DomainKeys vs. DKIM : Quelle est la différence ?
par
Dernière mise à jour : Temps de lecture : 6 min
Points clés à retenir
- Yahoo a introduit DomainKeys en 2004 pour vérifier l'identité du domaine de l'expéditeur et réduire le nombre de faux courriels.
- DKIM (DomainKeys Identified Mail) a été normalisé par l'IETF dans la RFC 4871 (2007), fusionnant DomainKeys de Yahoo et Identified Internet Mail de Cisco en une seule norme ouverte.
- DKIM permet aux expéditeurs de signer un hachage canonisé de certains en-têtes et du contenu du corps du message, ce qui garantit l'intégrité du message même en cas de modifications non critiques (telles que des changements d'espacement).
- Les sélecteurs de DKIM simplifient la rotation des clés et permettent d'utiliser plusieurs clés pour différents services.
- DKIM valide qu'un courriel a été autorisé par le domaine indiqué dans la signature et que son contenu n'a pas été modifié en cours de route.
- DKIM contribue aux contrôles d'alignement de DMARC, aidant les propriétaires de domaines à mettre en œuvre des politiques anti-spoofing.
DomainKeys et DKIM sont deux technologies d'authentification du courrier électronique liées mais distinctes, conçues pour protéger contre l'usurpation d'identité, l'hameçonnage et le spam. DomainKeys, introduit par Yahoo en 2004, a été le premier pas vers la validation de l'authenticité de l'expéditeur à l'aide de signatures cryptographiques. Cependant, sa flexibilité et son adoption étaient limitées. DKIM a évolué à partir de DomainKeys et de Identified Internet Mail de Cisco pour devenir une solution normalisée et largement adoptée. Aujourd'hui, DKIM est la pierre angulaire de la communication sécurisée par courrier électronique, garantissant que les messages restent authentiques et inchangés pendant la transmission, tout en soutenant DMARC pour l'application de la politique.
Qu'est-ce que DomainKeys (DK) ?
DomainKeys est un des premiers protocoles d'authentification du courrier électronique développé et publié par Yahoo en 2004. Son objectif était très simple, direct et admirable : vérifier l'identité du domaine de l'expéditeur et réduire le nombre croissant de spams, d'hameçonnages et de faux courriels.
Voici comment DomainKeys fonctionnait. Il utilisait un schéma de signature simple qui appliquait des signatures cryptographiques à l'ensemble du message. Même s'il s'agissait d'un progrès, il manquait encore de souplesse dans la sélection des en-têtes et était facilement cassé par le transfert ou les modifications des listes de diffusion. En raison de ces limitations, il a finalement été remplacé par DKIM et déprécié.
Inconvénients des DomainKeys
Voici quelques raisons pour lesquelles DomainKeys a dû être remplacé :
- Il s'agissait d'une norme propriétaire : Il s'agissait d'une norme propriétaire de Yahoo qui n'a jamais fait l'objet d'une normalisation généralisée par l'IETF.
- Il n'y avait pas de mécanisme de sélection : Il n'y avait pas de "sélecteurs", ce qui signifie qu'un domaine ne pouvait utiliser qu'une seule clé publique. Cela rendait la rotation des clés et la gestion des différents services d'envoi de courrier électronique extrêmement difficiles.
- Les signatures étaient assez fragiles : La méthode de signature était très rigide. Les signatures se brisaient presque toujours si le courriel était transféré ou légèrement modifié par une liste de diffusion.
- Il n'offrait qu'une souplesse limitée : Il offrait très peu d'options pour les algorithmes de signature et la canonisation (c'est-à-dire la façon dont le courrier électronique est traité avant la signature).
Introduction à DKIM (DomainKeys Identified Mail)
DKIMou DomainKeys Identified Mail, est un protocole d'authentification des courriels qui permet aux expéditeurs d'empêcher la manipulation du contenu des courriels pendant leur distribution. DKIM est né d'une collaboration entre Yahoo et Cisco en 2004-2005 et est devenu une norme de l'IETF en 2007 (RFC 4871).
Il s'agit d'ajouter une signature numérique à l'en-tête du message. Dès que le destinataire reçoit le courrier électronique signé DKIM, il vérifie la validité de la signature. Si elle est valide, il sait que le message a été transmis intact et n'a pas été manipulé par des pirates.
Voici un exemple de signature DKIM :
DKIM-Signature : v=1 ; a=rsa-sha256 ; d=example.com ; s=selector1 ; h=from:subject:date ; bh=abc123... ; b=xyz456...
Fonctionnement de DKIM
DKIM repose sur une paire de clés cryptographiques : une clé privée et une clé publique. Ces clés sont essentielles pour garantir qu'un courrier électronique est authentique et n'a pas été modifié.
