["48432.js","47514.js","14759.js"]
["48418.css","16238.css","15731.css","15730.css","15516.css","14755.css","14756.css"]
["14757.html"]
  • Connexion
  • S'inscrire
  • Contactez-nous
PowerDMARC
  • Caractéristiques
    • PowerDMARC
    • DKIM hébergé
    • PowerSPF
    • PowerBIMI
    • PowerMTA-STS
    • PowerTLS-RPT
    • PowerAlerts
  • Services
    • Services de déploiement
    • Services gérés
    • Services de soutien
    • Prestations de service
  • Prix
  • Boîte à outils électrique
  • Partenaires
    • Programme pour les revendeurs
    • Programme MSSP
    • Partenaires technologiques
    • Partenaires industriels
    • Trouver un partenaire
    • Devenir partenaire
  • Ressources
    • Qu'est-ce que DMARC ? - Un guide détaillé
    • Fiches techniques
    • Études de cas
    • Le DMARC dans votre pays
    • DMARC par industrie
    • Soutien
    • Blog
    • Formation DMARC
  • À propos de
    • Notre société
    • Clients
    • Contactez-nous
    • Réservez une démo
    • Événements
  • Menu Menu

Pourquoi DKIM échoue-t-il ?

Blogs
Échec du DKIM

L'échec de DKIM pour les messages de votre domaine peut résulter d'un défaut d'alignement des identifiants pour le protocole DKIM ou de problèmes dans la configuration de vos enregistrements. Aujourd'hui, nous allons nous pencher sur la manière dont la spécification DKIM authentifie vos domaines, sur les raisons pour lesquelles le protocole DKIM peut échouer pour vos messages et sur la manière de résoudre facilement ce problème grâce à quelques conseils et astuces.

Qu'est-ce que DKIM et pourquoi devez-vous le configurer ?

DKIM est un système d'authentification des courriers électroniques qui vous aide à vérifier la légitimité de vos sources d'envoi et à vous assurer que le contenu de votre courrier électronique est resté inchangé tout au long du processus de livraison.

Si nous devons parler de la raison pour laquelle nous avons besoin d'une configuration DKIM pour nos courriels, nous devons parler de la façon dont le courriel peut devenir un vecteur pour mener des activités frauduleuses. Les attaques par usurpation d'identité, allant du phishing à l'usurpation de domaine, ainsi que les infections par des logiciels malveillants, peuvent être menées par le biais de faux e-mails. C'est pourquoi les entreprises doivent mettre en place un système de filtrage pour authentifier les expéditeurs d'e-mails. Ce faisant, elles protègent non seulement leur propre réputation, mais empêchent également des millions d'utilisateurs d'être la proie d'arnaques par courrier électronique.  

DKIM est l'un de ces systèmes de vérification du courrier électronique qui utilise une valeur de hachage (clé privée) pour signer les informations du courrier électronique qui sont comparées à la clé publique logée dans le DNS de l'expéditeur. Les courriels signés numériquement avec une signature DKIM bénéficient d'un haut niveau de protection contre toute altération par un tiers malveillant.

Redirection automatique des e-mails et DKIM Vs SPF

Échec de DKIM

Dans les courriels transférés automatiquement, les en-têtes de courriel sont modifiés en raison de l'intervention d'un ou de plusieurs serveurs intermédiaires. Le message transféré reprend les informations d'en-tête de ce serveur intermédiaire tiers qui peut ou non être inclus comme source d'envoi autorisée dans l'enregistrement SPF de l'expéditeur d'origine. 

S'il n'est pas inclus, SPF échouera pour ce message. 

Comme les signatures DKIM sont incluses dans le corps du message, le transfert n'a aucun effet sur DKIM. C'est pourquoi la mise en place de DKIM en plus de votre politique SPF existante peut vous aider à éviter les échecs d'authentification indésirables pour vos messages transférés. 

Résolution du problème sans DKIM

La mise en place de DKIM en même temps que SPF est une recommandée sur mais elle n'est pas obligatoire.

