Puis-je configurer DMARC sans DKIM ?

Blog

Cet article décrit si vous pouvez ou non configurer DMARC sans DKIM et les conséquences de la définition de politiques DMARC sans signatures DKIM.

par Ahona Rudra

Temps de lecture : 7 min
Puis-je configurer DMARC sans DKIM ?
Table des matières-

La réponse est oui, vous pouvez configurer DMARC sans DKIM.

Mais est-ce une bonne idée de le faire ?

Cet article explore cette question. Et discute des conséquences de la configuration de DMARC sans DKIM.

Points clés à retenir

  1. DMARC peut être configuré sans DKIM, mais cette pratique n'est généralement pas recommandée.
  2. L'utilisation de DMARC en conjonction avec SPF et DKIM améliore la délivrabilité et l'authenticité du courrier électronique.
  3. Les clients de messagerie marquent souvent les messages sans DKIM comme du spam, ce qui peut nuire à la réputation de l'expéditeur.
  4. SPF et DKIM ont des objectifs différents, ce qui leur permet d'être utilisés indépendamment ou en tandem sans dépendre l'un de l'autre.
  5. La mise en place de DMARC avec DKIM permet d'éviter les faux positifs et les problèmes de distribution des courriels, en particulier lors des transferts.

Comprendre les normes d'authentification DMARC

DMARC est un protocole qui vous permet d'authentifier les messages électroniques provenant de votre domaine. Il utilise un ensemble de règles pour déterminer si un message électronique est légitime ou non.

SPF et DKIM sont deux autres protocoles utilisés à des fins d'authentification dans le cadre de DMARC.

SPF est un acronyme de Sender Policy Framework (cadre de politique d'expéditeur). Il spécifie comment les fournisseurs de courrier peuvent vérifier l'identité des expéditeurs et bloquer les messages de spam.

DKIM est un acronyme de DomainKeys Identified Mail. Il fonctionne en chiffrant le message au moment de son envoi, puis en utilisant la cryptographie à clé publique pour le signer à nouveau lorsqu'il atteint son serveur de destination.

DMARC, SPF et DKIM - lorsqu'ils sont combinés, forment les trois piliers de l'authentification des e-mails. Ils garantissent que vos courriels ne sont pas falsifiés, altérés ou piratés par des tiers.

Simplifiez la sécurité avec PowerDMARC !

15 jours d'essaiRéservez une démo

Algorithme d'évaluation DMARC 

L'algorithme d'évaluation DMARC est une valeur booléenne qui prend en compte les résultats d'authentification de SPF et DKIM. Il détermine ensuite s'il faut accepter ou non un message électronique comme légitime.

Le résultat dépend de deux issues possibles :

1. Passe : L'e-mail passe les deux authentifications SPF et DKIM OU une seule d'entre elles. Il est donc considéré comme propre. Et est donc accepté par le serveur récepteur.

Pour mettre l'algorithme d'authentification "pass" dans des équations simples :

Passe d'authentification DMARC = enregistrement SPF avec un alignement d'identifiant SPF valide +ou enregistrement DKIM avec un alignement d'identifiant DKIM valide

OU (lorsque DKIM est absent)

Passe d'authentification DMARC = enregistrement SPF avec un alignement d'identifiant SPF valide

OU (lorsque le SPF est absent)

Passe d'authentification DMARC = enregistrement DKIM avec un alignement d'identifiant DKIM valide

2. Échec : Le message a échoué aux contrôles d'authentification SPF et DKIM, ce qui indique qu'il est mal formé ou qu'il contient un contenu malveillant.

Puis-je configurer DMARC sans DKIM ?

DMARC passe dans les trois scénarios suivants :

  1. les deux SPF et DKIM valides sont là
  2. SPF valide sans DKIM est là
  3. DKIM valide sans SPF est là

Il est donc possible de mettre en place DMARC sans DKIM.

DMARC s'appuie sur SPF et DKIM à des fins d'authentification, mais ce sont des technologies orthogonales.

D'une manière générale, SPF est un mécanisme d'"autorisation de chemin", ce qui signifie qu'il autorise une IP à envoyer des messages au nom d'un domaine donné. DKIM, quant à lui, est un mécanisme d'"intégrité du contenu", ce qui signifie qu'il garantit que ce que vous envoyez ne change pas lorsqu'il atteint le serveur.

Cela signifie qu'ils ne dépendent pas les uns des autres pour leur efficacité ; ils peuvent être utilisés en parallèle ou même indépendamment les uns des autres.

