Configuration de DKIM dans Office 365 : configurer la signature pour Microsoft 365
par
Dernière mise à jour : 10 10 min de lecture
Points clés à retenir
- Le protocole DKIM ajoute une signature numérique aux e-mails sortants afin que les serveurs destinataires puissent vérifier que le message a bien été envoyé par une source autorisée et qu'il n'a pas été altéré pendant son acheminement.
- Microsoft 365 gère automatiquement le protocole DKIM pour les domaines onmicrosoft.com. Une configuration manuelle n'est nécessaire que pour les domaines personnalisés ; elle consiste à créer deux enregistrements CNAME dans votre DNS.
- La signature DKIM est activée via le portail Microsoft Defender une fois que les enregistrements CNAME ont été publiés et détectés.
- Le protocole DKIM seul ne suffit pas. Il doit toujours être configuré en parallèle avec SPF DMARC pour assurer une authentification complète des e-mails et une protection optimale du domaine.
- Les clés DKIM doivent être renouvelées tous les un à deux ans afin de garantir une sécurité optimale des e-mails.
Si vous envoyez des e-mails via Microsoft 365 et que vous n'avez pas configuré DKIM pour votre domaine personnalisé, vos e-mails sont envoyés sans signature numérique. Cela signifie que les serveurs destinataires n'ont aucun moyen de vérifier que vos messages n'ont pas été altérés pendant leur acheminement, et que votre domaine est plus exposé au risque d'usurpation d'identité.
La configuration de DKIM pour Office 365 est l'une des étapes les plus importantes pour mettre en place un système de messagerie électronique sécurisé et fiable.
Ce guide vous explique tout en détail : le fonctionnement de DKIM, la manière dont Microsoft 365 le gère et la procédure exacte à suivre pour le configurer sur votre domaine personnalisé.
Qu'est-ce que le DKIM et pourquoi est-ce important pour Microsoft 365 ?
Avant de passer à la procédure de configuration, il est utile de comprendre le rôle de DKIM et pourquoi il s'agit d'un élément essentiel de la configuration de votre messagerie Microsoft 365.
DomainKeys Identified Mail (DKIM) est un protocole d'authentification des e-mails qui ajoute une signature numérique cryptographique à chaque e-mail sortant. Lorsqu'un message est envoyé, le domaine signataire utilise une clé privée pour générer la signature.
Le serveur destinataire récupère ensuite la clé publique correspondante via le DNS et l'utilise pour vérifier que le corps du message et les en-têtes n'ont pas été modifiés pendant le transfert.
Le rôle de DKIM dans vos e-mails
| Avantage | Comment ça marche |
|---|---|
| Vérifie l'intégrité du message | La signature cryptographique garantit que le message n'a pas été modifié après son envoi |
| Empêche l'usurpation de domaine | Cela complique considérablement la tâche des pirates qui tenteraient de falsifier des e-mails provenant de votre domaine |
| Améliore la délivrabilité des e-mails | Les e-mails authentifiés sont moins susceptibles d'être signalés comme spam par Gmail, Yahoo et d'autres fournisseurs |
| Renforce la confiance envers l'expéditeur | Une signature DKIM valide indique que le domaine signataire assume la responsabilité du message |
| Active l'application de DMARC | DKIM est un élément indispensable au bon fonctionnement de DMARC |
La place de DKIM aux côtés de SPF DMARC
DKIM fonctionne en association avec SPF et DMARC pour former un cadre complet d'authentification des e-mails. Chaque protocole couvre une couche différente :
- SPF vérifie que le serveur expéditeur est autorisé à envoyer des e-mails pour votre domaine
- DKIM vérifie que le contenu du message n'a pas été modifié pendant le transfert
- DMARC applique la politique en exigeant que SPF DKIM correspondent à l'adresse d'expéditeur
Pour que DKIM passe les contrôles DMARC, le domaine figurant dans l'adresse « De » doit correspondre au domaine utilisé dans la signature DKIM. C'est cette exigence de cohérence qui rend la combinaison de SPF, DKIM et DMARC si efficace contre les attaques de phishing et l'usurpation d'identité.
