Comment remédier à l'échec de DKIM

Blog

Un échec DKIM pour vos emails peut nuire à la réputation de votre domaine et avoir un impact sur la délivrabilité de vos emails. Corrigez tous les échecs DKIM grâce à ce tutoriel étape par étape.

par Maitham Al Lawati

Temps de lecture : 9 min
Comment remédier à l'échec de DKIM
Table des matières-

L'échec de DKIM pour les messages de votre domaine peut être le résultat d'un défaut d'alignement de l'identifiant pour le protocole DKIM ou de problèmes dans la configuration de votre enregistrement. Aujourd'hui, nous allons voir comment la spécification DKIM authentifie vos domaines, pourquoi le protocole DKIM peut échouer pour vos messages, et comment réparer facilement le protocole DKIM grâce à un guide étape par étape.

Points clés à retenir

  1. Les échecs de la DKIM sont souvent dus à des incohérences entre le domaine de la signature DKIM et l'en-tête From.
  2. Des erreurs dans la syntaxe des enregistrements DKIM, la communication avec le serveur et les temps d'arrêt du DNS peuvent entraîner des problèmes d'authentification DKIM.
  3. Parmi les causes courantes d'échec de la norme DKIM, on peut citer les fournisseurs tiers mal configurés et les modifications apportées au corps du message en cours de route.
  4. L'utilisation de générateurs d'enregistrements DKIM fiables et le contrôle des rapports DMARC peuvent réduire considérablement les cas d'échec DKIM.
  5. La mise en œuvre de SPF et DMARC en plus de DKIM contribue à renforcer la sécurité du courrier électronique et garantit que les messages électroniques sont correctement authentifiés.

Que signifie l'échec de la norme DKIM ?

Si vous avez activé DKIM pour vos courriels sortants, les serveurs récepteurs vérifient l'authenticité du courriel en faisant correspondre votre clé privée DKIM à la clé publique publiée sur votre DNS. S'il y a correspondance, DKIM passe pour le message, sinon DKIM échoue.

DKIM failure refers to the failed status of your DKIM authentication check, due to a mismatch in the domains specified in the DKIM signature header and From header and inconsistencies among the key pair values.
<

Simplifiez l'échec de DKIM avec PowerDMARC !

15 jours d'essaiRéservez une démo
h2>Raisons courantes de l'échec de DKIM

1. Erreur dans la syntaxe de l'enregistrement DKIM

 

Si vous n'utilisez pas un générateur d'enregistrements générateur d'enregistrements DKIM fiable pour générer votre enregistrement en essayant de le configurer manuellement pour votre domaine, vous risquez de ne pas le mettre en œuvre correctement. Des erreurs de syntaxe dans vos enregistrements DNS peuvent entraîner un échec de l'authentification.

2. DKIM Vérification de l'absence d'alignement

Si vous disposez de DMARC a été mis en place pour votre domaine en plus de DKIM, lors de la vérification DKIM, la valeur du domaine dans le champ d= de la signature DKIM dans l'en-tête de l'e-mail doit correspondre au domaine trouvé dans l'adresse "From". Il peut s'agir d'un alignement strict, dans lequel les deux domaines doivent correspondre exactement, ou d'un alignement plus souple qui permet à une correspondance organisationnelle de passer la vérification.

Un échec DKIM peut se produire si le domaine de l'en-tête de la signature DKIM ne correspond pas au domaine trouvé dans l'en-tête From, ce qui peut être un cas typique d'usurpation de domaine ou d'attaque d'usurpation d'identité. 

3. Vous n'avez pas configuré DKIM pour vos fournisseurs de messagerie tiers.

Si vous utilisez plusieurs fournisseurs de messagerie tiers pour envoyer des courriers électroniques au nom de votre organisation, vous devez vous mettre en contact avec eux pour obtenir des instructions sur la manière d'activer DKIM pour vos courriers électroniques sortants. Si vous utilisez vos propres domaines ou sous-domaines personnalisés enregistrés sur ce service tiers pour envoyer des messages électroniques à vos clients, veillez à demander à votre fournisseur de gérer DKIM pour vous.

