Comment remédier à l'échec de DKIM

Blog

Comprenez les conséquences d'un échec DKIM, les erreurs courantes et le dépannage étape par étape pour résoudre les problèmes d'authentification DKIM et protéger la délivrabilité des e-mails.

par Maitham Al Lawati

Dernière mise à jour :
Temps de lecture : 10 min
Comment remédier à l'échec de DKIM
Table des matières-

Un échec DKIM pour vos emails peut nuire à la réputation de votre domaine et avoir un impact sur la délivrabilité de vos emails. Corrigez tous les échecs DKIM grâce à ce tutoriel étape par étape.

Table des matières

Points clés à retenir

  1. Les échecs DKIM proviennent souvent d'incohérences entre la domaine de signature DKIM et l'en-tête « From ».
  2. Erreurs dans syntaxe des enregistrements DKIM, la communication avec le serveur et les temps d'arrêt DNS peuvent entraîner des problèmes d'authentification DKIM.
  3. Parmi les causes courantes d'échec de la norme DKIM, on peut citer les fournisseurs tiers mal configurés et les modifications apportées au corps du message en cours de route.
  4. L'utilisation de générateurs d'enregistrements DKIM fiables et le contrôle des rapports DMARC peuvent réduire considérablement les cas d'échec DKIM.
  5. Mise en œuvre de SPF DMARC en plus de DKIM contribue à renforcer la sécurité des e-mails et garantit que les e-mails sont correctement authentifiés.
  6. Une authentification DKIM échouée peut entraîner l'envoi des e-mails vers les dossiers spam, leur rejet ou leur renvoi, selon les politiques du serveur du destinataire.

Les échecs DKIM peuvent nuire au placement dans la boîte de réception, car ils indiquent aux serveurs destinataires que vos e-mails ne peuvent pas être authentifiés de manière fiable. Si vous voyez « Échec de l'authentification DKIM », « dkim=fail »ou des rebonds tels que « 550 Validation DKIM échouée », il y a généralement trois causes possibles : la clé DKIM est manquante ou mal formée dans le DNS, le message a été modifié après la signature (transfert, passerelles, pieds de page) ou le domaine de signature DKIM ne correspond pas au domaine visible domaine sous DMARC.

Ce guide explique ce que signifie un échec DKIM, comment le résoudre étape par étape à l'aide des en-têtes d'e-mails et des vérifications DNS, et comment éviter que cela ne se reproduise grâce à une configuration adéquate du fournisseur et aux rapports DMARC.

Que signifie l'échec de la norme DKIM ?

Une erreur DKIM (DomainKeys Identified Mail) se produit lorsqu'un serveur de messagerie destinataire ne parvient pas à valider la signature DKIM d'un message. Concrètement, le serveur vérifie l'en-tête DKIM-Signature, récupère la clé publique de l'expéditeur à partir du DNS à l'aide du sélecteur (la balise s=), puis vérifie si la signature correspond à ce qui a été signé (en-têtes et hachage du corps). Si la correspondance est établie, DKIM accepte le message, sinon DKIM échoue.

Une erreur DKIM fait référence à l'échec de votre vérification d'authentification DKIM, en raison d'une incompatibilité entre les domaines spécifiés dans l'en-tête de signature DKIM et l'en-tête « De » et d'incohérences entre les valeurs de la paire de clés.

Que se passe-t-il lorsque DKIM échoue ?

Lorsque DKIM échoue, l'impact sur la livraison des e-mails dépend des politiques de filtrage des destinataires et de l'application ou non du protocole DMARC sur votre domaine.

Dans la plupart des cas, un échec DKIM augmente le risque de spam plutôt que de provoquer un blocage immédiat. Les serveurs de réception traitent les messages non signés ou non vérifiables comme moins fiables et peuvent les acheminer vers le dossier spam, en particulier si les échecs se produisent de manière régulière au fil du temps.

Le rejet ne se produit généralement que lorsque l'échec DKIM est associé à d'autres échecs d'authentification. Si DKIM et SPF tous les deux et que votre domaine a une politique DMARC configurée pour quarantine rejeter, le message échouera DMARC et pourra être limité, mis en quarantaine ou renvoyé avec des erreurs telles que «550 Échec de la validation DKIM».

