DomainKeys vs. DKIM : Quelle est la différence ?

DomainKeys et DKIM sont deux technologies d'authentification du courrier électronique liées mais distinctes, conçues pour protéger contre l'usurpation d'identité, l'hameçonnage et le spam. DomainKeys, introduit par Yahoo en 2004, a été le premier pas vers la validation de l'authenticité de l'expéditeur à l'aide de signatures cryptographiques. Cependant, sa flexibilité et son adoption étaient limitées. DKIM a évolué à partir de DomainKeys et de Identified Internet Mail de Cisco pour devenir une solution normalisée et largement adoptée. Aujourd'hui, DKIM est la pierre angulaire de la communication sécurisée par courrier électronique, garantissant que les messages restent authentiques et inchangés pendant la transmission, tout en soutenant DMARC pour l'application de la politique.

Qu'est-ce que DomainKeys (DK) ?

DomainKeys est un des premiers protocoles d'authentification du courrier électronique développé et publié par Yahoo en 2004. Son objectif était très simple, direct et admirable : vérifier l'identité du domaine de l'expéditeur et réduire le nombre croissant de spams, d'hameçonnages et de faux courriels.

Voici comment DomainKeys fonctionnait. Il utilisait un schéma de signature simple qui appliquait des signatures cryptographiques à l'ensemble du message. Même s'il s'agissait d'un progrès, il manquait encore de souplesse dans la sélection des en-têtes et était facilement cassé par le transfert ou les modifications des listes de diffusion. En raison de ces limitations, il a finalement été remplacé par DKIM et déprécié.

Inconvénients des DomainKeys

Voici quelques raisons pour lesquelles DomainKeys a dû être remplacé :

• Il s'agissait d'une norme propriétaire : Il s'agissait d'une norme propriétaire de Yahoo qui n'a jamais fait l'objet d'une normalisation généralisée par l'IETF.
• Il n'y avait pas de mécanisme de sélection : Il n'y avait pas de "sélecteurs", ce qui signifie qu'un domaine ne pouvait utiliser qu'une seule clé publique. Cela rendait la rotation des clés et la gestion des différents services d'envoi de courrier électronique extrêmement difficiles.
• Les signatures étaient assez fragiles : La méthode de signature était très rigide. Les signatures se brisaient presque toujours si le courriel était transféré ou légèrement modifié par une liste de diffusion.
• Il n'offrait qu'une souplesse limitée : Il offrait très peu d'options pour les algorithmes de signature et la canonisation (c'est-à-dire la façon dont le courrier électronique est traité avant la signature).

Introduction à DKIM (DomainKeys Identified Mail) 

DKIMou DomainKeys Identified Mail, est un protocole d'authentification des courriels qui permet aux expéditeurs d'empêcher la manipulation du contenu des courriels pendant leur distribution. DKIM est né d'une collaboration entre Yahoo et Cisco en 2004-2005 et est devenu une norme de l'IETF en 2007 (RFC 4871).

Il s'agit d'ajouter une signature numérique à l'en-tête du message. Dès que le destinataire reçoit le courrier électronique signé DKIM, il vérifie la validité de la signature. Si elle est valide, il sait que le message a été transmis intact et n'a pas été manipulé par des pirates. 

Voici un exemple de signature DKIM :

DKIM-Signature : v=1 ; a=rsa-sha256 ; d=example.com ; s=selector1 ; h=from:subject:date ; bh=abc123... ; b=xyz456...

Fonctionnement de DKIM

DKIM repose sur une paire de clés cryptographiques : une clé privée et une clé publique. Ces clés sont essentielles pour garantir qu'un courrier électronique est authentique et n'a pas été modifié.

Lorsqu'un courriel est envoyé, le serveur de messagerie de l'expéditeur utilise la clé privée pour créer une signature numérique. Cette signature est ajoutée au courrier électronique dans l'en-tête DKIM, une partie spéciale du courrier électronique qui contient la signature elle-même ainsi que des informations sur le domaine de signature, l'algorithme utilisé et les en-têtes inclus dans la signature.

