Qu'est-ce que DKIM et comment fonctionne-t-il ?

DKIM est un moyen efficace de s'assurer que vos courriels ne sont pas altérés lorsqu'ils sont en cours d'acheminement. Les méthodes et protocoles d'authentification par domaine sont très efficaces contre les cyberattaques par courrier électronique, qui sont devenues de plus en plus courantes, notamment avec l'essor du travail à distance. Le courrier électronique reste une forme dominante de communication professionnelle, mais c'est aussi un vecteur essentiel d'attaques telles que le phishing, d'où l'importance d'une vérification rigoureuse. Il est important de noter que l'authentification par courrier électronique n'est pas infaillible et que les attaquants peuvent toujours trouver des moyens de contourner ces mesures. Il convient donc d'être prudent lors de l'ouverture des messages électroniques, en particulier ceux qui contiennent des liens ou des pièces jointes. Le protocole DKIM a été conçu pour lutter contre ces menaces.

Il est basé sur la cryptographie à clé publique et fonctionne en ajoutant une signature numérique à l'en-tête du message, signant généralement des en-têtes tels que "From", "To", "Subject" et "Date". Lorsque le destinataire reçoit un courriel avec DKIM, il vérifie la signature numérique à l'aide de la clé publique publiée dans le DNS de l'expéditeur pour s'assurer qu'elle est valide. Si c'est le cas, il sait que le message n'a pas été modifié pendant le transfert et qu'il provient réellement du domaine revendiqué.

Qu'est-ce que DKIM ?

DKIM est l'acronyme de DomainKeys Identified Mail. Il s'agit d'un protocole d'authentification des courriers électroniques qui permet aux expéditeurs d'empêcher que le contenu des courriers électroniques ne soit modifié au cours du processus de distribution. Né de la fusion de DomainKeys (de Yahoo) et de Identified Internet Mail (de Cisco) en 2004, le DKIM est devenu une technique largement adoptée.

Il est basé sur la cryptographie à clé publique et fonctionne en ajoutant une signature numérique à l'en-tête du message. Lorsque le destinataire reçoit un courrier électronique avec DKIM, il vérifie la signature numérique pour s'assurer qu'elle est valide. Si c'est le cas, il sait que le message n'a pas été modifié pendant le transfert. Les principaux fournisseurs comme Google, Microsoft et Yahoo vérifient la présence de signatures DKIM dans le courrier entrant. Par exemple, les nouveaux expéditeurs qui transmettent des courriels aux utilisateurs de Gmail sont désormais tenus par Google de mettre en place au moins SPF ou DKIM. Google effectue des contrôles aléatoires sur les messages entrants, et les courriels qui ne sont pas accompagnés de ces méthodes d'authentification peuvent être rejetés avec une erreur 5.7.26 ou être marqués comme étant du spam.

Qu'est-ce qu'un en-tête DKIM ?

Un en-tête DKIM est une partie d'un courrier électronique qui contient la signature cryptographique DKIM. Cette signature est ajoutée par le serveur de messagerie de l'expéditeur, en particulier l'agent de transfert de courrier (MTA), qui crée une chaîne de caractères unique appelée valeur de hachage sur la base du contenu et des en-têtes du message. Au cours du processus d'authentification, le champ de signature de l'en-tête DKIM permet de vérifier l'authenticité des messages sortants. Il aide les destinataires à confirmer que le courriel est authentique et provient d'un expéditeur légitime.

Que sont les clés DKIM ?

Les clés DKIM sont des paires de clés cryptographiques privées et publiques utilisées pour l'authentification DKIM.

• Clé publique: La clé publique DKIM est stockée dans le DNS de l'expéditeur (sous la forme d'un enregistrement TXT) et est utilisée par les serveurs de messagerie destinataires pour vérifier les signatures DKIM.
• Clé privée: La clé privée DKIM est conservée en toute sécurité sur le serveur de messagerie de l'expéditeur et est utilisée pour générer et ajouter la signature numérique à chaque message sortant dans le cadre de l'en-tête DKIM.

Comment fonctionne DKIM ?

Au cours du processus d'authentification DKIM, le domaine de l'expéditeur génère une paire de clés cryptographiques et, lorsqu'un courrier électronique est envoyé, le serveur d'envoi (MTA) ajoute une signature DKIM à l'en-tête du message à l'aide de la clé privée. Cette signature comprend une valeur de hachage de certaines parties du courrier électronique.