Lorsqu'un courriel est envoyé, le serveur de messagerie de l'expéditeur utilise la clé privée pour créer une signature numérique. Cette signature est ajoutée au courrier électronique dans l'en-tête DKIM, une partie spéciale du courrier électronique qui contient la signature elle-même ainsi que des informations sur le domaine de signature, l'algorithme utilisé et les en-têtes inclus dans la signature.
Lorsque le courriel parvient au destinataire, son serveur de messagerie récupère la clé publique du DNS de l'expéditeur. Le serveur utilise ensuite cette clé publique pour vérifier l'en-tête DKIM et s'assurer que la signature correspond au message. Si c'est le cas, le courrier électronique est confirmé comme étant authentique et non modifié.
En bref, l'en-tête DKIM porte la signature, la clé privée la produit et la clé publique la vérifie : l'en-tête DKIM contient la signature, la clé privée la génère et la clé publique la vérifie, protégeant ainsi l'intégrité et l'authenticité du courrier électronique.
Innovation clé: La principale innovation de DKIM par rapport à DomainKeys a été l'introduction de signatures cryptographiques normalisées et flexibles avec des sélecteurs et une canonisation robuste pour une authentification fiable basée sur le domaine.
DomainKeys et DKIM : les principales différences
Il n'y a que deux lettres de différence dans l'acronyme, mais cela fait une énorme différence. DKIM a été créé pour remédier aux limites des DomainKeys.
1. Normalisation et adoption
- DomainKeys : Il était propriétaire et piloté par Yahoo, et son adoption a été très limitée ; aujourd'hui, il est complètement obsolète.
- DKIM : Il s'agit d'une norme norme ouverte de l'IETF. Cette neutralité et cette supériorité technique sont devenues les principales raisons pour lesquelles tous les grands fournisseurs de courrier électronique, y compris Google et Microsoft, l'ont adoptée.
2. Flexibilité de la signature
- DomainKeys : Il signait des en-têtes spécifiques et l'ensemble du corps du message, ce qui entraînait souvent une rupture de signature si les messages étaient modifiés en cours de route.
- DKIM : Le hachage du corps et la canonisation de DKIM le rendent plus tolérant aux changements mineurs de format, bien que les modifications de transfert ou de liste de diffusion puissent encore rompre les signatures. Il permet à l'expéditeur de choisir exactement les en-têtes à signer (h= ). De plus, il signe un du corps du message (bh= ), qui résiste mieux à des modifications mineures telles que le transfert. Il utilise également la canonisation (c= ) pour définir la manière dont les changements dans les messages, tels que les espaces, sont traités.
3. Gestion des clés et sélecteurs
- DomainKeys : Absence de mécanisme de sélection, obligeant tous les messages d'un domaine à utiliser une seule clé publique, ce qui complique la rotation et la gestion des clés.
- DKIM : Introduit le concept de "sélecteurs". Un sélecteur est un nom qui pointe vers un fichier spécifique dans votre DNS. Cela vous permet de :
- Utilisez différentes clés pour différents services, que ce soit pour Google Workspace, pour votre plateforme de marketing, etc.
- Faites tourner vos clés pour plus de sécurité sans perturber le flux de courrier.
Si vous avez besoin d'aide pour créer votre enregistrement DKIM, vous pouvez utiliser un générateur d'enregistrement DKIM gratuit pour vous assurer que la syntaxe est correcte.
4. Sécurité et intégrité
- DomainKeys : Il était axé sur l'authenticité de l'expéditeur.
- DKIM : La vérification du hachage du corps (bh=) confirme que le contenu de l'e-mail n'a pas été modifié depuis sa signature.