Lorsque le courriel parvient au destinataire, son serveur de messagerie récupère la clé publique du DNS de l'expéditeur. Le serveur utilise ensuite cette clé publique pour vérifier l'en-tête DKIM et s'assurer que la signature correspond au message. Si c'est le cas, le courrier électronique est confirmé comme étant authentique et non modifié.

En bref, l'en-tête DKIM porte la signature, la clé privée la produit et la clé publique la vérifie : l'en-tête DKIM contient la signature, la clé privée la génère et la clé publique la vérifie, protégeant ainsi l'intégrité et l'authenticité du courrier électronique.

Innovation clé: La principale innovation de DKIM par rapport à DomainKeys a été l'introduction de signatures cryptographiques normalisées et flexibles avec des sélecteurs et une canonisation robuste pour une authentification fiable basée sur le domaine.

DomainKeys et DKIM : les principales différences

Il n'y a que deux lettres de différence dans l'acronyme, mais cela fait une énorme différence. DKIM a été créé pour remédier aux limites des DomainKeys. 

1. Normalisation et adoption

• DomainKeys : Il était propriétaire et piloté par Yahoo, et son adoption a été très limitée ; aujourd'hui, il est complètement obsolète.
• DKIM : Il s'agit d'une norme norme ouverte de l'IETF. Cette neutralité et cette supériorité technique sont devenues les principales raisons pour lesquelles tous les grands fournisseurs de courrier électronique, y compris Google et Microsoft, l'ont adoptée.

2. Flexibilité de la signature

• DomainKeys : Il signait des en-têtes spécifiques et l'ensemble du corps du message, ce qui entraînait souvent une rupture de signature si les messages étaient modifiés en cours de route.
• DKIM : Le hachage du corps et la canonisation de DKIM le rendent plus tolérant aux changements mineurs de format, bien que les modifications de transfert ou de liste de diffusion puissent encore rompre les signatures. Il permet à l'expéditeur de choisir exactement les en-têtes à signer (h= ). De plus, il signe un du corps du message (bh= ), qui résiste mieux à des modifications mineures telles que le transfert. Il utilise également la canonisation (c= ) pour définir la manière dont les changements dans les messages, tels que les espaces, sont traités.

3. Gestion des clés et sélecteurs

• DomainKeys : Absence de mécanisme de sélection, obligeant tous les messages d'un domaine à utiliser une seule clé publique, ce qui complique la rotation et la gestion des clés.
• DKIM : Introduit le concept de "sélecteurs". Un sélecteur est un nom qui pointe vers un fichier spécifique dans votre DNS. Cela vous permet de :
  • Utilisez différentes clés pour différents services, que ce soit pour Google Workspace, pour votre plateforme de marketing, etc.
  • Faites tourner vos clés pour plus de sécurité sans perturber le flux de courrier.

Si vous avez besoin d'aide pour créer votre enregistrement DKIM, vous pouvez utiliser un générateur d'enregistrement DKIM gratuit pour vous assurer que la syntaxe est correcte.

4. Sécurité et intégrité

• DomainKeys : Il était axé sur l'authenticité de l'expéditeur.
• DKIM : La vérification du hachage du corps (bh=) confirme que le contenu de l'e-mail n'a pas été modifié depuis sa signature.

DomainKeys vs DKIM : tableau comparatif

Pourquoi DKIM a remplacé DomainKeys

Le DKIM a remplacé le DomainKeys parce qu'il a résolu les principales limitations techniques du protocole : manque de normalisation, absence de mécanisme de sélection pour la rotation des clés et fragilité des signatures qui se rompaient en cas de modifications mineures du message. Le DKIM a introduit une signature d'en-tête flexible, une cryptographie plus forte et une normalisation de l'IETF, ce qui l'a rendu plus fiable, plus évolutif et plus largement adopté pour l'authentification des messages électroniques.