Comment DMARC change la donne

DMARC évalue l'authentification différemment de DKIM seul. Pour passer DMARC, un e-mail n'a besoin que d'une seule méthode d'authentification alignée :

  • SPF et aligné → DMARC passe, même si DKIM échoue
  • DKIM réussi et aligné → DMARC passe, même si SPF
  • Les deux échouent ou ne s'alignent pasDMARC échoue, l'action dépend de la politique

Cela signifie qu'un échec DKIM n'interrompt pas automatiquement la livraison, mais que des échecs répétés affaiblissent la réputation de l'expéditeur et suppriment une couche importante de protection d'authentification.

Raisons courantes de l'échec de DKIM

1. Erreur dans la syntaxe de l'enregistrement DKIM

Si vous n'utilisez pas un générateur d'enregistrement DKIM fiable générateur d'enregistrement DKIM et que vous créez manuellement l'enregistrement pour votre domaine, des erreurs de configuration sont fréquentes. Les problèmes de syntaxe dans les enregistrements DNS DKIM, tels que les balises manquantes, les guillemets cassés, les valeurs tronquées ou les espaces supplémentaires, peuvent empêcher les serveurs de réception de valider la signature DKIM, ce qui entraîne un échec de l'authentification DKIM.

 2. DKIM Vérification de l'absence d'alignement

Si vous avez configuré DMARC configuré pour votre domaine en plus de DKIM, lors de la vérification DKIM, la valeur du domaine dans le champ d= de la signature DKIM dans l'en-tête de l'e-mail doit correspondre au domaine figurant dans l'adresse d'expéditeur. Il peut s'agir soit d'une correspondance stricte, dans laquelle les deux domaines doivent correspondre exactement, soit d'une correspondance souple, qui permet à une correspondance organisationnelle de passer le contrôle. 

Une erreur DKIM peut se produire si le domaine de l'en-tête de signature DKIM ne correspond pas au domaine figurant dans l'en-tête « De », ce qui peut être un cas typique d'usurpation de domaine ou d'attaque par usurpation d'identité. 

3. Vous n'avez pas configuré DKIM pour vos fournisseurs de messagerie tiers.

Si vous utilisez plusieurs fournisseurs de messagerie tiers pour envoyer des courriers électroniques au nom de votre organisation, vous devez vous mettre en contact avec eux pour obtenir des instructions sur la manière d'activer DKIM pour vos courriers électroniques sortants. Si vous utilisez vos propres domaines ou sous-domaines personnalisés enregistrés sur ce service tiers pour envoyer des messages électroniques à vos clients, veillez à demander à votre fournisseur de gérer DKIM pour vous.

Idéalement, si votre fournisseur tiers vous aide à externaliser vos e-mails, il configurerait votre domaine en publiant un enregistrement DKIM sur son DNS à l'aide d'un sélecteur DKIM qui vous est propre, sans que vous ayez à intervenir.

Alternativement, 

Vous pouvez générer une paire de clés DKIM et remettre la clé privée à votre fournisseur de services de messagerie électronique tout en publiant la clé publique sur votre DNS.

Une mauvaise configuration peut entraîner un échec du DKIM. Vous devez donc communiquer ouvertement avec votre fournisseur de services au sujet de votre configuration DKIM

Remarque : Certains serveurs d'échange tiers insèrent des pieds de page formatés dans le corps du message. Si ces serveurs sont des serveurs intermédiaires dans un processus de transfert d'e-mails, le pied de page joint peut être un facteur contribuant à l'échec du DKIM. 

4. Problèmes de communication avec le serveur

Dans certaines situations, l'e-mail peut être envoyé depuis un serveur sur lequel DKIM est désactivé. Dans ce cas, DKIM échouera pour cet e-mail, même si les autres serveurs de votre infrastructure sont correctement configurés. Il est important de s'assurer que les parties communicantes ont correctement activé DKIM. 

5. Modifications du corps du message par les agents de transfert de courrier (MTA)

Contrairement à SPF, DKIM ne vérifie pas l'adresse IP de l'expéditeur ou le chemin de retour lors de la vérification de l'authenticité des messages. Il s'assure plutôt que le contenu du message n'a pas été altéré pendant le transit. Parfois, les MTA participants et les agents de transfert de courrier électronique peuvent modifier le corps du message lors de l'habillage des lignes ou du formatage du contenu, ce qui peut entraîner l'échec de la vérification DKIM. 

Le formatage du contenu d'un courriel est généralement un processus automatisé qui permet de s'assurer que le message est facilement compréhensible pour chaque destinataire. 