  • Si vous ne voulez pas configurer DKIM pour vos domaines, mais que vous souhaitez résoudre l'échec du SPF pour vos e-mails transférés, vous pouvez utiliser une méthode appelée redirection d'e-mails. La redirection de vos emails préserve les en-têtes originaux de vos messages.  
  • Sinon, vous pouvez également vous assurer que vous incluez les adresses IP de tous les serveurs intermédiaires participant au processus de transfert dans l'enregistrement SPF de votre domaine. 

Signification de l'échec de DKIM

Si vous avez activé DKIM pour vos courriels sortants, les serveurs récepteurs vérifient l'authenticité du courriel en faisant correspondre votre clé privée DKIM à la clé publique publiée sur votre DNS. S'il y a correspondance, DKIM passe pour le message, sinon DKIM échoue.

Que signifie l'échec de DKIM ?

L'échec de DKIM fait référence à l'état d'échec de votre vérification d'authentification DKIM, en raison d'une discordance entre les domaines spécifiés dans l'en-tête de signature DKIM et l'en-tête From et d'incohérences entre les valeurs de la paire de clés.

Les cas de test pour DKIM échouent

1. Erreur dans la syntaxe de l'enregistrement DKIM

Échec de DKIM

 

Si vous n'utilisez pas un générateur d'enregistrements générateur d'enregistrements DKIM fiable pour générer votre enregistrement en essayant de le configurer manuellement pour votre domaine, vous risquez de le mettre en œuvre de manière incorrecte. Les erreurs de syntaxe dans vos enregistrements DNS peuvent entraîner un échec de l'authentification, et dans ce cas, DKIM échoue.

2. Échec de l'alignement de l'identifiant DKIM

Si vous avez DMARC est configuré pour votre domaine en plus de DKIM, pendant la vérification de DKIM, la valeur du domaine dans le champ d= de la signature DKIM dans l'en-tête de l'e-mail doit correspondre au domaine trouvé dans l'adresse de départ. Il peut s'agir d'un alignement strict, dans lequel les deux domaines doivent correspondre exactement, ou d'un alignement plus souple qui permet à une correspondance organisationnelle de passer la vérification.

Un échec de DKIM peut se produire si le domaine de l'en-tête de signature DKIM ne correspond pas au domaine trouvé dans l'en-tête From, ce qui peut être un cas typique d'usurpation de domaine ou d'attaque par usurpation d'identité. 

3. Vous n'avez pas configuré DKIM pour vos fournisseurs de messagerie tiers.

Si vous utilisez plusieurs fournisseurs de messagerie tiers pour envoyer des courriers électroniques au nom de votre organisation, vous devez vous mettre en contact avec eux pour obtenir des instructions sur la manière d'activer DKIM pour vos courriers électroniques sortants. Si vous utilisez vos propres domaines ou sous-domaines personnalisés enregistrés sur ce service tiers pour envoyer des messages électroniques à vos clients, veillez à demander à votre fournisseur de gérer DKIM pour vous.

Idéalement, si votre fournisseur tiers vous aide à externaliser vos e-mails, il devrait configurer votre domaine en publiant un enregistrement DKIM sur son DNS en utilisant un sélecteur DKIM qui vous est propre, sans que vous ayez à intervenir.

OU, 

Vous pouvez générer une paire de clés DKIM et remettre la clé privée à votre fournisseur de services de messagerie électronique tout en publiant la clé publique sur votre propre DNS.

Une mauvaise configuration de ce dernier peut entraîner l'échec de DKIM. Il est donc impératif de communiquer ouvertement avec votre fournisseur de services concernant votre configuration DKIM. 

Note: Certains serveurs d'échange tiers induisent des pieds de page formatés dans le corps du message. Si ces serveurs sont des serveurs intermédiaires dans un processus de transfert d'e-mails, le pied de page conjoint peut être un facteur contribuant à l'échec de DKIM.

4. Problèmes de communication avec le serveur

Dans certaines situations, l'e-mail peut être envoyé depuis un serveur sur lequel DKIM est désactivé. Dans ce cas, DKIM échouera pour ce courriel. Il est important de s'assurer que les parties qui communiquent ont activé DKIM correctement. 