Cependant, il est recommandé d'utiliser à la fois SPF et DKIM avec DMARC car ils fonctionnent ensemble pour fournir des capacités d'authentification DMARC plus robustes. DMARC sans DKIM, bien que possible, n'est pas une pratique recommandée. 

Comment les clients de messagerie traitent-ils les courriels sans DKIM ?

La plupart des clients de messagerie traitent les courriels qui n'ont pas de DKIM comme du spam.

Dans certains cas, le message peut être signalé par le serveur de messagerie du destinataire et marqué comme spam.

Certains fournisseurs de services de courrier électronique peuvent également indiquer aux destinataires que vos messages proviennent d'un domaine différent de celui que vous aviez prévu.

Par exemple, dans Outlook et Gmail, votre courriel sans DKIM s'affichera dans la boîte de réception du destinataire avec l'adresse FROM correcte mais en étant "envoyé par" ou "via" une autre personne.

Cela peut être déroutant pour les destinataires et peut même les amener à croire que quelqu'un d'autre leur a envoyé le message à votre place.

Exemple #1 (Outlook)

Fig.1 Sans DKIM : Outlook affiche l'adresse "envoyé par" dans la boîte de réception du destinataire.

Fig.2 Avec DKIM : Outlook affiche uniquement l'adresse FROM.

Exemple n°2 (Gmail)

Fig.3 Sans DKIM : Gmail affiche l'adresse "via" dans la boîte de réception du destinataire.

Fig.4 Avec DKIM : Gmail ne montre que l'adresse FROM.

Si DKIM est présent dans votre courrier électronique, les problèmes susmentionnés ne risquent pas de se produire. Le serveur d'envoi n'apparaît plus sur l'écran du client, ce qui réduit les risques de tomber dans les dossiers de spam ou de courrier indésirable. Et la seule information dont ils disposent est l'adresse FROM - ce qui signifie des facteurs de confiance élevés pour les entreprises expéditrices qui recherchent des clients par le biais de stratégies de marketing par courriel.

Conséquences de la configuration de DMARC avec et DMARC sans DKIM

La mise en place de DMARC avec DKIM peut contribuer à éviter que vos messages électroniques ne soient repérés par les filtres anti-spam et bloqués.

Toutefois, la mise en place de DMARC sans DKIM peut entraîner une augmentation des faux positifs ainsi que des retards lorsqu'un destinataire tente de vérifier l'adresse électronique de l'expéditeur.

Dans cette section, nous examinerons certaines des conséquences possibles de la mise en place de DMARC avec et DMARC sans DKIM.

1. Lors de la vérification de la confiance dans les e-mails

Avec l'approche basée sur SPF uniquement, la protection DMARC serait limitée aux adresses invisibles de "l'expéditeur de l'enveloppe" (MAIL FROM ou Return-path). Ces adresses sont utilisées pour recevoir les rapports de non-remise (bounces) des expéditeurs.

Toutefois, lorsque DKIM est associé à SPF, la protection DMARC est activée pour l'adresse "header From :" ainsi que pour les adresses visibles par les destinataires. Ainsi, la confiance dans le courrier électronique est plus grande qu'en utilisant DMARC avec SPF seul.

2. Lorsque vous transférez des courriels

L'authentification SPF fonctionne en envoyant un courriel contenant votre enregistrement SPF (l'adresse IP du serveur à partir duquel vous voulez envoyer des courriels) à un autre serveur. L'autre serveur vérifie alors si cette adresse IP est enregistrée chez lui et renvoie son propre enregistrement SPF - s'il n'en a pas, il rejette la demande.

Dans le cas d'une redirection de courrier électronique, l'authentification SPF peut échouer car il n'y a aucune garantie que l'adresse IP du serveur intermédiaire figure sur la liste SPF du domaine expéditeur. Par conséquent, un courriel légitime sans signature signature DKIM échouera à l'authentification DMARC, ce qui entraînera un faux négatif.

Si DKIM avait été configuré sur ce domaine, le faux négatif n'aurait pas eu lieu.

Mais pourquoi ?

La signature DKIM (d=) est attachée au corps du message lui-même, tandis que la signature SPF est attachée à l'en-tête "Return-Path".

Dans le cas d'un transfert d'e-mail, le corps de l'e-mail n'est pas touché ou modifié, par conséquent la signature DKIM (d=) contenue dans le corps de l'e-mail reste intacte. Cela signifie que l'identité de l'expéditeur peut être vérifiée à l'aide de la paire de clés publique et privée incluse dans le corps du message et que l'authentification DMARC est réussie.

