Défauts d'alignement des domaines DKIM - Corrections RFC 5322
par
Temps de lecture : 6 min
Une erreur d'alignement RFC 5322 se produit lorsque le domaine dans l'en-tête "From :" (visible par les utilisateurs) ne correspond pas au domaine DKIM d= (dans la signature). DMARC exige que le domaine dans l'en-tête "From :" corresponde au domaine authentifié par SPF ou DKIM.
DKIM permet de vérifier si un courriel a été manipulé en cours de route. Dans le cadre de DMARC, DKIM authentifie également l'identité du domaine qui prétend envoyer le courrier électronique (via d=). DMARC vérifie si l'adresse "From :" d'un message électronique correspond aux domaines authentifiés par SPF et DKIM.
Points clés à retenir
- Une erreur d'alignement RFC 5322 se produit lorsque le domaine de l'en-tête "From :" ne correspond pas au domaine spécifié dans la signature DKIM (balise d=).
- L'alignement du domaine DKIM est nécessaire pour passer le DMARC si l 'alignement SPF échoue ou est absent.
- Les deux modes d'alignement de DMARC sont strict et détendu.
- L'utilisation d'outils de marketing par courrier électronique et le transfert de courrier électronique peuvent entraîner une incompatibilité d'alignement RFC 5322 DKIM.
- Faites toujours correspondre les domaines DKIM et "From :", définissez le mode d'alignement approprié, conservez l'en-tête "From :" d'origine et ajoutez des clés DKIM pour les sous-domaines.
Qu'est-ce que le RFC 5322 ?
La RFC 5322 définit la syntaxe des en-têtes de courrier électronique, y compris l'en-tête "From :". DKIM et DMARC s'appuient sur ces en-têtes pour l'authentification. SPF, quant à lui, vérifie l'expéditeur de l'enveloppe (MAIL FROM) conformément à la RFC 5321. La RFC 5322 a été publiée en octobre 2008 et constitue désormais une norme pour le formatage des en-têtes et des corps de messages électroniques.
S'il n'y avait pas d'exigences en matière d'alignement, les attaquants auraient pu simplement utiliser des fichiers SPF ou DKIM valides d'un domaine tout en usurpant l'adresse "From :" d'un autre domaine. Avec l'exigence d'alignement, la tâche des pirates devient beaucoup plus difficile : si les domaines ne sont pas alignés, l'authentification DMARC échouera et le courrier électronique sera soit envoyé dans les spams, soit rejeté d'emblée.
Qu'est-ce que l'alignement de domaine DKIM ?
Pour mieux comprendre ce qu'est l'alignement de domaine DKIM, il convient d'abord de comprendre le fonctionnement de la norme DKIM.
Qu'est-ce que DKIM et comment fonctionne-t-il ?
DKIM (DomainKeys Identified Mail) est un protocole d'authentification des courriers électroniques qui permet à une personne ou à une organisation d'assumer la responsabilité de la transmission d'un courrier électronique. Il ajoute une signature numérique que les fournisseurs de boîtes aux lettres peuvent vérifier pour s'assurer que le courrier électronique n'a pas été manipulé en cours de route.
Lors de l'envoi d'un courriel, le domaine expéditeur signe les messages sortants à l'aide d'une clé privée. Ensuite, le serveur de réception vérifie la signature à l'aide d'une clé publique publiée dans le DNS du domaine.
La balise "d=", élément clé de la signature DKIM, indique le domaine responsable de la signature du message. Ce domaine est inclus dans l'en-tête DKIM et est utilisé par les serveurs de réception pour vérifier la clé publique.
La différence entre détendu et strict dans DMARC
L'alignement DMARC permet de s'assurer que le domaine figurant dans l'en-tête "From :" correspond au domaine authentifié par SPF ou DKIM. Il existe deux modes d'alignement dans DMARC : relaxed ou strict.