Le protocole DKIM ne suffit pas à lui seul à empêcher tous les types d'usurpation d'adresse e-mail. Il doit être utilisé conjointement avec SPF DMARC pour assurer une protection complète. Nous verrons plus loin dans ce guide comment mettre en œuvre DMARC en complément de votre configuration DKIM pour Microsoft 365.
Comment Microsoft 365 gère le protocole DKIM
Comprendre comment Microsoft 365 gère le protocole DKIM par défaut vous évitera toute confusion inutile lors de la configuration.
Ce que Microsoft gère automatiquement
Microsoft active automatiquement la signature DKIM pour le domaine onmicrosoft.com initial associé à votre tenant Microsoft 365. Si vous envoyez uniquement des e-mails depuis yourcompany.onmicrosoft.com, la signature DKIM fonctionne déjà sans aucune configuration manuelle.
Ce qui nécessite une configuration manuelle
Une configuration manuelle de DKIM est requise pour chaque domaine personnalisé que vous utilisez pour envoyer des e-mails.
Si votre organisation envoie des e-mails à partir d'un domaine personnalisé tel que votresociété.com, vous devez créer des enregistrements CNAME dans votre DNS et activer la signature DKIM via le portail Microsoft Defender.
Chaque sous-domaine utilisé pour envoyer des e-mails depuis Microsoft 365 nécessite également sa propre configuration DKIM. La configuration DKIM ne s'étend pas automatiquement d'un domaine racine à ses sous-domaines.
Le système à deux sélecteurs
Microsoft 365 utilise deux sélecteurs DKIM, selector1 et selector2, pour chaque domaine personnalisé.
L'utilisation de deux sélecteurs permet à Microsoft de faire tourner automatiquement les clés DKIM pour renforcer la sécurité. Lors de la configuration de DKIM, vous créez des enregistrements CNAME pour les deux sélecteurs, qui pointent vers les clés publiques générées par Microsoft 365.
| Avis d'expert : « D'après mon expérience dans l'accompagnement des entreprises pour la mise en œuvre de DKIM, l'automatisation de la surveillance DKIM avec PowerDMARC permet non seulement de gagner du temps, mais aussi de détecter les erreurs de configuration avant qu'elles n'affectent la délivrabilité des e-mails. Cela est particulièrement crucial pour les entreprises SaaS et les secteurs réglementés où la fiabilité des e-mails est primordiale. » |
Conditions préalables à la configuration de DKIM dans Office 365
Avant de commencer la configuration DKIM, assurez-vous que les éléments suivants sont bien en place.
| Condition préalable | Détails |
|---|---|
| Accès administrateur | Le rôle d'administrateur global ou d'administrateur Exchange est requis pour effectuer les étapes de configuration DKIM |
| Domaine personnalisé vérifié | Votre domaine personnalisé doit être vérifié dans Microsoft 365 avant de pouvoir configurer DKIM |
| Accès au DNS | Vous devez pouvoir accéder à votre registraire de domaine ou à votre fournisseur d'hébergement DNS pour publier des enregistrements CNAME |
| SPF | SPF déjà être configuré pour votre domaine avant d'activer DKIM |
Si SPF pas encore configuré pour votre domaine, commencez par le configurer. Pour obtenir des instructions détaillées, consultez notre guide sur comment configurer le SPF.
Comment configurer DKIM pour Office 365 : étape par étape
La configuration de DKIM pour un domaine personnalisé dans Microsoft 365 comprend trois étapes principales : récupérer les valeurs de vos enregistrements CNAME sur le portail Microsoft Defender, publier ces enregistrements dans votre DNS et activer la signature DKIM une fois que les enregistrements ont été détectés.
La procédure est simple, mais exige de la précision à chaque étape. Les fautes de frappe dans vos valeurs CNAME constituent la cause la plus fréquente d'échec de la configuration DKIM ; prenez donc le temps de bien configurer votre DNS.
Étape 1 : Récupérez les valeurs de vos enregistrements CNAME DKIM dans Microsoft 365
Microsoft 365 génère les valeurs exactes des enregistrements CNAME dont vous avez besoin pour les publier dans votre DNS. Pour les trouver :
- Connectez-vous au portail Microsoft Defender
- Accédez à Messagerie et collaboration > Politiques et règles > Politiques relatives aux menaces
- Sélectionner Paramètres d'authentification des e-mails
- Cliquez sur le onglet onglet
- Sélectionnez votre domaine personnalisé dans la liste
- Ouvrez le menu déroulant des détails de ce domaine
Le portail affichera les deux valeurs d'enregistrement CNAME dont vous avez besoin. Si le protocole DKIM ne peut pas encore être activé, le portail indiquera les valeurs à utiliser dans les enregistrements CNAME.