Idéalement, si votre fournisseur tiers vous aide à externaliser vos e-mails, il devrait configurer votre domaine en publiant un enregistrement DKIM sur son DNS en utilisant un sélecteur DKIM qui vous est propre, sans que vous ayez à intervenir.

OU, 

Vous pouvez générer une paire de clés DKIM et remettre la clé privée à votre fournisseur de services de messagerie électronique tout en publiant la clé publique sur votre propre DNS.

Une mauvaise configuration peut entraîner un échec de la norme DKIM. Vous devez donc communiquer ouvertement avec votre fournisseur de services au sujet de votre configuration DKIM

Note: Certains serveurs d'échange tiers induisent des pieds de page formatés dans le corps du message. Si ces serveurs sont des serveurs intermédiaires dans un processus de transfert d'e-mails, le pied de page conjoint peut être un facteur contribuant à l'échec de DKIM.

4. Problèmes de communication avec le serveur

Dans certaines situations, l'e-mail peut être envoyé depuis un serveur sur lequel DKIM est désactivé. Dans ce cas, DKIM échouera pour ce courriel. Il est important de s'assurer que les parties qui communiquent ont activé DKIM correctement. 

5. Modifications du corps du message par les agents de transfert de courrier (MTA)

Contrairement à SPF, DKIM ne vérifie pas l'adresse IP de l'expéditeur ou le chemin de retour lors de la vérification de l'authenticité des messages. Il s'assure plutôt que le contenu du message n'a pas été altéré lors du transit. Parfois, les MTA et les agents de transfert de courrier électronique participants peuvent modifier le corps du message lors de la mise en forme des lignes ou du contenu, ce qui peut entraîner l'échec de DKIM. 

Le formatage du contenu d'un courriel est généralement un processus automatisé qui permet de s'assurer que le message est facilement compréhensible pour chaque destinataire. 

6. Coupure DNS / temps d'arrêt DNS

Il s'agit d'une raison fréquente pour les échecs de DKIM. Les pannes DNS peuvent être dues à diverses raisons, notamment à des attaques par déni de service. La maintenance de routine de votre serveur de noms peut également être à l'origine d'une panne DNS. Pendant cette période (généralement courte), les serveurs destinataires ne peuvent pas effectuer de requêtes DNS. 

Comme nous savons que DKIM existe dans votre DNS sous la forme d'un enregistrement TXT/CNAME, le client-serveur effectue une recherche pour demander la clé publique au DNS de l'expéditeur pendant l'authentification. Lors d'une panne, cela est considéré comme impossible et peut donc casser DKIM. 

7. Utilisation d'OpenDKIM

Une implémentation DKIM open-source connue sous le nom de OpenDKIM est couramment utilisée par les fournisseurs de boîtes aux lettres comme Gmail, Outlook, Yahoo, etc. OpenDKIM se connecte au serveur par le port 8891 pendant la vérification. Parfois, des erreurs peuvent être causées par l'activation de mauvaises permissions, ce qui empêche le serveur de se lier à votre socket. 

Vérifiez votre répertoire pour vous assurer que vous avez activé les permissions correctement, ou si du moins vous avez un répertoire configuré pour votre socket. 

Différents résultats d'échec de l'authentification DKIM

1. Résultat de l'authentification : dkim=neutre (mauvais format)

Les sauts de ligne générés automatiquement dans votre enregistrement DKIM peuvent provoquer le message d'erreur : dkim=neutre (mauvais format). Lorsque votre validateur de courrier électronique relie les enregistrements de ressources interrompus pendant la vérification, il produit une valeur erronée. Une solution possible consiste à utiliser des clés DKIM de 1024 bits (au lieu de 2048 bits) pour respecter la limite de 255 caractères du DNS. 

