Puis-je configurer DMARC sans DKIM ?

Blog

Cet article décrit si vous pouvez ou non configurer DMARC sans DKIM et les conséquences de la définition de politiques DMARC sans signatures DKIM.

par Ahona Rudra

Dernière mise à jour :
8 Temps de lecture : 8 min
Puis-je configurer DMARC sans DKIM ?
Table des matières-

La réponse est oui, vous pouvez configurer DMARC sans DKIM.

Mais est-ce une bonne idée de le faire ?

Cet article explore cette question. Et discute des conséquences de la configuration de DMARC sans DKIM.

Points clés à retenir

  1. DMARC peut être configuré sans DKIM, mais cette pratique n'est généralement pas recommandée.
  2. L'utilisation de DMARC en conjonction avec SPF et DKIM améliore la délivrabilité et l'authenticité du courrier électronique.
  3. Les clients de messagerie marquent souvent les messages sans DKIM comme du spam, ce qui peut nuire à la réputation de l'expéditeur.
  4. SPF et DKIM ont des objectifs différents, ce qui leur permet d'être utilisés indépendamment ou en tandem sans dépendre l'un de l'autre.
  5. La mise en place de DMARC avec DKIM permet d'éviter les faux positifs et les problèmes de distribution des courriels, en particulier lors des transferts.

Comprendre les normes d'authentification DMARC

DMARC est un protocole qui vous permet d'authentifier les messages électroniques provenant de votre domaine. Il utilise un ensemble de règles pour déterminer si un message électronique est légitime ou non.

SPF et DKIM sont deux autres protocoles utilisés à des fins d'authentification dans le cadre de DMARC.

SPF est l'acronyme de Sender Policy Framework (cadre de politique d'expéditeur). Il précise comment les fournisseurs de messagerie peuvent vérifier l'identité des expéditeurs et bloquer les messages non sollicités.

DKIM est un acronyme de DomainKeys Identified Mail. Il fonctionne en chiffrant le message au moment de son envoi, puis en utilisant la cryptographie à clé publique pour le signer à nouveau lorsqu'il atteint son serveur de destination.

DMARC, SPF et DKIM - forment les trois piliers de l'authentification du courrier électronique. Ils garantissent que vos courriels ne sont pas falsifiés, altérés ou piratés par des tiers.

Simplifiez la sécurité avec PowerDMARC !

15 jours d'essaiRéservez une démo

Algorithme d'évaluation DMARC 

L'algorithme d'évaluation DMARC est une valeur booléenne qui prend en compte les résultats de l'authentification SPF et DKIM. Il détermine ensuite s'il convient ou non d'accepter un message électronique comme légitime.

Le résultat dépend de deux issues possibles :

1. Réussi : L'e-mail passe les deux authentifications SPF et DKIM OU seulement l'une d'entre elles. Il est donc considéré comme propre. Il est donc accepté par le serveur de réception.

Pour mettre l'algorithme d'authentification "pass" dans des équations simples :

Passe d'authentification DMARC = enregistrement SPF avec un alignement d'identifiant SPF valide +ou enregistrement DKIM avec un alignement d'identifiant DKIM valide

OU (lorsque DKIM est absent)

Passe d'authentification DMARC = enregistrement SPF avec un alignement d'identifiant SPF valide

OU (en l'absence de SPF )

Passe d'authentification DMARC = enregistrement DKIM avec un alignement d'identifiant DKIM valide

2. Échec : Le message a échoué aux contrôles d'authentification SPF et DKIM, ce qui indique qu'il est mal formé ou qu'il contient un contenu malveillant.

Puis-je configurer DMARC sans DKIM ?

DMARC passe dans les trois scénarios suivants :

  1. les deux SPF et DKIM valides sont présents
  2. SPF valide sans DKIM est là
  3. il existe un DKIM valide sans SPF

Il est donc possible de mettre en place DMARC sans DKIM.

DMARC s'appuie sur SPF et DKIM à des fins d'authentification, mais il s'agit de technologies orthogonales.

D'une manière générale, SPF est un mécanisme d'"autorisation de chemin", ce qui signifie qu'il permet à une adresse IP d'envoyer des messages au nom d'un domaine donné. DKIM, quant à lui, est un mécanisme d'"intégrité du contenu", c'est-à-dire qu'il garantit que ce que vous envoyez ne change pas lorsqu'il atteint le serveur.

Cela signifie qu'ils ne dépendent pas les uns des autres pour leur efficacité ; ils peuvent être utilisés en parallèle ou même indépendamment les uns des autres.

Toutefois, il est recommandé d'utiliser à la fois SPF et DKIM avec DMARC, car ils fonctionnent ensemble pour fournir des capacités d'authentification DMARC plus robustes. L'utilisation de DMARC sans DKIM, bien que possible, n'est pas une pratique recommandée. 

Comment les clients de messagerie traitent-ils les courriels sans DKIM ?

La plupart des clients de messagerie traitent les courriels qui n'ont pas de DKIM comme du spam.