- Alignement assoupli : Le domaine figurant dans l'en-tête "From :" ne doit correspondre qu'au domaine organisationnel utilisé dans l'authentification SPF ou DKIM. Il s'agit d'un mode plus "indulgent" et plus souple, particulièrement utile en cas d'utilisation de sous-domaines ou de services de messagerie tiers.
- Alignement strict : Dans le cas du mode d'alignement strict, le domaine figurant dans l'en-tête "From :" doit correspondre exactement au domaine utilisé dans l'authentification SPF ou DKIM.
| Mode d'alignement | De : Exemple d'en-tête | DKIM d= Exemple | Résultat DMARC |
|---|---|---|---|
| Strict | [email protected] | d=example.com | ✅ Passez |
| Strict | [email protected] | d=example.com | ❌ Échec |
| Détendu | [email protected] | d=example.com | ✅ Passez |
| Détendu | [email protected] | d=mail.example.com | ✅ Pass (même domaine organisationnel, basé sur la liste des suffixes publics) |
L'importance de l'alignement DKIM et RFC 5322
L'objectif principal de l'exigence d'alignement DKIM et RFC 5322 est d'empêcher tout accès non autorisé.
Question centrale : L'exigence d'alignement de DMARC
DMARC exige que le domaine figurant dans l'en-tête "From :" de l'e-mail corresponde au moins partiellement au domaine spécifié dans le champ "d=" de la signature DKIM. Dans le cas d'un alignement strict, les domaines doivent correspondre exactement. Dans le cas d'un alignement détendu, ils doivent au moins partager le même domaine organisationnel.
Scénarios courants d'inadéquation
Voici quelques-uns des scénarios d'inadéquation les plus courants :
Utilisation des outils de marketing
Les outils de marketing envoient souvent des courriels à partir d'adresses telles que [email protected], mais les signent avec un domaine DKIM "d=example.com". Dans ce cas, si l'alignement DKIM est défini sur strict (adkim=s), il est probable que l'alignement de la signature DKIM échoue.
Transfert d'e-mail
Si le transfert affecte généralement davantage SPF que DKIM, ce dernier peut également échouer pendant le transfert, mais uniquement si le message est modifié (par exemple, par des listes de diffusion). Il est à noter que l'en-tête "From :" est rarement modifié par les expéditeurs.
Voici un exemple de désalignement :
- De : [email protected] (en-tête RFC 5322)
- DKIM-Signature : d=example.com (domaine mal aligné et DMARC échoue)
Causes courantes des problèmes d'alignement
Parmi les causes les plus courantes de défaillance de l'alignement, on peut citer
Utilisation de services par des tiers
Lorsque vous envoyez des courriels par l'intermédiaire de fournisseurs externes tiers qui ne configurent pas correctement l'alignement de domaine, vous risquez de rencontrer un échec de l'alignement de domaine DKIM RFC 5322.
Mauvaise configuration de l'enregistrement DKIM
Lorsque vos enregistrements DKIM ou vos sélecteurs sont configurés de manière incorrecte, un décalage est susceptible de se produire. Même une erreur mineure dans la configuration peut entraîner des défaillances majeures ayant un impact sur la délivrabilité de vos courriels.
Incohérences dans les domaines
Lorsque vous utilisez des domaines différents dans la signature DKIM et dans l'en-tête "From :", il n'est pas surprenant de constater une incohérence dans l'en-tête From de la RFC 5322. Que l'incohérence des domaines soit due à un oubli ou à une mauvaise configuration, ou qu'elle fasse intentionnellement partie de votre configuration, dans les deux cas, une incohérence et des problèmes subséquents sont très probables.
Comment diagnostiquer les défauts d'alignement de la norme RFC 5322 ?
Voici deux étapes rapides pour vous aider à diagnostiquer le problème d'alignement RFC 5322.
- Si vous souhaitez diagnostiquer les échecs de l'alignement RFC 5322, commencez par examiner attentivement vos rapports rapports DMARC pour trouver des entrées avec la raison "dkim alignment failed".
