Que sont les balises DKIM ?

Les balises DKIM sont des mécanismes ou des commandes utilisés dans l'enregistrement DKIM pour désigner des éléments d'information spécifiques sur le protocole DKIM configuré de l'expéditeur. DKIM est l'abréviation de DomainKeys Identified Mail, un protocole d'authentification du courrier électronique qui fonctionne à l'aide d'une signature numérique chiffrée. Il est également crucial pour la mise en œuvre et le bon fonctionnement de la politique DMARC.

Une signature DKIM correctement alignée permet aux fournisseurs de services de messagerie de vérifier votre domaine. Les géants de la technologie comme Google et Yahoo utilisent ce protocole pour éviter le phishing et l'usurpation d'identité. l'hameçonnage et l'usurpation d'identité.

Comment fonctionne DKIM ?

Le serveur du destinataire utilise les données de l'en-tête du courrier électronique et l'enregistrement DKIM officiel du domaine pour vérifier l'authenticité des messages électroniques. Un en-tête de signature DKIM est placé en haut d'un courriel. Plusieurs balises DKIM contiennent des informations sur l'expéditeur afin que le serveur du destinataire sache où chercher pour vérifier un message.

Ces balises constituent le composant informationnel qui affiche des valeurs spécifiques, chacune représentant des détails sur le corps de l'e-mail. Toutes les DomainKeys possèdent une clé privée utilisée pour le cryptage des signatures numériques DKIM. En outre, elles possèdent également une clé publique publiée dans le DNS du domaine.

Ainsi, lorsque des courriels sont envoyés depuis votre domaine, la clé privée des courriels doit correspondre à la clé publique. Sinon, le message n'atteindra pas les boîtes aux lettres des destinataires. Ce processus est très rapide et ne prend pas plus de quelques secondes. Toutefois, il ne fonctionne que si vous générez un enregistrement DKIM et ajoutez les balises d'authentification DKIM correctes.

Qu'est-ce qu'un Tag dans l'enregistrement DKIM ?

Les balises d'enregistrement DKIM sont des lettres uniques utilisées comme commandes et suivies d'un signe égal. Toutes les lettres ont une balise DKIM qui désigne des valeurs spécifiques représentant des éléments d'information sur l'expéditeur. Chaque balise comprend des détails sur l'emplacement de la clé publique utilisée pour chiffrer les messages.

Types de balises DKIM 

Vous pouvez classer les balises DKIM en "balises obligatoires" et "balises facultatives". La valeur de chacune d'entre elles est importante pour générer un enregistrement DKIM. Il existe d'autres balises DKIM qui sont classées comme "non requises" ou "non recommandées". Vous pouvez les définir en fonction des instances de leur utilité ou des exigences de chaque domaine. Vous devez utiliser les bons tags d'authentification DKIM lorsque vous ajoutez un enregistrement DKIM à votre DNS. Découvrons ces balises en détail.

Étiquettes obligatoires 

Les balises DKIM obligatoires sont si importantes pour l'en-tête de signature DKIM que votre message ne passera pas le test de vérification sans elles. La boîte aux lettres du destinataire rejettera les messages sans ces balises. 

• v= Il s'agit de la balise de version qui indique la norme DKIM utilisée. Sa valeur est toujours fixée à 1.
• a= Ce tag DKIM indique l'algorithme cryptographique utilisé pour créer la signature. La valeur utilisée est rsa-sha256. Si votre ordinateur a des capacités CPU réduites, vous pouvez utiliser rsa-sha1. Cependant, ce n'est pas recommandé pour des raisons de sécurité. 
• s= Il indique le nom de l'enregistrement sélecteur utilisé pour trouver la clé publique dans le DNS d'un domaine. Vous entrerez un nom ou un nombre dans ce champ.
• d= Il affiche le domaine utilisé avec l'enregistrement du sélecteur pour localiser les clés publiques. Sa valeur est la même que le nom de domaine utilisé par l'expéditeur.
• b= Cette balise DKIM est utilisée pour les données de hachage de l'en-tête. Il est généralement associé à la balise h= pour la rédaction de la signature DKIM. Il est toujours codé en Base64. 
• bh= Il contient le hachage calculé des e-mails. Sa valeur est une chaîne de caractères indiquant un hachage déterminé par un algorithme.
• h= Cette balise fait appel aux en-têtes vus dans l'algorithme de signature pour générer le hachage de la balise b=. Sa valeur ne peut être ni supprimée ni modifiée. 

