté si votre fournisseur permet la rotation automatique des clés DKIM. Tout est géré par lui.
- Les configurations manuelles sont sujettes aux erreurs humaines.
- La rotation automatique des touches est rapide et efficace et ne nécessite aucune intervention de votre part.
- Le système de gestion DKIM est entièrement externalisé et géré par un tiers.
Déploiement d'une stratégie de rotation des clés DKIM
Nous l'appelons le "3 D de la rotation des clés DKIM" :
- Discuter de
- Décider
- Déployer
Voilà qui résume une stratégie efficace de rotation des clés DKIM pour vos domaines. Lorsque vous faites appel à un service tiers pour vos e-mails et que votre fournisseur gère la rotation pour vous, assurez-vous d'avoir une discussion ouverte et transparente sur le moment et la fréquence de rotation de vos clés. Vous devriez avoir votre mot à dire concernant les délais ainsi que la taille que vous souhaitez utiliser pour votre clé de sélection (si vous souhaitez utiliser 1024 bits ou 2048 bits pour plus de sécurité).
Une fois la phase de discussion passée, vous et votre fournisseur devez décider mutuellement de votre stratégie et enfin procéder à son déploiement.