Les avantages commerciaux de la mise en œuvre de DKIM

La norme DKIM présente de nombreux avantages :

Prévention du spoofing et du phishing

Si la norme DKIM ne peut à elle seule mettre un terme aux attaques par usurpation d'identité et par hameçonnage, elle fonctionne avec la norme DMARC pour renforcer la sécurité des domaines et empêcher les contrefaçons. 

Protection de la marque 

Lorsqu'un escroc utilise votre domaine pour envoyer des courriels malveillants, la réputation de votre marque en pâtit. Les destinataires associent votre nom à du spam et à la fraude, ce qui entraîne une perte de confiance. DKIM préserve l'intégrité de votre marque dans la boîte de réception.

Délivrance des courriels

Les principaux fournisseurs de boîtes de réception comme Google et Microsoft attendent et exigent une authentification valide. Les messages électroniques qui satisfont à la norme DKIM sont considérés comme plus fiables.

Intégrité des messages

La signature DKIM garantit que le contenu du courrier électronique n'a pas été modifié après son envoi. Cela permet de s'assurer que le message lu par le destinataire est exactement celui que vous avez envoyé.

Pourquoi la norme DKIM ne suffit-elle pas ?

DKIM est un outil puissant, mais il présente une limitation majeure lorsqu'il est utilisé seul : il n'empêche pas l'usurpation de l'en-tête "From".

DKIM vérifie que le courriel a été signé par un domaine répertorié dans le fichier d= de sa signature. Cependant, il n'exige pas que le domaine corresponde à la balise visible "visible de l'utilisateur. Un hameçonneur pourrait envoyer un courriel "du" nom du PDG, mais le signer avec son propre domaine malveillant. L'e-mail passerait la vérification DKIM, mais il s'agirait tout de même d'une attaque par usurpation d'identité.

C'est là que le DMARC intervient.

DMARC comble le fossé entre l'authentification et l'identité. Il garantit que le domaine authentifié par DKIM ou SPF correspond au domaine visible par le destinataire dans l'en-tête "From".

Résumé

DomainKeys a ouvert la voie, mais DKIM reste aujourd'hui la norme en matière d'authentification fiable des messages électroniques. Son association avec DMARC garantit une protection contre l'usurpation d'identité et l'hameçonnage.

En cas de mauvaise configuration, même des courriels légitimes peuvent être bloqués. Pour éviter ces problèmes et d'autres difficultés liées à la norme DKIM, la solution PowerDMARC DKIM hébergé de PowerDMARC peut vous aider. Il s'agit d'un service en nuage qui prend en charge tous les aspects du processus de gestion DKIM. À partir d'un tableau de bord centralisé, vous pouvez ajouter, modifier et gérer plusieurs sélecteurs et clés pour tous vos domaines, sans avoir à vous préoccuper des changements au niveau du DNS.

Lancez un essai gratuit dès aujourd'hui pour augmenter la délivrabilité, améliorer l'authentification et protéger votre domaine contre l'usurpation d'identité !

Foire aux questions

1. DomainKeys est-il encore utilisé aujourd'hui ?

Ce n'est plus le cas aujourd'hui. Il a été déprécié et remplacé par le protocole moderne DKIM.

2. Comment PowerDMARC peut-il aider à la gestion de DKIM ?

PowerDMARC offre une solution DKIM hébergée qui permet le déploiement automatique de DKIM, le sélecteur et la gestion des clés.

• À propos de
• Derniers messages

Ahona Rudra

Expert en sécurité des domaines et des courriels chez PowerDMARC

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• Étude de cas DMARC MSP : Comment Pablo Herreros a simplifié la gestion des enregistrements DNS pour ses clients grâce à PowerDMARC - 10 décembre 2025
• SMB1001 et DMARC : ce que les PME doivent savoir pour se conformer aux normes de sécurité des e-mails - 8 décembre 2025
• Meilleurs analyseurs de domaine pour la sécurité des e-mails en 2026 - 5 décembre 2025