5. Modifications du corps du message par les agents de transfert de courrier (MTA)

Contrairement à SPF, DKIM ne vérifie pas l'adresse IP de l'expéditeur ou le chemin de retour lors de la vérification de l'authenticité des messages. Il s'assure plutôt que le contenu du message n'a pas été altéré lors du transit. Parfois, les MTA et les agents de transfert de courrier électronique participants peuvent modifier le corps du message lors de la mise en forme des lignes ou du contenu, ce qui peut entraîner l'échec de DKIM. 

Le formatage du contenu d'un courriel est généralement un processus automatisé qui permet de s'assurer que le message est facilement compréhensible pour chaque destinataire. 

6. Coupure DNS / temps d'arrêt DNS

Il s'agit d'une raison courante pour les échecs d'authentification, y compris l'échec de DKIM. Une panne de DNS peut être due à diverses raisons, notamment à des attaques par déni de service. La maintenance de routine de votre serveur de noms peut également être la raison d'une panne DNS. Pendant cette période (généralement courte), les serveurs destinataires ne peuvent pas effectuer de requêtes DNS. 

Comme nous savons que DKIM existe dans votre DNS sous la forme d'un enregistrement TXT/CNAME, le client-serveur effectue une recherche pour demander la clé publique au DNS de l'expéditeur pendant l'authentification. Lors d'une panne, cela est considéré comme impossible et peut donc casser DKIM. 

7. Utilisation d'OpenDKIM

Une implémentation DKIM open-source connue sous le nom de OpenDKIM est couramment utilisée par les fournisseurs de boîtes aux lettres comme Gmail, Outlook, Yahoo, etc. OpenDKIM se connecte au serveur par le port 8891 pendant la vérification. Parfois, des erreurs peuvent être causées par l'activation de mauvaises permissions, ce qui empêche le serveur de se lier à votre socket. 

Vérifiez votre répertoire pour vous assurer que vous avez activé les permissions correctement, ou si du moins vous avez un répertoire configuré pour votre socket. 

Échecs du résultat de l'authentification DKIM

1. Résultat de l'authentification : dkim=neutre (mauvais format)

Les sauts de ligne générés automatiquement dans votre enregistrement DKIM peuvent provoquer le message d'erreur : dkim=neutre (mauvais format). Lorsque votre validateur de courrier électronique relie les enregistrements de ressources interrompus pendant la vérification, il produit une valeur erronée. Une solution possible consiste à utiliser des clés DKIM de 1024 bits (au lieu de 2048 bits) pour respecter la limite de 255 caractères du DNS. 

2. Résultat de l'authentification : dkim=fail (mauvaise signature)

Cela peut être le résultat de modifications du contenu du corps du message par un tiers, ce qui fait que l'en-tête de signature DKIM ne correspond pas au corps du message. 

3. Résultat de l'authentification : dkim=fail (le hash du corps de la signature DKIM n'a pas été vérifié)

Les messages "DKIM-signature body hash not verified" ou "DKIM signature body hash did not verify" sont deux résultats alternatifs renvoyés par le serveur récepteur pour la même erreur qui implique la valeur de hachage du corps de la signature DKIM (bh= ) a été altérée en transit. Même si votre paire de clés DKIM est correctement configurée et que vous disposez d'une clé publique valide publiée sur votre DNS, des modifications mineures de la valeur de hachage, telles que l'insertion d'espaces ou de caractères spéciaux, peuvent faire échouer la vérification du corps du message DKIM.

La valeur de la balise bh= peut être modifiée pour les raisons suivantes : 

  • Serveurs intermédiaires responsables de la modification du contenu du courrier 
  • Ajout de pieds de page par votre fournisseur de services de messagerie électronique.  

4. Résultat de l'authentification : dkim=fail (pas de clé pour la signature)

Cette erreur peut être le résultat d'une clé publique invalide ou manquante dans votre DNS. Il est impératif que vous vous assuriez que vos clés publiques et privées pour DKIM correspondent et sont configurées correctement. Êtes-vous sûr que votre enregistrement DNS DKIM est publié et valide ? Vérifiez-le maintenant en utilisant notre vérificateur d'enregistrement DKIM gratuit. 