Étiquettes facultatives

Outre les balises de la signature DKIM, il existe plusieurs balises facultatives. Cela signifie que si votre signature DKIM ne comporte pas ces balises, aucune erreur ne se produira au moment de la vérification. Toutefois, les experts recommandent de les utiliser pour éviter l'usurpation d'adresses électroniques. 

Les usurpateurs n'attribuent pas de valeurs temporelles, contrairement aux véritables courriels d'entreprise. Ainsi, si votre boîte de réception remarque des valeurs temporelles incorrectes pour un expéditeur, il est plus probable qu'elle rejette complètement l'e-mail. 

Étiquettes recommandées

Il est conseillé d'utiliser les balises d'enregistrement DKIM recommandées, car elles aident le serveur du destinataire dans le processus. 

• g= Il fonctionne comme la granularité de votre clé publique et sa valeur est la même que la partie locale de l'étiquette i=. Vous pouvez également saisir un astérisque (*) comme caractère de remplacement. Ce tag DKIM empêche les adresses de signature d'utiliser les enregistrements du sélecteur. Tout courriel dont l'adresse de signature ne correspond pas à cette balise échoue à la vérification. 
• h= Indique un algorithme de hachage acceptable et a pour valeurs spécifiques "sha1" et "sha256". Ces valeurs sont nécessaires aux signataires et aux vérificateurs.
• k= C'est le type de clé. Sa valeur par défaut est 'rsa', ce qui devrait être supporté par les signataires et les vérificateurs.
• n= Les administrateurs utilisent cette balise pour ajouter des notes lisibles par l'homme.
• t= Cette balise est importante car elle fonctionne comme un horodatage de signature indiquant l'heure d'envoi de l'e-mail. Le format de cette balise est en secondes numérotées à partir de 00:00:00 le 1er janvier 1970 (UTC).
• x= Cette balise indique la date d'expiration de la signature. Il complète le tag t= en attribuant une date de livraison. 
• t=y Il est utilisé pour spécifier une signature de test de domaine et est utilisé par les expéditeurs lorsque DKIM est défini pour la première fois. Elle est suggérée car certains fournisseurs de boîtes aux lettres négligent les signatures DKIM en mode test. Vous devez supprimer la balise avant le déploiement complet.
• t=s est le remplacement de la balise t=y. Il indique que toute signature DKIM utilisant le tag i= doit avoir la même valeur de domaine que le domaine primaire.

Non requis

Vous n'avez pas besoin de ces balises DKIM si vous créez un en-tête DKIM pour la première fois. Elles ont tendance à rendre votre signature DKIM technique et complexe. 

• c= est une balise d'enregistrement DKIM qui fait office d'algorithme de canonisation et décrit les niveaux de modification d'un courriel en cours de transfert vers un autre fournisseur de boîtes aux lettres. Elle est utilisée pour éviter les modifications mineures des messages électroniques en transit. Cela peut sinon faire échouer la vérification. Les modifications comprennent les espaces blancs ou les sauts de ligne.

Sa valeur est fixée à la valeur 1 ou à la valeur 2. La valeur 1 est destinée à l'en-tête tandis que la valeur 2 est destinée au corps du message. Ces valeurs peuvent être définies sur "simple" ou "relaxed" pour spécifier la tolérance aux modifications de l'e-mail. 

• i= représente l'identité de l'utilisateur ou de l'agent. Sa valeur est l'adresse électronique ayant un domaine et un sous-domaine de votre site Web, ce qui est identique à la balise d=.

Non recommandé

Ces balises DKIM ne sont pas nécessaires pour tout en-tête DKIM. Elles ne sont utilisées que lorsque vous devez contrôler l'une des spécifications mentionnées ci-dessous ;

• I= Il indique le nombre de caractères du message utilisés pour compter le hachage du corps. Sans cette valeur, vous devrez supposer que le corps entier du message est utilisé.
• z= Il reprend les en-têtes originaux des messages et est utilisé par les fournisseurs de boîtes aux lettres pour opérer des erreurs de diagnostic de vérification.

• À propos de
• Derniers messages

Ahona Rudra

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• Comment trouver le meilleur fournisseur de solutions DMARC pour votre entreprise ? - 25 avril 2024
• PowerDMARC et Zendata forment un partenariat pour renforcer la sécurité des domaines - 25 avril 2024
• PowerDMARC s'associe à CNS pour faire progresser les pratiques de sécurité du courrier électronique au Moyen-Orient - 24 avril 2024