Posts

La rotation des clés DKIM est le processus de mise à jour de vos clés DKIM. La période exacte n'est pas importante, mais le processus lui-même l'est. Pourquoi devez-vous le faire ? La rotation des clés consiste à créer de nouvelles clés et à mettre à jour les enregistrements DNS avec ces nouvelles clés. L'objectif de la rotation des clés DKIM est similaire à celui de la modification périodique des mots de passe : il s'agit d'une mesure de sécurité qui empêche les attaquants de se faire passer pour votre domaine et d'envoyer des spams ou des e-mails de phishing.

Voyons d'abord pourquoi vous utilisez des clés DKIM.

Pourquoi utilisez-vous les clés DKIM ?

DKIM est l'abréviation de DomainKeys Identified Mail. Il s'agit d'un moyen d'ajouter une couche de sécurité supplémentaire à votre serveur de courrier électronique afin que vos messages ne soient pas considérés comme du spam et ne finissent pas dans les dossiers de spam. La meilleure façon d'envisager DKIM est de le considérer comme un identifiant crypté joint à vos messages afin que les destinataires puissent vérifier que le message a bien été envoyé par vous, la personne dont il prétend provenir. Cet identifiant, ou clé, est ce qui leur permet de le vérifier.

Comment fonctionne DKIM ?

DKIM fonctionne en ajoutant cet identifiant à chaque courriel envoyé. Lorsqu'une personne reçoit un de ces courriels, elle peut vérifier l'en-tête ou le pied de page du message et y trouver une chaîne de chiffres et de lettres, qui est l'identifiant crypté ou la clé DKIM. Avant qu'un courriel ne soit envoyé à son destinataire, le serveur de messagerie de l'expéditeur signe chaque courriel avec une signature numérique, qui est ensuite validée par le serveur de messagerie du destinataire. Ce processus prouve que l'e-mail n'a pas été altéré ou modifié de quelque manière que ce soit. 

Lorsque vous envoyez votre courrier électronique, la signature est jointe en tant qu'en-tête à la fin du message. Les serveurs des destinataires utilisent des clés publiques (fournies par les propriétaires de domaines par le biais des enregistrements DNS) pour décrypter et vérifier ces signatures.

Pourquoi la rotation des clés DKIM est-elle importante pour la sécurité de votre domaine ?

La rotation des clés DKIM consiste à commencer à utiliser une nouvelle paire de clés privée/publique pour signer et authentifier votre message, puis à cesser d'utiliser l'ancienne paire de clés privée/publique.

Pourquoi est-ce important ? Si quelqu'un parvenait à accéder à votre clé privée, il pourrait l'utiliser pour envoyer des courriels frauduleux qui semblent provenir de vous ! Pour éviter ce genre d'activité malveillante, la meilleure pratique consiste à faire tourner vos clés tous les deux mois.

Pour mieux comprendre l'importance de la rotation des clés DKIM, prenons l'exemple suivant : 

Imaginons que vous envoyiez une campagne d'e-mails pour une vente de vacances dans votre magasin. Vous utilisez vos clés DKIM pour signer vos e-mails, mais si vous envoyez suffisamment d'e-mails en utilisant la même paire de clés au fil du temps, les mauvais acteurs peuvent finir par intercepter et décoder l'un d'entre eux, puisque chaque message utilise le même algorithme de hachage cryptographique. Une fois qu'ils ont votre clé publique, ils peuvent commencer à signer leurs courriels d'hameçonnage sans que vous le sachiez ! C'est pourquoi la rotation périodique des clés DKIM est cruciale pour la sécurité de votre domaine.

Comment pouvez-vous faire tourner vos clés DKIM ?

1. Rotation manuelle des clés DKIM

Vous pouvez faire tourner manuellement vos clés DKIM de temps en temps en créant de nouvelles clés pour votre domaine. Pour ce faire, suivez les étapes suivantes : 

  • Rendez-vous sur notre site gratuit générateur d'enregistrements DKIM outil
  • Saisissez les informations relatives à votre domaine et entrez le sélecteur DKIM de votre choix. 
  • Cliquez sur le bouton "Générer". 
  • Copiez votre toute nouvelle paire de clés DKIM 
  • La clé publique doit être publiée sur votre DNS, en remplacement de votre enregistrement précédent.
  • La clé privée doit être partagée avec votre ESP (si vous externalisez vos e-mails) ou téléchargée sur votre serveur d'e-mails (si vous gérez le transfert d'e-mails sur place). 

2. Délégation de la clé DKIM du sous-domaine

Les propriétaires de domaines peuvent externaliser la rotation des clés DKIM en permettant à un tiers de s'en charger pour eux. Dans ce cas, le propriétaire du domaine délègue un sous-domaine dédié à un fournisseur de messagerie et lui demande de générer une paire de clés DKIM en son nom. Les propriétaires peuvent ainsi éviter les tracas de la rotation des clés DKIM en confiant cette responsabilité à un tiers. 

Cela peut toutefois causer des problèmes de contournement de la politique avec les entrées DMARC. Il est recommandé que les clés tournantes soient surveillées et révisées par les contrôleurs de domaine afin de garantir un déploiement sans heurts et sans erreurs. 

3. Délégation de la clé DKIM CNAME

CNAME signifie "nom canonique". Il s'agit d'enregistrements DNS utilisés pour pointer vers les données d'un domaine externe. La délégation CNAME permet aux propriétaires de domaines de pointer vers les informations des enregistrements DKIM gérés par un tiers externe. Cette procédure est similaire à la délégation de sous-domaines, puisque le propriétaire du domaine n'a qu'à publier quelques enregistrements CNAME sur son DNS, tandis que l'infrastructure DKIM et la rotation des clés DKIM sont ensuite gérées par le tiers vers lequel l'enregistrement pointe. 