Le domaine de l'expéditeur publie la clé publique correspondante dans un enregistrement DNS. Lors de la réception du courrier électronique, le serveur du destinataire extrait la signature DKIM de l'en-tête, demande la clé publique au DNS et l'utilise pour décrypter la valeur de hachage de la signature. Le serveur destinataire calcule ensuite indépendamment sa propre valeur de hachage à partir des en-têtes et du corps du message reçu. Il compare cette valeur de hachage recalculée avec la valeur de hachage décryptée de la signature. Si les deux valeurs de hachage correspondent, la signature est valide, confirmant que le courrier électronique est authentique, qu'il n'a pas été modifié et qu'il a été envoyé par le domaine répertorié, ce qui le protège contre la falsification et l'altération.

Comment savoir si DKIM fonctionne ?

Pour vérifier que DKIM fonctionne bien pour votre domaine, vous pouvez utiliser un outil de vérification DKIM pour vérifier votre configuration. Essayez d'utiliser notre outil gratuit de vérification DKIM ici. En outre, surveillez les rapports DMARC agrégés, qui donnent un aperçu des résultats de l'authentification DKIM pour les courriers électroniques prétendant provenir de votre domaine. La vérification des journaux de requêtes DNS pour vos enregistrements DKIM peut également indiquer la fréquence à laquelle les serveurs de réception récupèrent votre clé publique.

Qu'est-ce qu'un enregistrement DKIM ?

Un enregistrement DKIM est un ensemble d'instructions au niveau de la machine publiées sous forme d'enregistrement TXT dans les paramètres DNS de votre domaine. Il contient la clé publique correspondant à la clé privée utilisée pour la signature. Cet enregistrement indique à l'internet que les messages prétendant provenir de votre domaine peuvent être vérifiés à l'aide de cette clé, ce qui permet aux serveurs de messagerie de confirmer qu'un message n'a pas été modifié en cours de route et qu'il provient d'une source authentifiée.

Signature DKIM

A signature DKIM est une signature cryptographique ajoutée à l'en-tête d'un message électronique qui en vérifie l'authenticité et garantit qu'il n'a pas été altéré pendant son acheminement. Elle est générée à l'aide de la clé privée et vérifiée à l'aide de la clé publique figurant dans l'enregistrement DKIM.

Sélecteur DKIM

Sélecteur DKIM est un identifiant unique utilisé pour spécifier la paire de clés DKIM utilisée pour signer le message, ce qui permet aux domaines de gérer plusieurs clés (par exemple, pour différents services d'envoi). Il s'agit d'une chaîne alphanumérique définie dans la balise s= de l'en-tête de votre message DKIM. Le sélecteur doit être distinct et différent pour chaque fournisseur de courrier électronique que vous utilisez.

Par exemple, dans le nom de l'enregistrement DKIM s1._domainkey.domain.com, s1 est votre sélecteur.

Exemple d'enregistrement DKIM

v=DKIM1 ;
k=rsa ; p=MIGfMA0GCSqGSIb3DQEBA...
Les enregistrements DKIM peuvent également inclure une balise "t=y", indiquant que le domaine est en mode test ; cette balise doit être utilisée temporairement lors de la configuration initiale et supprimée lors du déploiement complet.

Quels sont les avantages de DKIM ?

Les entreprises ont besoin de DKIM pour authentifier leurs messages électroniques sortants et garantir leur légitimité. DKIM joue un rôle essentiel en contournant les attaques de type "Man-in-the-Middle" (MITM) et en empêchant les modifications injustifiées apportées au contenu des courriels par des tiers. Il contribue à protéger les relations avec les clients et la réputation de la marque en garantissant la fiabilité des messages électroniques.

DKIM empêche la modification des messages

Si vous vous demandez ce que fait DKIM pour prévenir la fraude par courrier électronique, sachez que la signature numérique est une sécurité intégrée. Si le courrier électronique a été intercepté et modifié, la vérification de la signature échoue car le hachage recalculé ne correspond pas au hachage décrypté de la signature, de sorte que le courrier électronique est rejeté ou signalé comme suspect.

Minimiser l'usurpation d'identité avec un domaine DKIM

Un courriel envoyé par un pirate tentant d'usurper l'identité de votre domaine ne comportera pas de signature valide générée à l'aide de votre clé privée. Il échouera au contrôle d'authentification DKIM, ce qui donne un autre aperçu de ce contre quoi DKIM protège votre organisation.

Consultez les dernières statistiques sur la fraude par courrier électronique ici.