Le SPF, quant à lui, est attaché à l'en-tête "Return-Path", qui change dans le cas d'une redirection de courrier électronique. Sa validité n'est donc pas vérifiée, ce qui entraîne un faux négatif.

En conclusion, l'authentification SPF échoue en raison du transfert d'e-mails, mais DKIM survit au transfert d'e-mails parce qu'il est attaché au corps de l'e-mail. Il est donc important de configurer DMARC avec DKIM.

3. Lors de la mise à jour de l'adresse IP

Lorsque vous envoyez un courriel, le serveur de réception vérifie l'en-tête du courriel pour voir s'il a été altéré. Si c'est le cas, le serveur de réception rejette votre message et vous envoie une notification.

C'est là que le SPF intervient. Le SPF vérifie que votre adresse IP figure comme une adresse valide dans l'enregistrement SPF du serveur d'envoi (en d'autres termes, qu'il n'y a pas d'adresses IP usurpées).

Si votre adresse IP change, votre enregistrement SPF doit être mis à jour avec la nouvelle adresse. Le temps que cela prend dépend de la fréquence à laquelle vous changez votre adresse IP. Dans la plupart des cas, il faut jusqu'à 48 heures pour que le nouvel enregistrement SPF prenne effet.

Que se passera-t-il donc si votre fournisseur de messagerie ajoute une nouvelle IP à sa gamme ? Dans ce cas, la livraison de votre courriel peut être retardée en raison du temps de propagation de la mise à jour de l'enregistrement SPF.

Cependant, une fois que vous avez configuré DKIM et SPF, vous pouvez contourner ce problème en utilisant la signature cryptographique de DKIM pour prouver que le serveur de messagerie à l'adresse [email protected] était autorisé à l'envoyer.

Cela signifie que même si leur plage d'adresses IP change, DKIM sera toujours en mesure de vérifier que les courriels provenant de certains domaines sont authentiques et légitimes.

Utilisation de DMARC sans DKIM : les scénarios possibles OK/FAIL

Lorsque vous utilisez les mécanismes DKIM et SPF, vous utilisez effectivement deux outils différents pour atteindre le même objectif : empêcher l'usurpation d'identité.

Ils fonctionnent tous deux indépendamment, mais ils peuvent également échouer indépendamment. Par exemple, SPF peut échouer indépendamment de DKIM, et DKIM peut échouer indépendamment de SPF.

Voici les quatre scénarios possibles (OK/Échec) de la configuration de DMARC sans ou sans DKIM :

 

Scénario Signification État de la livraison des e-mails
SPF ok, DKIM ok Il garantit que les courriers électroniques sont envoyés depuis une source légitime. Le serveur est autorisé à envoyer du courrier parce qu'il possède un enregistrement SPF valide et une signature DKIM valide. Livré dans la boîte de réception
SPF ok, DKIM échoue Cela signifie que le courrier est délivré par un serveur autorisé, mais que la validation de sa signature DKIM échoue. Livré dans le dossier spam ou junk
SPF échoue, DKIM ok Cela signifie que la signature DKIM du courrier est valide, mais que le serveur d'envoi n'a pas l'autorisation de distribuer le courrier. Livré dans le dossier spam ou junk
SPF échoue, DKIM échoue Si SPF et DKIM échouent tous deux, l'e-mail est considéré comme usurpé et sera rejeté par le serveur de messagerie DMARC du destinataire. Non livré / Rejeté

Une mise en œuvre complète de DMARC est la nécessité de l'heure !

SPF et DKIM sont les mécanismes de protection du courrier électronique les plus couramment utilisés pour mettre en œuvre un enregistrement DMARC approprié afin d'empêcher l'usurpation d'adresse électronique. Lorsqu'une implémentation DMARC appropriée est appliquée à votre infrastructure de messagerie existante, vos messages électroniques sont délivrés comme prévu. Cela signifie moins de plaintes pour spam, moins de faux positifs dans les listes noires et de meilleures statistiques de délivrabilité pour tous vos abonnés.

PowerDMARC offre des services complets de DMARC avec DKIM, SPF et des politiques DMARC créées pour votre domaine. Ainsi, vous pouvez obtenir des résultats plus fiables de vos e-mails.

Générer un enregistrement DKIM en ligne ou faites votre essai DMARC gratuit pour une solution complète au monde complexe et en constante évolution de la sécurité des emails.

Derniers messages de Ahona Rudra (voir tous)
DMARC est-il gratuit ?DMARC est-il gratuit ?Conformité à la cybersécurité 101Conformité à la cybersécurité 101