Par exemple, 

"domain.com" est le domaine à partir duquel les courriels de départ doivent être signés, et "third-party.com" est le fournisseur qui se chargera du processus de signature. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

L'enregistrement CNAME susmentionné doit être publié dans le DNS du propriétaire du domaine. 

Maintenant, s1.domain.com.third-party.com a déjà un enregistrement DKIM publié sur son DNS qui peut être : s1.domain.com.third-party.com TXT "v=DKIM1 ; p=MIG89hdg599...."

Ces informations seront utilisées pour signer les e-mails provenant de domain.com. 

Note: Vous devez publier plusieurs enregistrements DKIM (recommandé : au moins 3 enregistrements CNAME) avec différents sélecteurs sur votre DNS pour activer la rotation des clés DKIM. Cela permettra à votre fournisseur de passer d'une clé à l'autre pendant la signature et lui fournira d'autres options.

4. Rotation automatique des clés DKIM

La plupart des fournisseurs de messagerie et des prestataires de services de messagerie tiers permettent la rotation automatique des clés DKIM pour les clients. Par exemple, si vous utilisez Office 365 pour acheminer vos e-mails, vous serez heureux d'apprendre que Microsoft prend en charge la rotation automatique des clés DKIM pour ses utilisateurs d'Office 365. 

Nous avons couvert un document complet sur la façon d'activer la rotation des clés DKIM pour vos e-mails Office 365 sur notre base de connaissances. 

Avantages de la rotation automatique de vos clés DKIM

  • Vous n'avez rien à faire de votre côté si votre fournisseur permet la rotation automatique des clés DKIM. Tout est géré par lui. 
  • Les configurations manuelles sont sujettes aux erreurs humaines.
  • La rotation automatique des touches est rapide et efficace et ne nécessite aucune intervention de votre part. 
  • Le système de gestion DKIM est entièrement externalisé et géré par un tiers.

Déploiement d'une stratégie de rotation des clés DKIM

Nous l'appelons le "3 D de la rotation des clés DKIM" :

  • Discuter de 
  • Décider
  • Déployer 

Voilà qui résume une stratégie efficace de rotation des clés DKIM pour vos domaines. Lorsque vous faites appel à un service tiers pour vos e-mails et que votre fournisseur gère la rotation pour vous, assurez-vous d'avoir une discussion ouverte et transparente sur le moment et la fréquence de rotation de vos clés. Vous devriez avoir votre mot à dire concernant les délais ainsi que la taille que vous souhaitez utiliser pour votre clé de sélection (si vous souhaitez utiliser 1024 bits ou 2048 bits pour plus de sécurité). 

Une fois la phase de discussion passée, vous et votre fournisseur devez décider mutuellement de votre stratégie et enfin procéder à son déploiement.

En raison des menaces qui se cachent en ligne, les entreprises doivent prouver qu'elles sont légitimes en utilisant des méthodes d'authentification fortes. Une méthode courante consiste à utiliser DKIM (DomainKeys Identified Mail), une technologie d'authentification des e-mails qui utilise des clés de chiffrement pour vérifier le domaine de l'expéditeur. DKIM, ainsi que SPF et DMARC a considérablement amélioré la sécurité du courrier électronique des organisations dans le monde entier.

Pour en savoir plus qu'est-ce que DKIM.

Lors de la configuration de DKIM pour vos emails, l'une des principales décisions que vous devez prendre est de déterminer la longueur de la clé DKIM. Dans cet article, nous allons vous montrer la longueur de clé recommandée pour une meilleure protection et comment mettre à jour vos clés dans Exchange Online Powershell.

Importance de mettre à jour la longueur de votre clé DKIM

Le choix entre 1024 bits et 2048 bits est une décision importante qui doit être prise lors du choix de votre clé DKIM. Pendant des années, les ICP (infrastructures à clé publique) ont utilisé des clés DKIM de 1024 bits pour leur sécurité. Toutefois, la technologie devenant de plus en plus complexe, les pirates s'efforcent de trouver de nouvelles méthodes pour compromettre la sécurité. C'est pourquoi la longueur des clés est devenue de plus en plus importante.

Les pirates continuent d'inventer de meilleurs moyens de casser les clés DKIM. La longueur de la clé est directement liée à la difficulté de casser l'authentification. L'utilisation d'une clé de 2048 bits offre une protection renforcée et une meilleure sécurité contre les attaques actuelles et futures, ce qui souligne l'importance de mettre à jour votre bitness.

Mise à jour manuelle de vos clés DKIM dans Exchange Online Powershell

  • Commencez par vous connecter à Microsoft Office 365 PowerShell en tant qu'administrateur (assurez-vous que votre compte Powershell est configuré pour exécuter des scripts Powershell signés).
  • Dans le cas où DKIM est préconfiguré, pour mettre à jour vos clés à 2048 bits, exécutez la commande suivante sur Powershell : 

Rotate-DkimSigningConfig -KeySize 2048 -Identity {Guid de la configuration de signature existante}

  • Si vous n'avez pas encore mis en œuvre DKIM, exécutez la commande suivante dans Powershell : 

New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

  • Enfin, pour vérifier que vous avez bien configuré DKIM avec un bitness amélioré de 2048 bits, exécutez la commande suivante :

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Note: Assurez-vous que vous êtes connecté à Powershell tout au long de la réalisation de la procédure. L'implémentation des changements peut prendre jusqu'à 72 heures.

DKIM n'est pas suffisant pour protéger votre domaine contre l'usurpation d'identité et les BEC. Améliorez la sécurité des e-mails de votre domaine en configurant le protocole DMARC pour Office 365.