DKIM réduit le spam

La raison pour laquelle la norme DKIM est connue est la réduction du nombre de courriels non sollicités. En configurant correctement le DKIM, vous augmentez la fiabilité de vos messages électroniques, ce qui réduit considérablement les risques que vos messages légitimes atterrissent dans le dossier spam, ce qui est particulièrement bénéfique pour les campagnes de marketing par courrier électronique.

DKIM améliore la délivrabilité du courrier électronique

En outre, la mise en place de DKIM améliore la réputation de l'expéditeur en tant que source vérifiée aux yeux des fournisseurs d'accès à Internet (FAI), des clients, des partenaires et d'autres services destinataires. Cela contribue à améliorer la délivrabilité des courriels et à générer des revenus en garantissant que les communications importantes parviennent à leurs destinataires. La délivrabilité des courriels, c'est-à-dire la capacité d'un courriel à atteindre la boîte de réception du destinataire plutôt que d'être marqué comme spam ou de rebondir, est essentielle pour le marketing et la communication. Des indicateurs clés tels que le taux de rebond, le taux d'ouverture, le taux de clics et les plaintes pour spam permettent d'évaluer l'engagement. Une mauvaise délivrabilité peut entraîner un gaspillage des investissements marketing, des inscriptions sur des listes de blocage telles que Spamhaus, et avoir une incidence sur le service à la clientèle. Les fournisseurs de boîtes aux lettres se concentrent de plus en plus sur les signaux d'engagement des utilisateurs (ouvertures, clics, réponses, taux de plaintes) pour filtrer les courriels, ce qui souligne la nécessité d'une bonne délivrabilité. Les courriels délivrés avec succès grâce à la vérification DKIM contribuent à augmenter les taux de clics et d'ouverture, ce qui peut entraîner une augmentation des conversions et des ventes.

Quelles sont les limites de DKIM ?

DKIM est extrêmement important pour l'authentification et l'intégrité des messages, mais il n'est pas parfait. Voici quelques-unes de ses limites :

• DKIM n'authentifie pas l'expéditeur (l'adresse "From") visible par l'utilisateur final directement par rapport au domaine de signature dans tous les cas (cette vérification de l'alignement fait partie de DMARC). Il authentifie principalement que le courrier électronique a été autorisé par le domaine figurant dans la signature DKIM (balise d=) et qu'il n'a pas été modifié. Ainsi, si quelqu'un obtient un accès non autorisé à un compte ou à un serveur légitime, il peut envoyer des courriels signés DKIM à partir de votre domaine.
• DKIM repose sur la publication et la récupération correctes des enregistrements DNS. Si vos enregistrements DNS publics ne sont pas configurés correctement, s'ils sont mal configurés ou s'ils subissent des retards de propagation, il peut en résulter échecs d'authentification DKIM même pour des courriels légitimes.
• La norme DKIM ne dicte pas à elle seule la politique à suivre en cas d'échec de l'authentification. Il se contente de fournir un résultat de type "réussite/échec". Il n'empêche pas intrinsèquement le spam ou les tentatives d'hameçonnage, mais il rend la falsification plus difficile. C'est pourquoi il est essentiel, pour une protection complète, de l'associer à DMARC, qui utilise les résultats de DKIM (et/ou SPF) pour mettre en œuvre une politique.

En outre, la mise en œuvre de DKIM peut présenter des difficultés pratiques, notamment une complexité technique nécessitant une expertise en matière de gestion des clés et de configuration DNS, des problèmes potentiels de délivrabilité des messages électroniques en cas de mauvaise configuration, des difficultés à gérer les clés à grande échelle et à assurer la compatibilité avec les services d'envoi de messages électroniques de tiers.

Associer DKIM et DMARC

Il est inutile de comparer DKIM et DM ARC, car l'association de DKIM et de DMARC (et de SPF) est idéale pour assurer une protection complète tout en garantissant une bonne distribution des messages électroniques ! Si vous utilisez les deux, DMARC exploite les résultats d'authentification de DKIM (ainsi que ceux de SPF) et ajoute des contrôles d'alignement ainsi que l'application de politiques (comme le rejet ou la mise en quarantaine des échecs), ce qui fait qu'il est beaucoup plus difficile pour les courriels usurpés d'atteindre la boîte de réception. Il est donc beaucoup plus difficile pour les courriels usurpés d'atteindre la boîte de réception. Cela permet d'éviter que les filtres anti-spam ne les mettent sur liste noire, ce qui signifie que vos courriels légitimes seront délivrés de manière plus fiable.