La syntaxe de base des enregistrements CNAME DKIM pour les domaines personnalisés respecte le format suivant :
| Nom d'hôte | Renvoie vers |
|---|---|
| selector1._domainkey.votredomaine.com | selector1-votredomaine-com._domainkey.votrenomd'tenant.onmicrosoft.com |
| selector2._domainkey.votredomaine.com | selector2-votredomaine-com._domainkey.votrenomd'locataire.onmicrosoft.com |
Utilisez toujours les valeurs exactes indiquées dans le portail Defender pour votre domaine et votre tenant spécifiques, et non un modèle générique.
Étape 2 : Créez les enregistrements CNAME dans votre DNS
Connectez-vous à votre registraire de domaine ou à votre fournisseur d'hébergement DNS, puis créez deux nouveaux enregistrements CNAME en utilisant les valeurs de l'étape précédente.
Points essentiels à vérifier lors de l'ajout des enregistrements :
- Le type d'enregistrement doit être défini sur CNAME, et non TXT ou tout autre type
- Les valeurs des noms d'hôte doivent inclure le préfixe complet du sélecteur : selector1._domainkey et selector2._domainkey
- Vérifiez attentivement qu'il n'y a pas de fautes de frappe dans les valeurs CNAME. Les erreurs commises par le registraire de domaine sont la cause la plus fréquente d'échec de la configuration DKIM
- N'ajoutez pas plusieurs entrées contradictoires pour un même nom d'hôte
La propagation des modifications DNS à l'échelle mondiale peut prendre jusqu'à 48 heures, même si cela se fait souvent beaucoup plus rapidement. Il faut compter entre quelques minutes et quelques heures pour que Microsoft 365 détecte les nouveaux enregistrements CNAME.
Étape 3 : Activer la signature DKIM dans le portail Microsoft Defender
Une fois que vos enregistrements CNAME ont été publiés et propagés, revenez à l'onglet DKIM dans le portail Microsoft Defender :
- Choisissez votre nom de domaine personnalisé
- Ouvrir le menu déroulant des détails
- Basculer Activer les signatures DKIM pour ce domaine sur Activé
Pour que la signature DKIM soit activée, le statut du domaine dans l'onglet DKIM doit afficher des valeurs valides. Si le portail ne parvient pas à détecter vos enregistrements CNAME, il affichera un message d'erreur accompagné des valeurs attendues. Vérifiez bien l'exactitude de vos enregistrements DNS avant de réessayer.
Une fois DKIM activé, la mise à jour du statut et la confirmation de la les signatures DKIM sont bien appliquées aux messages sortants.
Étape 4 : Vérifiez que DKIM fonctionne
Pour vérifier que la signature DKIM est bien activée, envoyez un e-mail de test depuis votre domaine personnalisé vers une adresse Gmail, puis examinez l'en-tête du message :
- Ouvrez l'e-mail reçu dans Gmail
- Cliquez sur le menu à trois points et sélectionnez Afficher l'original
- Recherchez la DKIM-Signature dans l'en-tête brut du message
- Vérifiez que la signature DKIM est bien présente et que la valeur « d= » correspond à votre domaine personnalisé
- La valeur « s= » dans l'en-tête DKIM-Signature identifie le sélecteur actuellement utilisé
La présence d'un résultat DKIM positif dans l'en-tête du message confirme que la signature DKIM est active et fonctionne correctement pour votre domaine personnalisé.
| Vous avez besoin d'aide pour résoudre un problème lié à DKIM ? Les experts en sécurité des e-mails de PowerDMARC peuvent vous aider à résoudre rapidement vos problèmes de configuration DKIM. Commencez votre essai gratuit pour bénéficier d'une assistance experte et d'une surveillance automatisée. |
Comment configurer DKIM à l'aide de PowerShell
Pour les utilisateurs avancés et les administrateurs, Exchange Online PowerShell propose des outils puissants permettant de gérer et de configurer les paramètres de messagerie, y compris DKIM. L'utilisation des commandes PowerShell vous permet d'automatiser la configuration de DKIM, d'activer ou de désactiver la signature DKIM pour vos domaines personnalisés et de résoudre efficacement les problèmes, ce qui est particulièrement utile lors de la gestion de plusieurs domaines ou d'environnements complexes.