6. Coupure DNS / temps d'arrêt DNS

Il s'agit d'une raison fréquente pour les échecs de DKIM. Les pannes DNS peuvent être dues à diverses raisons, notamment à des attaques par déni de service. La maintenance de routine de votre serveur de noms peut également être à l'origine d'une panne DNS. Pendant cette période (généralement courte), les serveurs destinataires ne peuvent pas effectuer de requêtes DNS. 

Comme nous savons que DKIM existe dans votre DNS sous la forme d'un enregistrement TXT/CNAME, le client-serveur effectue une recherche pour demander la clé publique au DNS de l'expéditeur pendant l'authentification. Lors d'une panne, cela est considéré comme impossible et peut donc casser DKIM. 

7. Utilisation d'OpenDKIM

Une implémentation DKIM open source connue sous le nom de OpenDKIM est couramment utilisée par les fournisseurs de messagerie tels que Gmail, Outlook, Yahoo, etc. OpenDKIM se connecte au serveur via le port 8891 pendant la vérification. Parfois, des erreurs peuvent être causées par l'activation de permissions incorrectes, ce qui empêche votre serveur de se connecter à votre socket. 

Vérifiez votre répertoire pour vous assurer que vous avez activé les permissions correctement, ou si du moins vous avez un répertoire configuré pour votre socket. 

Messages d'erreur DKIM courants et leur signification

Comprendre les messages d'erreur DKIM spécifiques vous aide à identifier et à résoudre rapidement les problèmes d'authentification. Voici les messages d'échec DKIM les plus courants et leur signification :

1. Résultat de l'authentification : dkim=neutre (mauvais format)

Les sauts de ligne générés automatiquement dans votre enregistrement DKIM peuvent provoquer le message d'erreur : dkim=neutre (mauvais format). Lorsque votre validateur de courrier électronique relie les enregistrements de ressources interrompus pendant la vérification, il produit une valeur erronée. Une solution possible consiste à utiliser des clés DKIM de 1024 bits (au lieu de 2048 bits) pour respecter la limite de 255 caractères du DNS. 

2. Résultat de l'authentification : dkim=fail (mauvaise signature)

A échec de l'authentification DKIM peut être due à des modifications du contenu du corps du message par un tiers, ce qui a empêché l'en-tête de signature DKIM de correspondre au corps de l'e-mail. 

3. Résultat de l'authentification : dkim=fail (le hash du corps de la signature DKIM n'a pas été vérifié)

Les messages « DKIM-signature body hash not verified » (Hachage du corps de la signature DKIM non vérifié) ou « DKIM signature body hash did not verify » (Le hachage du corps de la signature DKIM n'a pas été vérifié) sont deux résultats alternatifs renvoyés par le serveur destinataire pour la même erreur, qui implique que la valeur de hachage du corps DKIM (balise bh=) a été altérée d'une manière ou d'une autre pendant le transfert. Même si votre paire de clés DKIM est correctement configurée et que vous disposez d'une clé publique valide publiée sur votre DNS, des modifications mineures de la valeur de hachage, telles que l'insertion d'espaces ou de caractères spéciaux, peuvent entraîner l'échec de la vérification du hachage du corps par DKIM.

Le bh= peut être modifiée pour les raisons suivantes : 

  • Serveurs intermédiaires responsables de la modification du contenu du courrier 
  • Ajout de pieds de page par votre fournisseur de services de messagerie électronique.  

4. Résultat de l'authentification : dkim=fail (pas de clé pour la signature)

Cette erreur peut être le résultat d'une clé publique invalide ou manquante dans votre DNS. Il est impératif que vous vous assuriez que vos clés publiques et privées pour DKIM correspondent et sont configurées correctement. Êtes-vous sûr que votre enregistrement DNS DKIM est publié et valide ? Vérifiez-le maintenant en utilisant notre vérificateur d'enregistrement DKIM gratuit.

Comment corriger les échecs DKIM et empêcher leur réapparition

Il n'est pas possible de résoudre tous les problèmes mentionnés ci-dessus, tout simplement parce qu'ils ne peuvent pas tous être contournés. Cependant, nous avons rassemblé quelques conseils utiles que vous pouvez mettre en œuvre pour minimiser les risques d'échec du DKIM. 

