Échec de DKIM

L'échec de DKIM pour les messages de votre domaine peut résulter d'un défaut d'alignement des identifiants pour le protocole DKIM ou de problèmes dans la configuration de vos enregistrements. Aujourd'hui, nous allons nous pencher sur la manière dont la spécification DKIM authentifie vos domaines, sur les raisons pour lesquelles le protocole DKIM peut échouer pour vos messages et sur la manière de résoudre facilement ce problème grâce à quelques conseils et astuces.

Qu'est-ce que DKIM et pourquoi devez-vous le configurer ?

DKIM est un système d'authentification des courriers électroniques qui vous aide à vérifier la légitimité de vos sources d'envoi et à vous assurer que le contenu de votre courrier électronique est resté inchangé tout au long du processus de livraison.

Si nous devons parler de la raison pour laquelle nous avons besoin d'une configuration DKIM pour nos courriels, nous devons parler de la façon dont le courriel peut devenir un vecteur pour mener des activités frauduleuses. Les attaques par usurpation d'identité, allant du phishing à l'usurpation de domaine, ainsi que les infections par des logiciels malveillants, peuvent être menées par le biais de faux e-mails. C'est pourquoi les entreprises doivent mettre en place un système de filtrage pour authentifier les expéditeurs d'e-mails. Ce faisant, elles protègent non seulement leur propre réputation, mais empêchent également des millions d'utilisateurs d'être la proie d'arnaques par courrier électronique.  

DKIM est l'un de ces systèmes de vérification du courrier électronique qui utilise une valeur de hachage (clé privée) pour signer les informations du courrier électronique qui sont comparées à la clé publique logée dans le DNS de l'expéditeur. Les courriels signés numériquement avec une signature DKIM bénéficient d'un haut niveau de protection contre toute altération par un tiers malveillant.

Redirection automatique des e-mails et DKIM Vs SPF

Dans les courriels transférés automatiquement, les en-têtes de courriel sont modifiés en raison de l'intervention d'un ou de plusieurs serveurs intermédiaires. Le message transféré reprend les informations d'en-tête de ce serveur intermédiaire tiers qui peut ou non être inclus comme source d'envoi autorisée dans l'enregistrement SPF de l'expéditeur d'origine. 

S'il n'est pas inclus, SPF échouera pour ce message. 

Comme les signatures DKIM sont incluses dans le corps du message, le transfert n'a aucun effet sur DKIM. C'est pourquoi la mise en place de DKIM en plus de votre politique SPF existante peut vous aider à éviter les échecs d'authentification indésirables pour vos messages transférés. 

Résolution du problème sans DKIM

La mise en place de DKIM en même temps que SPF est une recommandée sur mais elle n'est pas obligatoire.

  • Si vous ne voulez pas configurer DKIM pour vos domaines, mais que vous souhaitez résoudre l'échec du SPF pour vos e-mails transférés, vous pouvez utiliser une méthode appelée redirection d'e-mails. La redirection de vos emails préserve les en-têtes originaux de vos messages.  
  • Sinon, vous pouvez également vous assurer que vous incluez les adresses IP de tous les serveurs intermédiaires participant au processus de transfert dans l'enregistrement SPF de votre domaine. 

Signification de l'échec de DKIM

Si vous avez activé DKIM pour vos courriels sortants, les serveurs récepteurs vérifient l'authenticité du courriel en faisant correspondre votre clé privée DKIM à la clé publique publiée sur votre DNS. S'il y a correspondance, DKIM passe pour le message, sinon DKIM échoue.

L'échec de DKIM fait référence à l'état d'échec de votre vérification d'authentification DKIM, en raison d'une discordance entre les domaines spécifiés dans l'en-tête de signature DKIM et l'en-tête From et d'incohérences entre les valeurs de la paire de clés.

Les cas de test pour DKIM échouent

1. Erreur dans la syntaxe de l'enregistrement DKIM

 

Si vous n'utilisez pas un générateur d'enregistrements générateur d'enregistrements DKIM fiable pour générer votre enregistrement en essayant de le configurer manuellement pour votre domaine, vous risquez de le mettre en œuvre de manière incorrecte. Les erreurs de syntaxe dans vos enregistrements DNS peuvent entraîner un échec de l'authentification, et dans ce cas, DKIM échoue.