Vous pouvez utiliser PowerShell pour configurer DKIM dans Exchange Online pour Office 365, notamment si vous souhaitez l'activer pour plusieurs domaines. Pour ce faire :
1. Connectez-vous à Exchange Online
2. Extrayez vos sélecteurs Office 365 DKIM en exécutant le script suivant :
3. Ajoutez les enregistrements CNAME fournis par Office 365 à votre DNS.
4. Exécutez la commande suivante pour activer DKIM pour le domaine :
Éléments clés à prendre en compte et limites de la mise en œuvre du protocole DKIM
DKIM est un puissant protocole d'authentification des e-mails , mais il comporte des contraintes techniques qu'il est important de comprendre avant et pendant sa mise en œuvre.
En connaissant ces limites dès le départ, vous éviterez les pièges courants, planifierez correctement votre configuration et aurez des attentes réalistes quant à ce que DKIM peut et ne peut pas protéger à lui seul.
| Considérations | Ce qu'il faut savoir |
|---|---|
| Longueur de clé | Microsoft 365 utilise par défaut des clés cryptographiques de 2048 bits, ce qui assure une protection efficace des messages sortants |
| Propagation DNS | Une fois vos enregistrements CNAME publiés, il faut compter jusqu'à 48 heures pour que les modifications DNS se propagent à l'échelle mondiale, même si la propagation est souvent beaucoup plus rapide |
| Rotation des clés DKIM | Renouvelez vos clés DKIM tous les un à deux ans afin de garantir une sécurité optimale de vos e-mails et de réduire le risque d'exploitation des anciennes clés |
| Plusieurs domaines | Chaque domaine personnalisé utilisé pour envoyer des e-mails nécessite sa propre configuration DKIM. Le protocole DKIM ne s'applique pas automatiquement d'un domaine racine à ses sous-domaines |
| Domaines inutilisés | Ne publiez pas d'enregistrements DKIM pour les domaines qui n'envoient jamais d'e-mails. Cela pourrait permettre la validation DKIM de messages falsifiés envoyés à partir de ces domaines. |
Limites du DKIM
Il est tout aussi important de comprendre les limites du protocole DKIM que de savoir comment il fonctionne. C'est précisément en raison de ces limites que le protocole DKIM doit toujours être mis en œuvre en complément SPF DMARC, plutôt que d'être considéré comme une solution autonome.
Transfert d'e-mails
Les signatures DKIM peuvent être compromises lors du transfert d'e-mails. Lorsqu'un message est transféré, certains serveurs de messagerie modifient l'en-tête ou le corps du message d'une manière qui invalide la signature DKIM d'origine.
C'est l'une des principales raisons pour lesquelles DMARC exige une cohérence entre SPF DKIM plutôt que de se fonder uniquement sur l'un ou l'autre.
Modification du message
Toute modification apportée au contenu d'un e-mail après sa signature rendra la signature DKIM invalide. Cela inclut les modifications effectuées par les listes de diffusion, les passerelles de messagerie ou les outils de filtrage de contenu qui modifient le corps du message ou certains champs d'en-tête avant la livraison.
Services d'envoi tiers
Les services de messagerie externes qui envoient des e-mails en votre nom, tels que les plateformes marketing, les CRM et les outils d'assistance, peuvent nécessiter une configuration DKIM.
En règle générale, chaque expéditeur tiers doit signer les messages sortants en utilisant soit votre domaine, soit le sien, et cela doit être vérifié et pris en compte dans votre configuration globale d'authentification des e-mails.
Environnements hybrides
Les organisations qui utilisent à la fois Exchange sur site et Microsoft 365 dans un environnement hybride peuvent devoir prendre des précautions particulières lors de la configuration de la signature DKIM.