2. Résultat de l'authentification : dkim=fail (mauvaise signature)

L'échec de l'authentification DKIM peut être dû à des modifications du contenu du corps du message par un tiers, à la suite desquelles l'en-tête de signature DKIM ne correspond pas au corps du message. 

3. Résultat de l'authentification : dkim=fail (le hash du corps de la signature DKIM n'a pas été vérifié)

Les messages "DKIM-signature body hash not verified" ou "DKIM signature body hash did not verify" sont deux résultats alternatifs renvoyés par le serveur récepteur pour la même erreur qui implique la valeur de hachage du corps de la signature DKIM (bh= ) a été altérée en transit. Même si votre paire de clés DKIM est correctement configurée et que vous disposez d'une clé publique valide publiée sur votre DNS, des modifications mineures de la valeur de hachage, telles que l'insertion d'espaces ou de caractères spéciaux, peuvent faire échouer la vérification du corps du message DKIM.

La valeur de la balise bh= peut être modifiée pour les raisons suivantes : 

  • Serveurs intermédiaires responsables de la modification du contenu du courrier 
  • Ajout de pieds de page par votre fournisseur de services de messagerie électronique.  

4. Résultat de l'authentification : dkim=fail (pas de clé pour la signature)

Cette erreur peut être le résultat d'une clé publique invalide ou manquante dans votre DNS. Il est impératif que vous vous assuriez que vos clés publiques et privées pour DKIM correspondent et sont configurées correctement. Êtes-vous sûr que votre enregistrement DNS DKIM est publié et valide ? Vérifiez-le maintenant en utilisant notre vérificateur d'enregistrement DKIM gratuit. 

Évitez les échecs de DKIM avec PowerDMARC !

15 jours d'essaiRéservez une démo

Comment mettre fin à un échec de DKIM pour vos messages ?

Il n'est pas possible de traiter tous les problèmes mentionnés ci-dessus, tout simplement parce qu'ils ne peuvent pas tous être contournés. Cependant, nous avons rassemblé quelques conseils utiles que vous pouvez déployer pour minimiser vos chances d'échec de DKIM. 

Comment remédier à l'échec de DKIM ?

  • Générez votre enregistrement DKIM à l'aide d'un outil de génération fiable et reconnu pour obtenir des résultats précis, et copiez-collez toujours vos valeurs pour éviter les erreurs.
  • Vérifiez que votre enregistrement DKIM ne comporte pas de lacunes ou d'erreurs 
  • Mettez en œuvre SPF et DMARC pour une couche de sécurité supplémentaire contre l'usurpation de domaine et l'usurpation d'identité. DMARC a besoin que SPF ou DKIM passe pour que les messages soient validés. Ainsi, si DKIM échoue mais que SPF passe, vos messages passeront quand même DMARC et seront délivrés.
  • Activer les rapports DMARC pour vos domaines 
  • Surveillez vos rapports d'échec DKIM et vos résultats d'authentification sur un lecteur lecteur DMARC tableau de bord
  • Discutez en détail avec vos fournisseurs de messagerie de la configuration de DKIM, de la prise en charge du protocole et de la manière dont ils le gèrent. 
  • Obtenez des conseils d'experts sur vos configurations d'authentification des e-mails de la part de notre équipe de spécialistes DMARC en vous inscrivant à un essai gratuit de DMARC avec notre analyseur.  

Notez que nous avons couvert certains messages d'échec DKIM courants et leur causes probables causes probables, tout en fournissant une possible solution possible. Cependant, des erreurs peuvent survenir en raison de diverses raisons sous-jacentes, spécifiques à votre domaine et à vos serveurs, qui n'ont pas été abordées dans cet article.

Vous devez acquérir suffisamment de connaissances sur les protocoles d'authentification avant de les mettre en œuvre dans votre organisation ou d'appliquer vos politiques. L'échec de DKIM, de SPF ou de la validation DMARC peut avoir un impact sur la délivrabilité de votre courrier électronique.  