En outre, l'utilisation conjointe de DKIM et de DMARC contribue à protéger votre marque : les spammeurs essaient souvent d'usurper des domaines dont ils pensent qu'ils seront moins susceptibles de les signaler comme étant des spams. Mais si les domaines qu'ils usurpent sont dotés de DKIM et d'une politique DMARC, il leur sera beaucoup plus difficile de s'en sortir et la réputation de votre domaine sera protégée.

La beauté de cette association réside dans le fait qu'ils fonctionnent ensemble de manière transparente pour fournir plusieurs couches de protection contre les tentatives d'usurpation d'identité, tout en donnant aux expéditeurs le contrôle et la visibilité (grâce aux rapports DMARC) sur la manière dont leur courrier est traité et authentifié sur l'internet.

Activer DKIM avec PowerDMARC

PowerDMARC permet aux propriétaires de domaines de configurer facilement DKIM en même temps que SPF et DMARC, en offrant des fonctions pratiques de surveillance et de reporting. Cela leur permet de rester au fait des résultats d'authentification et des erreurs à tout moment, garantissant ainsi la délivrabilité tout en luttant activement contre les cyberattaques.

Notre plateforme est facile à utiliser pour les entreprises de toutes tailles et peut gérer plusieurs domaines et d'importants volumes de trafic d'e-mails. Nous fournissons une solution DKIM efficace associée à plusieurs autres protocoles d'authentification d'emails essentiels pour une protection à 360 degrés contre la fraude par email.

Obtenez vos certificats DKIM et DMARC en quelques minutes avec PowerDMARC !

Foire aux questions sur DKIM

Comment configurer DKIM ?

Pour configurer DKIM, vous devez générer une clé privée et une paire de clés publiques correspondantes, souvent à l'aide d'un outil tel qu'un générateur d'enregistrements DKIM ou par l'intermédiaire de votre fournisseur de services de messagerie. Il est recommandé d'utiliser des clés DKIM d'au moins 1024 bits, les clés de 2048 bits étant préférables pour une plus grande sécurité. Effectuez une rotation régulière de vos clés DKIM et envisagez d'utiliser des clés uniques pour différents services d'envoi ou clients. Veillez à ce que la période d'expiration de la signature numérique, si elle est définie, soit plus longue que la période de rotation de la clé, et n'oubliez pas de révoquer les anciennes clés. Configurez ensuite votre ou vos serveurs de messagerie pour qu'ils signent les messages sortants à l'aide de la clé privée et publiez la clé publique sous la forme d'un enregistrement DNS TXT sous un nom de sélecteur spécifique à votre domaine (par exemple, selector._domainkey.yourdomain.com).

Comment vérifier votre enregistrement DKIM ?

Pour vérifier votre enregistrement DKIM, vous pouvez utiliser notre outil gratuit vérificateur DKIM gratuit. Il vous suffit de saisir votre nom de domaine et le sélecteur DKIM spécifique que vous souhaitez vérifier (s'il est connu). L'outil interrogera le DNS et indiquera si l'enregistrement DKIM est correctement formaté, publié et récupérable, ou si des problèmes ont été détectés.

Quelle est la différence entre SPF et DKIM ?

Bien qu'il s'agisse dans les deux cas de protocoles d'authentification du courrier électronique utilisés par DMARC, SPF (Sender Policy Framework) se concentre sur l'autorisation des adresses IP autorisées à envoyer du courrier électronique *pour* un domaine, en vérifiant le chemin d'accès du message. DKIM se concentre sur la vérification de l'intégrité du contenu du courrier électronique et confirme que le message a été autorisé par le propriétaire du domaine au moyen d'une signature cryptographique, en vérifiant l'origine du message et en s'assurant qu'il n'a pas été modifié. Les signatures DKIM survivent au transfert, alors que SPF est souvent interrompu pendant le transfert.

Puis-je utiliser la même clé DKIM pour plusieurs domaines ?

Non, vous ne pouvez pas utiliser la même paire de clés DKIM pour plusieurs domaines distincts. Chaque domaine nécessite sa propre paire de clés DKIM (clé privée pour la signature, clé publique publiée dans le DNS du domaine). Cela garantit que les signatures DKIM sont spécifiques au domaine et maintient la sécurité et l'intégrité de l'authentification du courrier électronique pour chaque domaine individuel. Vous pouvez toutefois utiliser la même paire de clés pour différents sélecteurs au sein d'un même domaine si nécessaire, bien qu'il soit courant d'utiliser des clés distinctes pour chaque service d'envoi.

En savoir plus

Office 365 utilise-t-il DKIM ?