Les messages acheminés via des serveurs sur site avant d'atteindre Microsoft 365 peuvent se comporter différemment de ceux envoyés exclusivement via le cloud ; la configuration DKIM doit donc tenir compte de l'ensemble du flux de messages avant d'activer la signature.
Configurez correctement DKIM pour Office 365 avec PowerDMARC !
Pourquoi choisir PowerDMARC ?
« PowerDMARC a simplifié notre déploiement DKIM et nous a apporté une tranquillité d'esprit grâce à la surveillance automatisée. » – Responsable informatique, entreprise de technologie financière
|
Configurez DKIM et allez plus loin avec PowerDMARC
L'activation de la signature DKIM pour votre domaine personnalisé Microsoft 365 est une étape essentielle pour sécuriser votre messagerie. Cependant, le protocole DKIM ne constitue qu'une partie de la solution.
Sans DMARC pour garantir la conformité et offrir une visibilité sur votre trafic de messagerie, votre domaine reste exposé à l'usurpation d'identité et à la falsification d'adresse, que le protocole DKIM ne peut à lui seul empêcher.
PowerDMARC facilite la transition entre la configuration DKIM et la mise en œuvre complète de DMARC. Grâce à DMARC hébergé, des rapports automatisés et une plateforme conçue pour simplifier chaque étape de l'authentification des e-mails, PowerDMARC vous offre une visibilité totale sur les expéditeurs agissant en votre nom et vous fournit les outils nécessaires pour sécuriser définitivement votre domaine.
Essayez gratuitement essai DMARC pour découvrir dès aujourd'hui tous ses avantages.
FAQ
1. Comment puis-je m'assurer que DKIM est activé pour tous les domaines Exchange Online ?
Pour vous assurer que DKIM est activé pour tous vos domaines Exchange Online, vérifiez le portail Microsoft Defender sous Email & collaboration > Politiques et règles > Politiques contre les menaces > DKIM. Vérifiez que DKIM est activé pour chaque domaine personnalisé.
2. Comment renouveler les clés DKIM dans Office 365 ?
Pour renouveler les clés DKIM dans Office 365, vous devez générer de nouveaux enregistrements CNAME pour les nouvelles clés dans votre DNS, puis activer la signature DKIM pour ces nouvelles clés dans le portail Microsoft Defender. Ce processus contribue à renforcer la sécurité en mettant régulièrement à jour les clés cryptographiques qui signent vos e-mails.
3. À quelle fréquence faut-il renouveler les clés DKIM ?
Il est recommandé de renouveler vos clés DKIM tous les 1 à 2 ans, ou plus tôt si vous pensez que vos clés ont été compromises. Une rotation régulière permet de maintenir une sécurité élevée des messages électroniques et d'empêcher les pirates d'exploiter les anciennes clés.
4. Quelle est la longueur de clé recommandée pour les enregistrements DKIM ?
Microsoft Office 365 utilise par défaut des clés DKIM de 2048 bits, ce qui garantit une sécurité élevée et est considéré comme la norme actuelle du secteur. Cette longueur de clé offre une excellente protection contre les attaques cryptographiques tout en conservant de bonnes performances.
5. Comment SPF, le DKIM et le DMARC fonctionnent-ils ensemble pour protéger les e-mails ?
SPF les serveurs d'envoi, le protocole DKIM vérifie l'intégrité des messages grâce à des signatures numériques, et le protocole DMARC assure l'application des règles en combinant les résultats SPF DKIM. Ensemble, ils forment un cadre complet d'authentification des e-mails qui protège contre l'usurpation d'identité et le phishing, et garantit que les e-mails légitimes parviennent bien à leurs destinataires.
6. Que dois-je faire si les signatures DKIM n'apparaissent pas dans mes e-mails sortants ?
Si les signatures DKIM n'apparaissent pas dans vos e-mails sortants, vérifiez que le protocole DKIM est activé sur votre service d'envoi et que la clé publique DKIM correcte est publiée dans votre DNS. Assurez-vous également que le sélecteur correspond et que les modifications apportées au DNS ont bien été propagées. Si le problème persiste, vérifiez les paramètres de votre serveur de messagerie ou contactez votre fournisseur de messagerie.
Expert en sécurité des domaines et des courriels chez PowerDMARC
Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.
Derniers messages de Yunes Tarada (voir tous)