Comment empêcher l'échec de DKIM pour vos messages ?

Échec de DKIM

Il n'est pas possible de traiter tous les problèmes mentionnés ci-dessus, tout simplement parce qu'ils ne peuvent pas tous être contournés. Cependant, nous avons rassemblé quelques conseils utiles que vous pouvez déployer pour minimiser vos chances d'échec de DKIM. 

Comment résoudre les problèmes de DKIM ?

  • Générez votre enregistrement DKIM à l'aide d'un outil de génération fiable et réputé pour obtenir des résultats précis, et copiez-collez toujours vos valeurs pour éviter les erreurs.
  • Vérifiez que votre enregistrement DKIM ne comporte pas de lacunes ou d'erreurs 
  • Mettez en œuvre SPF et DMARC pour une couche de sécurité supplémentaire contre l'usurpation de domaine et l'usurpation d'identité. DMARC a besoin de SPF ou DKIM pour que les messages passent la validation, donc si votre DKIM échoue et que SPF passe, vos messages passeront toujours DMARC et seront livrés.
  • Activer le rapport DMARC pour vos domaines 
  • Surveillez vos rapports d'échec DKIM et vos résultats d'authentification dans un analyseur de rapports DMARC tableau de bord
  • Discutez en détail avec vos fournisseurs de messagerie de la configuration de DKIM, de la prise en charge du protocole et de la manière dont ils le gèrent. 
  • Obtenez des conseils d'experts sur vos configurations d'authentification des e-mails de la part de notre équipe de spécialistes DMARC en vous inscrivant à un essai gratuit de DMARC avec notre analyseur.  

Notez que nous avons couvert certains messages d'échec DKIM courants et leur causes probables causes probables, tout en fournissant une possible solution possible. Cependant, des erreurs peuvent survenir en raison de diverses raisons sous-jacentes, spécifiques à votre domaine et à vos serveurs, qui n'ont pas été abordées dans cet article.

Il est impératif que vous développiez suffisamment vos connaissances sur les protocoles d'authentification avant de les mettre en œuvre dans votre organisation ou d'appliquer vos politiques. Un échec de DKIM, ou un échec de la validation SPF ou DMARC peut avoir un impact sur la délivrabilité de votre courriel.  

FAQ sur l'échec de DKIM

1. Quels sont les expéditeurs qui échouent au test DKIM ?

L'échec de DKIM est typique pour les expéditeurs qui :

  • config config config configurer le protocole d'une mauvaise manière
  • utiliser des clés de 2048 bits pour les fournisseurs de messagerie non pris en charge
  • le contenu de l'e-mail a été altéré par un intermédiaire tiers pendant le transfert du message

2. DMARC peut-il passer si DKIM échoue ?

Oui, à condition que SPF passe pour l'e-mail. Si vous avez configuré DMARC et aligné les courriels sur les mécanismes SPF et DKIM, il suffit qu'un seul des contrôles (SPF ou DKIM) passe pour que DMARC passe. Toutefois, si votre alignement DMARC repose uniquement sur l'authentification DKIM, DMARC échouera lorsque DKIM échouera.

Échec de DKIM

  • À propos de
  • Derniers messages
Syuzanna Papazyan
Syuzanna travaille comme conceptrice visuelle chez PowerDMARC.
Elle est une personne artistique avec des idées et des conceptions innovantes.
Derniers messages de Syuzanna Papazyan (voir tous)
  • Comment mettre en œuvre l'authentification du domaine de messagerie dans votre infrastructure de messagerie électronique - 22 février 2023
  • Comment corriger le message "SPF alignment failed" ? - 3 janvier 2023
  • Pourquoi DKIM échoue-t-il ? - Le 2 janvier 2023
2 janvier 2023/par Syuzanna Papazyan
Tags : Échec de l'alignement de DKIM, échec de l'alignement de DKIM, échec de DKIM, échec de l'en-tête de DKIM, échec de DKIM, dkim-signature body hash not verified, échec de DKIM, comment réparer l'échec de DKIM, pourquoi l'échec de DKIM
Partager cette entrée
  • Partager sur Facebook
  • Partager sur Twitter
  • Partager sur WhatsApp
  • Partagez sur LinkedIn
  • Partager par courrier

Sécurisez votre courrier électronique

Mettre fin à l'usurpation d'identité par courriel et améliorer la délivrabilité des courriels

Essai gratuit de 15 jours !