2. Échec de l'alignement de l'identifiant DKIM

Si vous avez DMARC est configuré pour votre domaine en plus de DKIM, pendant la vérification de DKIM, la valeur du domaine dans le champ d= de la signature DKIM dans l'en-tête de l'e-mail doit correspondre au domaine trouvé dans l'adresse de départ. Il peut s'agir d'un alignement strict, dans lequel les deux domaines doivent correspondre exactement, ou d'un alignement plus souple qui permet à une correspondance organisationnelle de passer la vérification.

Un échec de DKIM peut se produire si le domaine de l'en-tête de signature DKIM ne correspond pas au domaine trouvé dans l'en-tête From, ce qui peut être un cas typique d'usurpation de domaine ou d'attaque par usurpation d'identité. 

3. Vous n'avez pas configuré DKIM pour vos fournisseurs de messagerie tiers.

Si vous utilisez plusieurs fournisseurs de messagerie tiers pour envoyer des courriers électroniques au nom de votre organisation, vous devez vous mettre en contact avec eux pour obtenir des instructions sur la manière d'activer DKIM pour vos courriers électroniques sortants. Si vous utilisez vos propres domaines ou sous-domaines personnalisés enregistrés sur ce service tiers pour envoyer des messages électroniques à vos clients, veillez à demander à votre fournisseur de gérer DKIM pour vous.

Idéalement, si votre fournisseur tiers vous aide à externaliser vos e-mails, il devrait configurer votre domaine en publiant un enregistrement DKIM sur son DNS en utilisant un sélecteur DKIM qui vous est propre, sans que vous ayez à intervenir.

OU, 

Vous pouvez générer une paire de clés DKIM et remettre la clé privée à votre fournisseur de services de messagerie électronique tout en publiant la clé publique sur votre propre DNS.

Une mauvaise configuration de ce dernier peut entraîner l'échec de DKIM. Il est donc impératif de communiquer ouvertement avec votre fournisseur de services concernant votre configuration DKIM. 

Note: Certains serveurs d'échange tiers induisent des pieds de page formatés dans le corps du message. Si ces serveurs sont des serveurs intermédiaires dans un processus de transfert d'e-mails, le pied de page conjoint peut être un facteur contribuant à l'échec de DKIM.

4. Problèmes de communication avec le serveur

Dans certaines situations, l'e-mail peut être envoyé depuis un serveur sur lequel DKIM est désactivé. Dans ce cas, DKIM échouera pour ce courriel. Il est important de s'assurer que les parties qui communiquent ont activé DKIM correctement. 

5. Modifications du corps du message par les agents de transfert de courrier (MTA)

Contrairement à SPF, DKIM ne vérifie pas l'adresse IP de l'expéditeur ou le chemin de retour lors de la vérification de l'authenticité des messages. Il s'assure plutôt que le contenu du message n'a pas été altéré lors du transit. Parfois, les MTA et les agents de transfert de courrier électronique participants peuvent modifier le corps du message lors de la mise en forme des lignes ou du contenu, ce qui peut entraîner l'échec de DKIM. 

Le formatage du contenu d'un courriel est généralement un processus automatisé qui permet de s'assurer que le message est facilement compréhensible pour chaque destinataire. 

6. Coupure DNS / temps d'arrêt DNS

Il s'agit d'une raison courante pour les échecs d'authentification, y compris l'échec de DKIM. Une panne de DNS peut être due à diverses raisons, notamment à des attaques par déni de service. La maintenance de routine de votre serveur de noms peut également être la raison d'une panne DNS. Pendant cette période (généralement courte), les serveurs destinataires ne peuvent pas effectuer de requêtes DNS. 

Comme nous savons que DKIM existe dans votre DNS sous la forme d'un enregistrement TXT/CNAME, le client-serveur effectue une recherche pour demander la clé publique au DNS de l'expéditeur pendant l'authentification. Lors d'une panne, cela est considéré comme impossible et peut donc casser DKIM. 

7. Utilisation d'OpenDKIM

Une implémentation DKIM open-source connue sous le nom de OpenDKIM est couramment utilisée par les fournisseurs de boîtes aux lettres comme Gmail, Outlook, Yahoo, etc. OpenDKIM se connecte au serveur par le port 8891 pendant la vérification. Parfois, des erreurs peuvent être causées par l'activation de mauvaises permissions, ce qui empêche le serveur de se lier à votre socket. 

Vérifiez votre répertoire pour vous assurer que vous avez activé les permissions correctement, ou si du moins vous avez un répertoire configuré pour votre socket. 