Oui, Microsoft 365 (anciennement Office 365) supporte et utilise DKIM. Par défaut, Microsoft 365 utilise une configuration DKIM partagée pour les domaines initiaux, mais il est fortement recommandé de configurer la signature DKIM personnalisée pour votre ou vos propres domaines en générant les enregistrements CNAME nécessaires dans votre DNS selon les instructions de Microsoft, ce qui leur permet de gérer les clés et le processus de signature.

Puis-je utiliser DMARC sans DKIM ?

Techniquement, oui, vous pouvez mettre en œuvre DMARC en utilisant uniquement SPF pour l'authentification. Toutefois, cela n'est pas du tout recommandé. DMARC repose sur le passage et l'alignement de SPF ou de DKIM (ou des deux). Le fait de s'appuyer uniquement sur SPF rend votre authentification fragile, car SPF échoue souvent lors de flux de courrier indirects (comme le transfert). La mise en œuvre de SPF et de DKIM offre une redondance et une couverture d'authentification beaucoup plus solide, nécessaire au bon fonctionnement de DMARC.

Ai-je besoin de DMARC si j'ai mis en place DKIM ?

Bien que DKIM fournisse une vérification et une authentification cruciales de l'intégrité des messages, il n'indique pas aux serveurs de réception ce qu'il faut faire en cas d'échec de la vérification, et ne vérifie pas non plus que le domaine de signature correspond au domaine "From" visible par l'utilisateur. A politique DMARC ajoute cette couche essentielle : elle vérifie l'alignement entre le domaine de signature DKIM (d=) et le domaine "From", spécifie s'il faut quarantine ou rejeter les messages qui échouent à l'authentification et à l'alignement, et fournit des rapports sur les résultats de l'authentification. La combinaison de DKIM (et SPF) et de DMARC permet d'améliorer considérablement la sécurité du courrier électronique, la protection de la marque et la délivrabilité.

Quels sont les problèmes liés au courrier identifié par DomainKeys ?

Les problèmes DKIM les plus courants sont les suivants : syntaxe ou publication incorrecte des enregistrements DNS ; utilisation d'un mauvais sélecteur ; compromission de la clé privée ou non-concordance avec la clé publique ; problèmes de rotation des clés (clés expirées) ; modification des messages par des serveurs intermédiaires (comme les listes de diffusion) entraînant une rupture de la signature ; mauvais alignement entre le domaine de signature DKIM et le domaine de l'en-tête From : (ce qui a une incidence sur DMARC) ; et absence de prise en charge DKIM ou mauvaise configuration par des services d'envoi tiers. Chacun de ces problèmes peut entraîner des échecs d'authentification DKIM et avoir un impact négatif sur la délivrabilité des messages électroniques.

Combien de temps faut-il pour créer un enregistrement DKIM ?

La génération des clés et la configuration du serveur de messagerie peuvent prendre de quelques minutes à quelques heures selon le système. La publication de l'enregistrement de la clé publique DKIM dans votre DNS est généralement rapide, mais il faut compter de quelques minutes à 48-72 heures pour que les modifications du DNS se propagent complètement sur l'internet, en fonction de votre fournisseur de DNS et des paramètres TTL. Après l'installation, il est recommandé de procéder à une surveillance continue (idéalement via les rapports DMARC) pour s'assurer que la norme DKIM continue de fonctionner correctement.

Que se passe-t-il en cas d'échec du DKIM ?

Lorsqu'une vérification DKIM échoue échoue, cela signifie que le message a été altéré en cours de route ou qu'il n'a pas été correctement signé par le domaine d'envoi déclaré. Les serveurs récepteurs peuvent traiter le message avec méfiance, le signalant éventuellement comme du spam ou du courrier indésirable. Si une politique DMARC est publiée pour le domaine et que l'échec entraîne également un échec DMARC (en raison de l'absence d'une SPF réussie/alignée), le courrier électronique peut être mis en quarantaine ou rejeté entièrement sur la base de la politique(quarantine ou p=rejet). La mise en œuvre de SPF fournit un mécanisme d'authentification de secours.

Ai-je besoin de SPF et DKIM ?

Bien que SPF et DKIM soient des protocoles indépendants qui peuvent, dans une certaine mesure, authentifier les courriers électroniques de manière autonome, l'utilisation des deux protocoles est la meilleure pratique du secteur et est fortement recommandée pour une authentification solide des courriers électroniques. Ils traitent des aspects différents (IP de l'expéditeur et intégrité/origine du message). Mise en œuvre de SPF, DKIM et DMARC crée un cadre puissant qui renforce considérablement vos défenses contre l'usurpation d'identité et les attaques par hameçonnage, améliore la délivrabilité et protège la réputation de votre domaine.