Dans certains cas, le message peut être signalé par le serveur de messagerie du destinataire et marqué comme spam.

Certains fournisseurs de services de courrier électronique peuvent également indiquer aux destinataires que vos messages proviennent d'un domaine différent de celui que vous aviez prévu.

Par exemple, dans Outlook et Gmail, votre courriel sans DKIM s'affichera dans la boîte de réception du destinataire avec l'adresse FROM correcte mais en étant "envoyé par" ou "via" une autre personne.

Cela peut être déroutant pour les destinataires et peut même les amener à croire que quelqu'un d'autre leur a envoyé le message à votre place.

Exemple #1 (Outlook)

Figure 1 : Sans DKIM, Outlook affiche l'adresse "envoyé par" dans la boîte de réception du destinataire. Sans DKIM : Outlook affiche l'adresse "envoyé par" dans la boîte de réception du destinataire.

Fig.2 Avec DKIM : Outlook affiche uniquement l'adresse FROM.

Exemple n°2 (Gmail)

Fig.3 : Sans DKIM, Gmail affiche l'adresse "via" dans la boîte de réception du destinataire. Sans DKIM : Gmail affiche l'adresse "via" dans la boîte de réception du destinataire.

Fig.4 Avec DKIM : Gmail affiche uniquement l'adresse FROM.

Si DKIM est présent dans votre courrier électronique, les problèmes susmentionnés ne risquent pas de se produire. Le serveur d'envoi n'apparaît plus sur l'écran du client, ce qui réduit les risques de tomber dans les dossiers de spam ou de courrier indésirable. Et la seule information dont ils disposent est l'adresse FROM - ce qui signifie des facteurs de confiance élevés pour les entreprises expéditrices qui recherchent des clients par le biais de stratégies de marketing par courriel.

Conséquences de la configuration de DMARC avec et DMARC sans DKIM

La mise en place de DMARC avec DKIM peut contribuer à éviter que vos messages électroniques ne soient repérés par les filtres anti-spam et bloqués.

Toutefois, la mise en place de DMARC sans DKIM peut entraîner une augmentation des faux positifs ainsi que des retards lorsqu'un destinataire tente de vérifier l'adresse électronique de l'expéditeur.

Dans cette section, nous examinerons certaines des conséquences possibles de la mise en place de DMARC avec et DMARC sans DKIM.

1. Lors de la vérification de la confiance dans les e-mails

Avec l'approche SPF uniquement, la protection DMARC serait limitée aux adresses invisibles de "l'expéditeur de l'enveloppe" (MAIL FROM ou Return-path). Ces adresses sont utilisées pour recevoir les rapports de non-remise (bounces) des expéditeurs.

Toutefois, lorsque DKIM est combiné à SPF, la protection DMARC est activée pour l'adresse "header From :" ainsi que pour les adresses visibles par les destinataires. Ainsi, la confiance dans les messages électroniques est plus grande qu'en utilisant DMARC avec SPF seul.

2. Lorsque vous transférez des courriels

L'authentification SPF consiste à envoyer un courrier électronique contenant votre enregistrement SPF (l'adresse IP du serveur à partir duquel vous souhaitez envoyer des courriers électroniques) à un autre serveur. L'autre serveur vérifie alors si cette adresse IP est enregistrée chez lui et renvoie son propre enregistrement SPF ; s'il n'en a pas, il rejette la demande.

Dans le cas du transfert de courrier électronique, l'authentification SPF peut échouer car il n'est pas garanti que l'adresse IP du serveur intermédiaire figure sur la liste SPF du domaine d'envoi. Par conséquent, un courrier électronique légitime sans signature DKIM échouera à l'authentification DMARC, ce qui se traduira par un faux négatif.

Si DKIM avait été configuré sur ce domaine, le faux négatif n'aurait pas eu lieu.

Mais pourquoi ?

La signature DKIM (d=) est attachée au corps du message, tandis que la signature SPF est attachée à l'en-tête "Return-Path".

Dans le cas d'un transfert d'e-mail, le corps de l'e-mail n'est pas touché ou modifié, par conséquent la signature DKIM (d=) contenue dans le corps de l'e-mail reste intacte. Cela signifie que l'identité de l'expéditeur peut être vérifiée à l'aide de la paire de clés publique et privée incluse dans le corps du message et que l'authentification DMARC est réussie.

SPF, quant à lui, est attaché à l'en-tête "Return-Path", qui change dans le cas d'une redirection de courrier électronique. Sa validité n'est donc pas vérifiée, ce qui entraîne un faux négatif.

En conclusion, l'authentificationSPF échoue en raison du transfert d'e-mails, mais DKIM survit au transfert d'e-mails parce qu'il est attaché au corps de l'e-mail. Il est donc important de configurer DMARC avec DKIM.

3. Lors de la mise à jour de l'adresse IP

Lorsque vous envoyez un courriel, le serveur de réception vérifie l'en-tête du courriel pour voir s'il a été altéré. Si c'est le cas, le serveur de réception rejette votre message et vous envoie une notification.