  • Générer et publier correctement l'enregistrement DKIM. Utilisez un générateur d'enregistrement DKIM fiable. générateur d'enregistrement DKIM et copiez-collez les valeurs pour éviter les erreurs de syntaxe et les clés tronquées.
  • Validez votre enregistrement DKIM dans le DNS. Vérifiez s'il manque des sélecteurs, s'il y a des problèmes de formatage et des problèmes de propagation DNS à l'aide d'un vérificateur d'enregistrement DKIM.
  • Utilisez SPF DMARC en complément de DKIM. DMARC peut être validé lorsque SPF DKIM est validé et s'aligne, ce qui contribue à réduire les faux rejets lorsqu'une méthode échoue.
  • Activer les rapports DMARC. Les rapports indiquent quelles sources d'envoi échouent au test DKIM et à quelle fréquence, ce qui vous permet de corriger le flux spécifique au lieu de deviner.
  • Auditez les expéditeurs tiers. Vérifiez que tous les fournisseurs qui envoient des messages à partir de votre domaine sont correctement configurés pour signer avec DKIM et alignés avec votre domaine d'expédition.
  • Surveillez en permanence les performances d'authentification. Suivez les tendances des échecs DKIM au fil du temps à l'aide d'un lecteur DMARC pour détecter les pics avant que le placement dans la boîte de réception ne diminue.
  • Escalader lorsque les échecs persistent. Si DKIM continue d'échouer après les vérifications DNS et fournisseur, faites appel à l'assistance d'experts de PowerDMARC pour examiner la signature, le routage et le traitement intermédiaire des e-mails.

Notez que nous avons abordé certaines messages d'échec DKIM courants et leurs causes probables , tout en fournissant une solution solution possible. Cependant, des erreurs peuvent apparaître pour diverses raisons sous-jacentes spécifiques à votre domaine et à vos serveurs, qui n'ont pas été abordées dans cet article. 

Vous devez acquérir suffisamment de connaissances sur les protocoles d'authentification avant de les mettre en œuvre dans votre organisation ou d'appliquer vos politiques. L'échec de DKIM, de SPF ou de la validation DMARC peut avoir un impact sur la délivrabilité de votre courrier électronique.  

Impact du transfert d'e-mails sur DKIM et SPF

Le transfert d'e-mails interfère souvent avec l'authentification, car les messages transitent par un ou plusieurs serveurs intermédiaires avant d'atteindre le destinataire final.

Pourquoi SPF sur les e-mails transférés

SPF si l'adresse IP d'envoi est autorisée à envoyer des e-mails pour le domaine indiqué dans l'enveloppe de l'expéditeur (Return-Path). Lorsqu'un e-mail est transféré automatiquement, le serveur de transfert devient l'adresse IP d'envoi apparente. Si ce serveur ne figure pas dans SPF de l'expéditeur d'origine, SPF .

Remarque :SPF évalué par rapport à l'adresse IP d'envoi du forwarder, et non par rapport au serveur de l'expéditeur d'origine. C'est pourquoi les e-mails transférés échouent souvent SPF lorsque la configuration d'origine est correcte.

Que se passe-t-il avec DKIM lors du transfert ?

DKIM ne peut survivre au transfert que si le message reste inchangé après avoir été signé. Dans la pratique, de nombreux services de transfert et passerelles de sécurité modifient les e-mails en ajoutant des pieds de page, des clauses de non-responsabilité ou en réécrivant leur contenu. Même des modifications mineures peuvent invalider la signature DKIM et entraîner l'échec de l'authentification DKIM.

  • Signez les e-mails sortants avec DKIM. DKIM améliore les chances d'authentification des e-mails transférés lorsque le contenu n'est pas modifié pendant le transit.
  • Utilisez le SRS (Sender Rewriting Scheme) sur les systèmes de transfert. Le SRS réécrit l'expéditeur de l'enveloppe afin que SPF valider correctement après le transfert.
  • Évitez d'ajouter des serveurs de transfert aux SPF . Cette approche est difficile à maintenir et peut entraîner des limites SPF .

La configuration de DKIM avec SPF une pratique recommandée, mais elle n'est pas obligatoire.