Catégories

  • Blogs
  • Nouvelles
  • Communiqués de presse

Derniers blogs

  • courriel d'hameçonnage
    Qu'est-ce qu'un courriel d'hameçonnage ? Restez vigilants et évitez de tomber dans le piège !31 mai 2023 - 9:05 pm
  • Comment corriger le message "DKIM none message not signed" ?
    Corriger "DKIM none message not signed"- Guide de dépannage31 mai 2023 - 3:35 pm
  • SPF Permerror - SPF Too many DNS lookups (trop de recherches DNS)
    Corriger l'erreur SPF : Surmonter la limite de trop de consultations DNS de SPF30 mai 2023 - 5:14 pm
  • Les 5 principaux services gérés de cybersécurité en 2023
    Top 5 des services gérés de cybersécurité en 202329 mai 2023 - 10:00 am
logo footer powerdmarc
SOC2 GDPR PowerDMARC conforme au GDPR service commercial crown
une cyber alliance mondiale certifiée powerdmarc csa

Connaissances

Qu'est-ce que l'authentification des e-mails ?
Qu'est-ce que DMARC ?
Qu'est-ce que la politique DMARC ?
Qu'est-ce que SPF ?
Qu'est-ce que DKIM ?
Qu'est-ce que BIMI ?
Qu'est-ce que MTA-STS ?
Qu'est-ce que TLS-RPT ?
Qu'est-ce que RUA ?
Qu'est-ce que RUF ?
AntiSpam vs DMARC
Alignement DMARC
Conformité DMARC
Application de la norme DMARC
Guide de mise en œuvre du BIMI
Permerror
Guide de mise en œuvre de MTA-STS et TLS-RPT

Outils

Générateur d'enregistrements DMARC gratuit
Vérificateur de dossiers DMARC gratuit
Générateur d'enregistrements SPF gratuit
Recherche gratuite de dossiers SPF
Générateur d'enregistrements DKIM gratuit
Recherche gratuite d'enregistrements DKIM
Générateur d'enregistrements BIMI gratuit
Recherche gratuite de dossiers BIMI
Recherche gratuite d'enregistrements FCrDNS
Vérificateur de dossiers TLS-RPT gratuit
Vérificateur de dossiers MTA-STS gratuit
Générateur d'enregistrements TLS-RPT gratuit

Produit

Tour du produit
Caractéristiques
PowerSPF
PowerBIMI
PowerMTA-STS
PowerTLS-RPT
PowerAlerts
Documentation API
Services gérés
Protection contre l'usurpation d'identité par courriel
Protection des marques
Anti Phishing
DMARC pour Office365
DMARC pour Google Mail GSuite
DMARC pour Zimbra
Formation DMARC gratuite

Essayez-nous

Nous contacter
Essai gratuit
Réserver une démo
Partenariat
Tarification
FAQ
Support
Blog
Événements
Demande de fonctionnalité
Journal des modifications
Statut du système

  • English
  • Dansk
  • Nederlands
  • Deutsch
  • Русский
  • Polski
  • Español
  • Italiano
  • 日本語
  • 中文 (简体)
  • Português
  • Norsk
  • Svenska
  • 한국어
PowerDMARC est une marque déposée.
  • Twitter
  • Youtube
  • LinkedIn
  • Facebook
  • Instagram
  • Contactez-nous
  • Conditions générales
  • Politique de confidentialité
  • Politique en matière de cookies
  • Politique de sécurité
  • Conformité
  • Avis GDPR
  • Plan du site
Comment réparer l'échec de la vérification 550 SPF ? [SOLVÉ]Comment corriger l'échec de la vérification de 550 SPFÉvaluation de DMARCQu'est-ce que l'évaluation DMARC ?
Haut de page
["14758.html"]