C'est là qu'intervient le SPF . SPF vérifie que votre adresse IP figure bien dans l'enregistrement SPF du serveur expéditeur (en d'autres termes, qu'il n'y a pas d'adresses IP usurpées).

Si votre adresse IP change, votre enregistrement SPF doit être mis à jour avec la nouvelle adresse. Le temps nécessaire dépend de la fréquence à laquelle vous changez d'adresse IP. Dans la plupart des cas, il faut compter jusqu'à 48 heures pour que le nouvel enregistrement SPF prenne effet.

Que se passera-t-il si votre fournisseur de services de messagerie ajoute une nouvelle adresse IP à sa gamme ? Dans ce cas, la livraison de votre courrier électronique peut être retardée en raison du temps de propagation de la mise à jour de l'enregistrement SPF .

Cependant, une fois que vous avez configuré DKIM et SPF , vous pouvez contourner ce problème en utilisant la signature cryptographique de DKIM pour prouver que le serveur de messagerie à l'adresse [email protected] était autorisé à l'envoyer.

Cela signifie que même si leur plage d'adresses IP change, DKIM sera toujours en mesure de vérifier que les courriels provenant de certains domaines sont authentiques et légitimes.

Utilisation de DMARC sans DKIM : les scénarios possibles OK/FAIL

Lorsque vous utilisez les mécanismes DKIM et SPF , vous utilisez en fait deux outils différents pour atteindre le même objectif : empêcher l'usurpation d'identité.

Ils fonctionnent tous deux de manière indépendante, mais ils peuvent également échouer de manière indépendante. Par exemple, SPF peut échouer indépendamment de DKIM, et DKIM peut échouer indépendamment de SPF.

Voici les quatre scénarios possibles (OK/Échec) de la configuration de DMARC sans ou sans DKIM :

 

Scénario Signification État de la livraison des e-mails
SPF ok, DKIM ok Il garantit que les courriers électroniques sont envoyés par une source légitime. Le serveur est autorisé à envoyer du courrier car il dispose d'un enregistrement SPF et d'une signature DKIM valides. Livré dans la boîte de réception
SPF ok, DKIM échoue Cela signifie que le courrier est délivré par un serveur autorisé, mais que la validation de sa signature DKIM échoue. Livré dans le dossier spam ou junk
SPF échoue, DKIM ok Cela signifie que la signature DKIM du courrier est valide, mais que le serveur d'envoi n'a pas l'autorisation de distribuer le courrier. Livré dans le dossier spam ou junk
SPF échoue, DKIM échoue Si SPF et DKIM échouent tous deux, l'e-mail est considéré comme usurpé et sera rejeté par le serveur de messagerie DMARC du destinataire. Non livré / Rejeté

Une mise en œuvre complète de DMARC est la nécessité de l'heure !

SPF et DKIM sont les mécanismes de protection du courrier électronique les plus couramment utilisés pour mettre en œuvre un enregistrement DMARC approprié afin d'empêcher l'usurpation d'adresse électronique. Lorsqu'une implémentation DMARC appropriée est appliquée à votre infrastructure de messagerie existante, vos messages électroniques sont délivrés comme prévu. Cela signifie moins de plaintes pour spam, moins de faux positifs dans les listes noires et de meilleures statistiques de délivrabilité pour tous vos abonnés.

PowerDMARC offre une gamme complète de services DMARC avec des politiques DKIM, SPF et DMARC créées pour votre domaine. Cela vous permet d'obtenir des résultats plus fiables pour vos courriels.

Générer un enregistrement DKIM en ligne ou faites votre essai DMARC gratuit pour une solution complète au monde complexe et en constante évolution de la sécurité des emails.

FAQ

DMARC peut-il passer sans DKIM ?

Oui, le protocole DMARC peut être accepté sans DKIM. DMARC exige qu'un courrier électronique passe soit SPF ou DKIM, et que le mécanisme de transmission soit aligné sur le domaine "From". Par conséquent, si un courriel passe le contrôleSPF et est correctement aligné sur SPF , il passera DMARC, même si DKIM n'est pas configuré ou si la signature DKIM échoue.

DMARC peut-il passer sans SPF?

Oui. DMARC exige que au moins une méthode d'authentification réussisse et soit alignée. Si votre courrier électronique passe le DKIM avec un alignement correct, il passera le DMARC, même sans SPF.

Qu'est-ce que l'alignement DMARC ?

L'alignement signifie que le domaine authentifié par SPF ou DKIM correspond correspond au domaine de l'adresse "From" visible par le destinataire. Il ne suffit pas de réussir SPF ou DKIM ; le domaine source doit correspondre au domaine de l'expéditeur déclaré pour que DMARC soit accepté.

Derniers messages de Ahona Rudra (voir tous)
Dernière mise à jour :
Le mécanisme neutre du SPF (?all) expliqué : Quand et comment l'utiliserPowerDMARC domine G2 Summer Reports 2025 dans la catégorie des logiciels DMARC