- Ensuite, vous pouvez utiliser des outils d'authentification du courrier électronique tels que un vérificateur DKIM ou la commande dig pour vérifier vos enregistrements DNS. Cela vous aidera à confirmer que les signatures DKIM sont correctement publiées et qu'elles correspondent à votre domaine d'envoi.
Comment corriger le désalignement DKIM-RFC 5322 ?
Voici quelques mesures faciles à mettre en œuvre pour remédier au décalage DKIM-RFC 5322.
1. Faire correspondre les domaines DKIM et From
Veillez toujours à ce que la signature DKIM utilise le même domaine que le champ "De :" . C'est préférable pour les courriels envoyés directement depuis votre domaine.
2. Définir le mode d'alignement
Veillez à définir le mode d'alignement qui correspond le mieux à vos préférences et à vos besoins. Utilisez adkim=s pour un alignement strict (lorsqu'une correspondance exacte est requise) ou adkim=r pour un alignement détendu (afin d'autoriser également les sous-domaines) dans votre politique DMARC.
3. Ajouter des clés DKIM pour les sous-domaines
Si vous utilisez des sous-domaines dans votre adresse "From :", assurez-vous que DKIM est configuré pour signer les messages utilisant ce sous-domaine exact ou adaptez votre mode d'alignement DMARC en conséquence.
4. Conserver l'en-tête initial "De :".
Vous devez configurer vos services de courrier électronique de manière à conserver le domaine "From :" d'origine dans l'en-tête du message. Il peut arriver que des intermédiaires modifient involontairement l'en-tête "From :" ou d'autres parties du message au cours du transfert du courrier électronique, ce qui risque de rompre l'alignement DKIM et d'entraîner des échecs DMARC. Le maintien de l'en-tête "From :" d'origine permet de préserver l'alignement du domaine. ARC (chaîne de réception authentifiée)il peut fournir un contexte d'authentification supplémentaire pour aider le serveur destinataire à évaluer la légitimité du message malgré les changements intermédiaires.
5. Tester et valider
Le test et la validation sont des étapes souvent négligées et pourtant essentielles du processus. Il existe de nombreux outils accessibles gratuitement que vous pouvez utiliser pour vérifier l'alignement des domaines et la configuration de DKIM. L'utilisation de ces outils vous aidera à vous assurer que l'authentification DMARC est réussie et que votre message est délivré au destinataire prévu.
Conseils de pro
Voici d'autres conseils pour un alignement sans erreur.
Alignement SPF + DKIM
DMARC compare le domaine figurant dans l'en-tête RFC 5322.From aux domaines authentifiés par SPF (MAIL FROM) et DKIM (d=).
Éviter que des outils tiers ne cassent les en-têtes
Essayez de ne pas utiliser de fournisseurs de services de messagerie tiers (ESP) qui cassent ou modifient les en-têtes. Vous pouvez tester la conformité des ESP avant de procéder à un déploiement complet. Vous éviterez ainsi les problèmes de distribution tout en garantissant la conformité.
Résumé
Une erreur d'alignement RFC 5322 peut survenir dans diverses situations, notamment lors de l'utilisation d'outils de marketing par courriel ou de la redirection de courriels. Parmi les causes les plus courantes, citons l'utilisation de services tiers, la mauvaise configuration des enregistrements DKIM et les incohérences de domaine.
Vous pouvez facilement diagnostiquer les échecs d'alignement RFC 5322 avec un analyseur de rapport DMARC, qui vous aide à détecter et à identifier rapidement les problèmes d'authentification grâce à des données DMARC visuelles et lisibles par l'homme.
PowerDMARC peut vous aider à commencer votre voyage vers une authentification des courriels sans erreur et à prévenir les échecs d'alignement. Pour commencer, faites votre essai gratuit de 15 jours aujourd'hui !
Expert en sécurité des domaines et des courriels chez PowerDMARC
Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.
Derniers messages de Yunes Tarada (voir tous)