Échecs du résultat de l'authentification DKIM

1. Résultat de l'authentification : dkim=neutre (mauvais format)

Les sauts de ligne générés automatiquement dans votre enregistrement DKIM peuvent provoquer le message d'erreur : dkim=neutre (mauvais format). Lorsque votre validateur de courrier électronique relie les enregistrements de ressources interrompus pendant la vérification, il produit une valeur erronée. Une solution possible consiste à utiliser des clés DKIM de 1024 bits (au lieu de 2048 bits) pour respecter la limite de 255 caractères du DNS. 

2. Résultat de l'authentification : dkim=fail (mauvaise signature)

Cela peut être le résultat de modifications du contenu du corps du message par un tiers, ce qui fait que l'en-tête de signature DKIM ne correspond pas au corps du message. 

3. Résultat de l'authentification : dkim=fail (le hash du corps de la signature DKIM n'a pas été vérifié)

Les messages "DKIM-signature body hash not verified" ou "DKIM signature body hash did not verify" sont deux résultats alternatifs renvoyés par le serveur récepteur pour la même erreur qui implique la valeur de hachage du corps de la signature DKIM (bh= ) a été altérée en transit. Même si votre paire de clés DKIM est correctement configurée et que vous disposez d'une clé publique valide publiée sur votre DNS, des modifications mineures de la valeur de hachage, telles que l'insertion d'espaces ou de caractères spéciaux, peuvent faire échouer la vérification du corps du message DKIM.

La valeur de la balise bh= peut être modifiée pour les raisons suivantes : 

  • Serveurs intermédiaires responsables de la modification du contenu du courrier 
  • Ajout de pieds de page par votre fournisseur de services de messagerie électronique.  

4. Résultat de l'authentification : dkim=fail (pas de clé pour la signature)

Cette erreur peut être le résultat d'une clé publique invalide ou manquante dans votre DNS. Il est impératif que vous vous assuriez que vos clés publiques et privées pour DKIM correspondent et sont configurées correctement. Êtes-vous sûr que votre enregistrement DNS DKIM est publié et valide ? Vérifiez-le maintenant en utilisant notre vérificateur d'enregistrement DKIM gratuit. 

Comment empêcher l'échec de DKIM pour vos messages ?

Il n'est pas possible de traiter tous les problèmes mentionnés ci-dessus, simplement parce qu'ils ne peuvent pas tous être contournés. Cependant, voici quelques conseils utiles que vous pouvez déployer pour minimiser vos chances d'échec de DKIM : 

  • Générez votre enregistrement DKIM à l'aide d'un outil de génération fiable et réputé pour obtenir des résultats précis, et copiez-collez toujours vos valeurs pour éviter les erreurs.
  • Vérifiez que votre enregistrement DKIM ne comporte pas de lacunes ou d'erreurs 
  • Mettez en œuvre SPF et DMARC pour une couche de sécurité supplémentaire contre l'usurpation de domaine et l'usurpation d'identité. DMARC a besoin de SPF ou DKIM pour que les messages passent la validation, donc si votre DKIM échoue et que SPF passe, vos messages passeront toujours DMARC et seront livrés.
  • Activer le rapport DMARC pour vos domaines 
  • Surveillez vos rapports d'échec DKIM et vos résultats d'authentification dans un analyseur de rapports DMARC tableau de bord
  • Discutez en détail avec vos fournisseurs de messagerie de la configuration de DKIM, de la prise en charge du protocole et de la manière dont ils le gèrent. 
  • Obtenez des conseils d'experts sur vos configurations d'authentification des e-mails de la part de notre équipe de spécialistes DMARC en vous inscrivant à un essai gratuit de DMARC avec notre analyseur.  

Notez que nous avons couvert certains messages d'échec DKIM courants et leur causes probables causes probables, tout en fournissant une possible solution possible. Cependant, des erreurs peuvent survenir en raison de diverses raisons sous-jacentes, spécifiques à votre domaine et à vos serveurs, qui n'ont pas été abordées dans cet article.

Il est impératif que vous développiez suffisamment vos connaissances sur les protocoles d'authentification avant de les mettre en œuvre dans votre organisation ou d'appliquer vos politiques. Un échec de DKIM, ou un échec de la validation SPF ou DMARC peut avoir un impact sur la délivrabilité de votre courriel.