DomainKeys vs DKIM : tableau comparatif
| Fonctionnalité | DomainKeys (DK) | Courrier identifié DomainKeys (DKIM) |
|---|---|---|
| Développé par | Yahoo (propriétaire) en 2004 | Effort conjoint de Yahoo et Cisco, plus tard normalisé par l'IETF. Introduit en 2007 (RFC 4871), mis à jour dans le RFC 6376 (2011) |
| Objectif | Authentifier le domaine de l'expéditeur pour réduire les faux courriels et le spam | Authentifier le domaine de l'expéditeur et garantir l'intégrité du message |
| Nom du champ d'en-tête | DomainKey-Signature : | Signature DKIM : |
| Mécanisme de sélection | Non pris en charge | Pris en charge (selector._domainkey.example.com) |
| Gestion des clés | Clé unique pour l'ensemble du domaine | Touches multiples via des sélecteurs ; rotation facile des touches |
| Champ d'application de la signature | Tout le corps du message et quelques en-têtes | En-têtes spécifiques choisis par l'expéditeur (h= tag) et corps du message haché (bh= tag) |
| Options de canonicalisation | Basique ou aucune | Options de canonisation simples et souples pour plus de flexibilité |
| Hachage de corps | Tout le corps signé directement | Utilise le hachage du corps (bh=) pour une meilleure résistance aux changements mineurs. |
| Domaine de vérification | Basé sur le domaine "From" ou "Sender". | Basé sur la balise d= dans la signature |
| Intégration avec DMARC | Non pris en charge | Entièrement pris en charge et utilisé pour les contrôles d'alignement |
| Adoption et statut | Adoption limitée ; obsolète | Largement adopté et activement utilisé |
| Principale limitation | Processus de signature rigide, pas de sélecteurs, rupture de signature | Ne protège pas l'en-tête "From" visible (nécessite DMARC) |
Pourquoi DKIM a remplacé DomainKeys
Le DKIM a remplacé le DomainKeys parce qu'il a résolu les principales limitations techniques du protocole : manque de normalisation, absence de mécanisme de sélection pour la rotation des clés et fragilité des signatures qui se rompaient en cas de modifications mineures du message. Le DKIM a introduit une signature d'en-tête flexible, une cryptographie plus forte et une normalisation de l'IETF, ce qui l'a rendu plus fiable, plus évolutif et plus largement adopté pour l'authentification des messages électroniques.
Les avantages commerciaux de la mise en œuvre de DKIM
La norme DKIM présente de nombreux avantages :
Prévention du spoofing et du phishing
Si la norme DKIM ne peut à elle seule mettre un terme aux attaques par usurpation d'identité et par hameçonnage, elle fonctionne avec la norme DMARC pour renforcer la sécurité des domaines et empêcher les contrefaçons.
Protection de la marque
Lorsqu'un escroc utilise votre domaine pour envoyer des courriels malveillants, la réputation de votre marque en pâtit. Les destinataires associent votre nom à du spam et à la fraude, ce qui entraîne une perte de confiance. DKIM préserve l'intégrité de votre marque dans la boîte de réception.
Délivrance des courriels
Les principaux fournisseurs de boîtes de réception comme Google et Microsoft attendent et exigent une authentification valide. Les messages électroniques qui satisfont à la norme DKIM sont considérés comme plus fiables.
Intégrité des messages
La signature DKIM garantit que le contenu du courrier électronique n'a pas été modifié après son envoi. Cela permet de s'assurer que le message lu par le destinataire est exactement celui que vous avez envoyé.
Pourquoi la norme DKIM ne suffit-elle pas ?
DKIM est un outil puissant, mais il présente une limitation majeure lorsqu'il est utilisé seul : il n'empêche pas l'usurpation de l'en-tête "From".
DKIM vérifie que le courriel a été signé par un domaine répertorié dans le fichier d= de sa signature. Cependant, il n'exige pas que le domaine corresponde à la balise visible "visible de l'utilisateur. Un hameçonneur pourrait envoyer un courriel "du" nom du PDG, mais le signer avec son propre domaine malveillant. L'e-mail passerait la vérification DKIM, mais il s'agirait tout de même d'une attaque par usurpation d'identité.
C'est là que le DMARC intervient.
DMARC comble le fossé entre l'authentification et l'identité. Il garantit que le domaine authentifié par DKIM ou SPF correspond au domaine visible par le destinataire dans l'en-tête "From".
Résumé
DomainKeys a ouvert la voie, mais DKIM reste aujourd'hui la norme en matière d'authentification fiable des messages électroniques. Son association avec DMARC garantit une protection contre l'usurpation d'identité et l'hameçonnage.
En cas de mauvaise configuration, même des courriels légitimes peuvent être bloqués. Pour éviter ces problèmes et d'autres difficultés liées à la norme DKIM, la solution PowerDMARC DKIM hébergé de PowerDMARC peut vous aider. Il s'agit d'un service en nuage qui prend en charge tous les aspects du processus de gestion DKIM. À partir d'un tableau de bord centralisé, vous pouvez ajouter, modifier et gérer plusieurs sélecteurs et clés pour tous vos domaines, sans avoir à vous préoccuper des changements au niveau du DNS.
Lancez un essai gratuit dès aujourd'hui pour augmenter la délivrabilité, améliorer l'authentification et protéger votre domaine contre l'usurpation d'identité !
Foire aux questions
- DomainKeys est-il encore utilisé aujourd'hui ?
Ce n'est plus le cas aujourd'hui. Il a été déprécié et remplacé par le protocole moderne DKIM.
- Comment PowerDMARC peut-il aider à la gestion de DKIM ?
PowerDMARC offre une solution DKIM hébergée qui permet le déploiement automatique de DKIM, le sélecteur et la gestion des clés.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.
Derniers messages de Ahona Rudra (voir tous)
