Tags DKIM : Balises obligatoires et facultatives

Blog

Les balises DKIM sont des mécanismes ou des commandes utilisés dans l'enregistrement DKIM pour désigner des éléments d'information spécifiques sur le protocole DKIM configuré de l'expéditeur.

par Ahona Rudra

Temps de lecture : 5 min
Tags DKIM : Balises obligatoires et facultatives
Table des matières-

DKIM est l'abréviation de DomainKeys Identified Mail, un protocole d'authentification des courriels qui fonctionne à l'aide d'une signature numérique cryptée. Il s'agit également d'un protocole complémentaire qui peut être associé à votre politique DMARC.

Le protocole DKIM peut être mis en œuvre en définissant un enregistrement dans votre DNS, composé d'une combinaison de balises DKIM et de leurs valeurs correspondantes. Dans ce blog, nous allons nous plonger dans des explications détaillées des balises de signature DKIM requises, optionnelles, recommandées et déconseillées, avec des exemples. 

Que sont les balises DKIM ?

Les balises DKIM sont des instructions dans l'enregistrement DKIM spécifiant des détails sur l'expéditeur pour la vérification de la signature numérique. 

Une signature DKIM correctement configurée permet aux fournisseurs de services de messagerie d'authentifier vos messages électroniques. Des géants de la technologie comme Google et Yahoo ont imposé ce protocole aux expéditeurs de courrier électronique afin de lutter contre le spam, l'hameçonnage et l'usurpation d'identité.

Fonctionnement des balises de signature DKIM

Le serveur du destinataire utilise les données de l'en-tête du courrier électronique et les données officielles du domaine DKIM du domaine pour vérifier l'authenticité des messages électroniques. Un en-tête de signature DKIM est ajouté au courrier électronique sortant. Plusieurs balises de signature DKIM contiennent des informations sur l'expéditeur afin que le serveur du destinataire sache où chercher pour vérifier un message électronique.

Ces balises de signature DKIM sont le composant informatif qui affiche des valeurs spécifiques, chacune représentant des détails sur le corps du courrier électronique. Tous les DomainKeys disposent d'une clé privée utilisée pour le cryptage des signatures numériques DKIM. En outre, ils ont également une clé publique publiée dans le DNS du domaine.

Ainsi, lorsque des courriels sont envoyés à partir de votre domaine, la clé privée des courriels doit correspondre à la clé publique. Dans le cas contraire, le message n'atteindra pas les boîtes aux lettres des destinataires. Ce processus est très rapide et ne prend pas plus de quelques secondes. Toutefois, il ne fonctionne que si vous générez un enregistrement DKIM et ajoutez les balises DNS DKIM correctes.

Explication des balises d'enregistrement DKIM

Les balises des enregistrements DNS DKIM sont des lettres simples utilisées comme commandes et suivies d'un signe égal. Toutes les lettres ont une balise DKIM qui désigne des valeurs spécifiques représentant des éléments d'information sur l'expéditeur. Chaque balise de signature DKIM comprend des détails sur l'emplacement de la clé publique utilisée pour crypter les messages.

Types de balises DKIM 

Vous pouvez classer les balises de signature DKIM en "balises obligatoires" et "balises facultatives". La valeur de chacune d'entre elles est importante pour la création d'un enregistrement DKIM. D'autres balises de signature DKIM sont classées comme "non requises" ou "non recommandées". Vous pouvez les définir en fonction de leur utilité ou des exigences de chaque domaine. Vous avez besoin des bonnes balises d'authentification DKIM lors de l'ajout d'un enregistrement DKIM à votre DNS. Découvrons ces balises en détail.

Balises DKIM obligatoires 

Les balises DKIM obligatoires sont si importantes pour l'en-tête de signature DKIM que votre message ne passera pas le test de vérification sans elles. La boîte aux lettres du destinataire rejettera les messages sans ces balises. 

  • v= Il s'agit de la balise de version DKIM qui indique la norme DKIM utilisée. Sa valeur est toujours fixée à 1.
  • a= Ce tag DKIM indique l'algorithme cryptographique utilisé pour créer la signature. La valeur utilisée est rsa-sha256. Si votre ordinateur a des capacités CPU réduites, vous pouvez utiliser rsa-sha1. Cependant, ce n'est pas recommandé pour des raisons de sécurité. 
  • s= Il indique la balise de sélection DKIM utilisée pour trouver la clé publique dans le DNS d'un domaine. Vous pouvez saisir un nom ou un numéro dans ce champ.
  • d= La balise DKIM domain affiche le domaine utilisé avec l'enregistrement selector pour localiser les clés publiques. Sa valeur est la même que le nom de domaine utilisé par l'expéditeur.
  • b= La balise DKIM body est utilisée pour les données de hachage de l'en-tête. Elle est généralement associée à la balise h= pour la rédaction de la signature DKIM. Elle est toujours encodée en Base64. 
  • bh= La balise de hachage du corps DKIM contient le hachage calculé des messages électroniques. Sa valeur est une chaîne de caractères indiquant un hachage déterminé par un algorithme.
  • h= Cette balise fait appel aux en-têtes vus dans l'algorithme de signature pour générer le hachage de la balise b=. Sa valeur ne peut être ni supprimée ni modifiée. 