Redirection automatique des e-mails et DKIM Vs SPF

Dans les courriels transférés automatiquement, les en-têtes de courriel sont modifiés en raison de l'intervention d'un ou de plusieurs serveurs intermédiaires. Le message transféré reprend les informations d'en-tête de ce serveur intermédiaire tiers qui peut ou non être inclus comme source d'envoi autorisée dans l'enregistrement SPF de l'expéditeur d'origine. 

S'il n'est pas inclus, SPF échouera pour ce message. 

Étant donné que les signatures DKIM sont incluses dans le corps du message, le transfert n'a aucun effet sur la DKIM. C'est pourquoi la mise en place de DKIM en plus de votre politique SPF existante peut vous aider à éviter les échecs d'authentification DKIM non désirés pour vos messages transférés. 

Résolution du problème sans DKIM

La mise en place de DKIM en même temps que SPF est une recommandée sur mais elle n'est pas obligatoire.

  • Si vous ne souhaitez pas configurer DKIM pour vos domaines, mais que vous voulez résoudre l'échec de SPF pour vos courriels transférés, vous pouvez utiliser une méthode appelée redirection de courriels. La redirection de vos courriels préserve les en-têtes originaux de vos messages.  
  • Sinon, vous pouvez également vous assurer que vous incluez les adresses IP de tous les serveurs intermédiaires participant au processus de transfert dans l'enregistrement SPF de votre domaine. 

Qu'est-ce que DKIM et pourquoi devez-vous le configurer ?

DKIM est un système d'authentification des courriers électroniques qui vous aide à vérifier la légitimité de vos sources d'envoi et à vous assurer que le contenu de votre courrier électronique est resté inchangé tout au long du processus de livraison.

Si nous voulons expliquer pourquoi nous avons besoin d'une configuration DKIM pour nos courriels, nous devons parler de la façon dont les courriels peuvent devenir un vecteur d'activités frauduleuses. Les attaques par usurpation d'identité, allant du phishing à l'usurpation de domaine, ainsi que les infections par des logiciels malveillants, peuvent être réalisées par le biais de faux courriels. C'est pourquoi les entreprises doivent mettre en place un système de filtrage pour authentifier les expéditeurs de courrier électronique. Ce faisant, elles protègent non seulement leur propre réputation, mais elles empêchent également des millions d'utilisateurs d'être la proie d'escroqueries par courrier électronique. L'échec de DKIM, comme vous le verrez ci-dessous, se produit lorsque votre clé privée ne correspond pas à la clé publique.

DKIM est l'un de ces systèmes de vérification du courrier électronique qui utilise une valeur de hachage (clé privée) pour signer les informations du courrier électronique qui sont comparées à la clé publique logée dans le DNS de l'expéditeur. Les courriels signés numériquement avec une signature DKIM bénéficient d'un haut niveau de protection contre toute altération par un tiers malveillant.

FAQ sur les échecs de DKIM

1. Quels sont les expéditeurs qui échouent au test DKIM ?

L'échec est typique des expéditeurs qui :

  • config config config configurer le protocole d'une mauvaise manière
  • utiliser des clés de 2048 bits pour les fournisseurs de messagerie non pris en charge
  • le contenu de l'e-mail a été altéré par un intermédiaire tiers pendant le transfert du message

2. DMARC peut-il être accepté si DKIM ne l'est pas ?

Oui, à condition que le SPF soit validé pour l'e-mail. Si vous avez configuré DMARC et aligné les messages électroniques sur les mécanismes SPF et DKIM, il vous suffit de réussir l'un des deux contrôles (SPF ou DKIM) pour que DMARC soit accepté. Toutefois, si votre alignement DMARC ne repose que sur l'authentification DKIM, DMARC échouera, tout comme DKIM.

Derniers messages de Maitham Al Lawati (voir tous)
Qu'est-ce que la politique DMARC ? Aucune, Quarantine et Rejetpolitique dmarcChangements du NCSC Mail Check et leur impact sur la sécurité des courriels dans le secteur publ...