  • Si vous ne souhaitez pas configurer DKIM pour vos domaines, mais que vous souhaitez réduire les SPF causés par le transfert, utilisez SRS (Sender Rewriting Scheme) ou une méthode de redirection appropriée sur le système de transfert. SRS réécrit l'expéditeur de l'enveloppe (Return-Path) afin que SPF valider correctement après le transfert.
  • Sinon, si vous contrôlez l'infrastructure de transfert et qu'elle utilise des serveurs sortants fixes, vous pouvez autoriser ces adresses IP d'envoi dans votre SPF . Cette approche est plus difficile à maintenir et peut se heurter à des limites SPF . Il est donc préférable de l'utiliser uniquement dans des environnements contrôlés.

Pourquoi DKIM reste important

DKIM est une méthode d'authentification des e-mails qui prouve deux choses aux serveurs destinataires :

  1. le message a été envoyé par un serveur autorisé à signer pour le domaine, et
  2. les parties signées du message n'ont pas été modifiées pendant leur transit.

Cela est important car les fournisseurs de messagerie utilisent des signaux d'authentification pour décider s'ils peuvent faire confiance à vos e-mails. Lorsque DKIM échoue à plusieurs reprises, vous perdez un signal de confiance essentiel, ce qui peut entraîner le placement dans les spams, la limitation du débit ou des rebonds, en particulier lorsque DMARC est appliqué.

Si vous corrigez aujourd'hui des échecs DKIM, ne vous contentez pas d'un « ça passe une fois ». Assurez-vous que chaque source d'envoi (y compris les plateformes tierces) signe de manière cohérente et surveillez les échecs grâce aux rapports DMARC afin que le problème ne se reproduise pas.

FAQ

1. Qu'est-ce que DKIM et pourquoi le configurer ?

DKIM (DomainKeys Identified Mail) est une méthode d'authentification des e-mails qui ajoute une signature cryptographique aux e-mails sortants. Les serveurs destinataires vérifient la signature à l'aide de la clé publique publiée dans le DNS de votre domaine. Si la signature est vérifiée, cela indique que le message n'a pas été modifié après avoir été signé et que l'e-mail a été envoyé via une configuration de signature DKIM légitime pour le domaine.

DKIM n'est pas un filtre anti-spam à proprement parler, mais il s'agit d'un indicateur de confiance essentiel utilisé conjointement avec SPF DMARC pour réduire l'usurpation d'identité et améliorer la délivrabilité.

2. Quels expéditeurs échouent au test DKIM ?

L'échec est typique des expéditeurs qui :

  • config config config configurer le protocole d'une mauvaise manière
  • utiliser des clés de 2048 bits pour les fournisseurs de messagerie non pris en charge
  • le contenu de l'e-mail a été altéré par un intermédiaire tiers pendant le transfert du message

3. Le DMARC peut-il être validé si le DKIM ne l'est pas ?

Oui, à condition que SPF pour l'e-mail. Si vous avez configuré DMARC et aligné les e-mails sur le SPF et le DKIM SPF DKIM , vous devez réussir l'un des deux contrôles ( SPF DKIM) pour que le DMARC soit validé. Cependant, si votre alignement DMARC ne repose que sur l'authentification DKIM, DMARC échouera, tout comme DKIM.

4. Pourquoi mon message est-il bloqué en raison d'un échec DKIM ?

Les messages peuvent être bloqués lorsque DKIM échoue si le serveur destinataire applique des politiques d'authentification strictes ou si votre politique DMARC est définie sur « rejeter » et que DKIM et SPF tous deux aux contrôles d'alignement.

5. Comment vérifier DKIM dans les en-têtes d'e-mails ?

Recherchez le champ « DKIM-Signature » dans les en-têtes de l'e-mail et vérifiez le champ « Authentication-Results » pour connaître le statut DKIM. Vous pouvez afficher les en-têtes des e-mails dans la plupart des clients de messagerie en sélectionnant « Afficher la source » ou « Afficher l'original ».

6. Le DKIM peut-il échouer si SPF ?

Oui, DKIM et SPF des méthodes d'authentification indépendantes. DKIM peut échouer en raison de problèmes de signature, tandis que SPF grâce à l'autorisation IP. C'est pourquoi la mise en œuvre des deux protocoles offre une meilleure couverture en matière de sécurité des e-mails.

Derniers messages de Maitham Al Lawati (voir tous)
Dernière mise à jour :
Comment corriger 550 SPF Check Failed [SOLVED] (en anglais)Comment corriger l'échec de la vérification de 550 SPFChangements du NCSC Mail Check et leur impact sur la sécurité des courriels dans le secteur publ...