Balises DKIM facultatives

Outre les balises de la signature DKIM, il existe plusieurs balises facultatives. Cela signifie que si votre signature DKIM ne comporte pas ces balises, aucune erreur ne se produira au moment de la vérification. Toutefois, les experts recommandent de les utiliser pour éviter l'usurpation d'adresses électroniques. 

Les usurpateurs n'attribuent pas de valeurs temporelles, contrairement aux véritables courriels d'entreprise. Ainsi, si votre boîte de réception remarque des valeurs temporelles incorrectes pour un expéditeur, il est plus probable qu'elle rejette complètement l'e-mail. 

Il est conseillé d'utiliser ces balises d'enregistrement DKIM recommandées, car elles aident le serveur du destinataire dans le processus de vérification. 

  • g= Il fonctionne comme la granularité de votre clé publique et sa valeur est la même que la partie locale de l'étiquette i=. Vous pouvez également saisir un astérisque (*) comme caractère de remplacement. Ce tag DKIM empêche les adresses de signature d'utiliser les enregistrements du sélecteur. Tout courriel dont l'adresse de signature ne correspond pas à cette balise échoue à la vérification. 
  • h= Indique un algorithme de hachage acceptable et a pour valeurs spécifiques "sha1" et "sha256". Les signataires et les vérificateurs en ont besoin.
  • k= C'est le type de clé. Sa valeur par défaut est 'rsa', ce qui devrait être supporté par les signataires et les vérificateurs.
  • n= Les administrateurs utilisent cette balise pour ajouter des notes lisibles par l'homme.
  • t= Cette balise est importante car elle fonctionne comme un horodatage de signature indiquant l'heure d'envoi de l'e-mail. Le format de cette balise est en secondes numérotées à partir de 00:00:00 le 1er janvier 1970 (UTC).
  • x= Cette balise indique la date d'expiration de la signature. Il complète le tag t= en attribuant une date de livraison. 
  • t=y Il est utilisé pour spécifier une signature de test de domaine et est utilisé par les expéditeurs lorsque le DKIM est configuré pour la première fois. Elle est suggérée car certains fournisseurs de boîtes aux lettres ne tiennent pas compte des signatures DKIM en mode test. Vous devez supprimer la balise avant le déploiement complet.
  • t=s remplace la balise t=y. Elle indique que toute signature DKIM utilisant la balise i=s doit avoir la même valeur de domaine que le domaine primaire.

Non requis

Vous n'avez pas besoin de ces balises de signature DKIM si vous créez un en-tête DKIM pour la première fois. Elles tendent à rendre votre signature DKIM technique et complexe. 

  • c= est une balise d'enregistrement DKIM qui fait office d'algorithme de canonisation et décrit les niveaux de modification d'un courriel en cours de transfert vers un autre fournisseur de boîtes aux lettres. Elle est utilisée pour éviter les modifications mineures des messages électroniques en transit. Cela peut sinon faire échouer la vérification. Les modifications comprennent les espaces blancs ou les sauts de ligne.

Sa valeur est fixée à la valeur 1 ou à la valeur 2. La valeur 1 est destinée à l'en-tête tandis que la valeur 2 est destinée au corps du message. Ces valeurs peuvent être définies sur "simple" ou "relaxed" pour spécifier la tolérance aux modifications de l'e-mail. 

  • i= représente l'identité de l'utilisateur ou de l'agent. Sa valeur est l'adresse électronique ayant un domaine et un sous-domaine de votre site Web, ce qui est identique à la balise d=.

Ces balises DNS DKIM ne sont pas nécessaires pour les en-têtes DKIM. Elles ne sont utilisées que lorsque vous devez contrôler l'une des spécifications mentionnées ci-dessous ;

  • l= La balise de longueur DKIM facilite la signature partielle du corps du message, indiquée par le nombre de bits à signer. Cette balise n'est pas recommandée car elle rend votre message vulnérable à la falsification. 
  • z= Il reprend les en-têtes originaux des messages et est utilisé par les fournisseurs de boîtes aux lettres pour opérer des erreurs de diagnostic de vérification.

Dernières conclusions

La mise en œuvre et la gestion de votre protocole DKIM peuvent nécessiter une expertise, du temps et des efforts qui dépassent souvent votre bande passante. C'est pourquoi les organisations choisissent notre solution DKIM hébergée. Nous vous aidons à générer des enregistrements DKIM, à configurer vos balises de signature DKIM et à gérer vos sélecteurs et clés DKIM sur une seule plateforme ! 

En outre, nous fournissons une assistance experte pour la configuration de protocoles complémentaires tels que DMARC et SPF afin de renforcer vos défenses contre les attaques par courrier électronique.

Pour en savoir plus, et obtenir une stratégie de sécurité de domaine personnalisée pour les organisations, qui a fait ses preuves pour améliorer votre délivrabilité - contactez-nous dès aujourd'hui !

Derniers messages de Ahona Rudra (voir tous)
Comment exporter des enregistrements DNSComment exporter des enregistrements DNSQu'est-ce qu'une poignée de main TLS ?Qu'est-ce qu'un Handshake TLS ?