Qu’est-ce que DKIM et pourquoi est-il important ?

DKIM est l’une des mesures de sécurité primordiales pour empêcher l’usurpation d’identité de courrier électronique. Il aide les serveurs de réception à vérifier la légitimité des courriels entrants et à empêcher les courriels falsifiés d’arriver dans les boîtes de réception des destinataires.

Dans cet article, vous découvrirez ce qu’est DKIM, comment il fonctionne et comment le configurer pour votre domaine.

Qu’est-ce que DKIM ?

DKIM (DomainKeys Identified Mails) est un mécanisme d’authentification de messagerie qui permet aux destinataires de vérifier que le propriétaire du domaine a envoyé le courriel entrant et qu’il n’a pas été modifié pendant son acheminement.

Il est basé sur la cryptographie à clé publique par laquelle une signature numérique est créée. Cette signature fait partie des en-têtes des courriels et contient des parties chiffrées du courriel. Les destinataires peuvent comparer cette signature à la clé publique DKIM et vérifier l’authenticité de l’e-mail.

Ci-dessous, vous pouvez voir une image d’en-têtes d’e-mails contenant une signature DKIM.

DKIM s’aligne sur les deux autres principales méthodes d’authentification: SPF et DMARC. Ces trois mécanismes contribuent à la sécurité de la messagerie et empêchent l’usurpation d’identité et le hameçonnage.

Pourquoi DKIM est-il important ?

DKIM est bénéfique à deux égards clés: il aide à empêcher l’usurpation d’identité par e-mail et augmente le taux de livraison des e-mails.

En règle générale, les fraudeurs pratiquent l’usurpation d’identité par courrier électronique en prétendant être quelqu’un d’autre. Avec DKIM, les destinataires peuvent vérifier qu’un e-mail a été envoyé par le propriétaire réel du domaine, empêchant ainsi les e-mails falsifiés d’arriver dans leur boîte de réception. Ainsi, DKIM ajoute une couche de sécurité supplémentaire pour les expéditeurs et les destinataires.

D’un autre côté, de nombreux fournisseurs de services de messagerie appliquent l’authentification DKIM pour déterminer si les courriels entrants sont légitimes. Même si les e-mails sont sollicités et envoyés par le propriétaire du domaine mais sans les clés DKIM, ils peuvent toujours être marqués comme spam par le serveur de messagerie du destinataire.

Par conséquent, l’utilisation de DKIM diminue les chances que des e-mails valides soient bloqués par les filtres anti-spam.

Qu’est-ce qu’un enregistrement DKIM ?

Un enregistrement DKIM est un type d’enregistrement DNS (Domain Name System) contenant une clé publique . Les destinataires peuvent vérifier l’authenticité des e-mails entrants en faisant correspondre leurs signatures numériques à cette clé publique.

L’enregistrement DKIM est généralement un enregistrement TXT avec la clé publique incluse dans la valeur de l’enregistrement. Le format le plus courant pour le nom de l’enregistrement est

 default._domainkey.votredomaine.com 

Le préfixe « default » s’appelle DKIM selector , qui peut avoir un nom différent pour les différents services de messagerie. Le préfixe «  _domainkey  » indique que l’enregistrement DNS est DKIM et suit toujours le sélecteur DKIM.

La valeur de l’enregistrement a généralement le format suivant:

 "v=DKIM1; k=rsa; p=PUBLICKEY" 

CLÉ PUBLIQUE est un espace réservé pour la clé publique réelle de l’enregistrement DKIM.

Vous pouvez voir ici le format final d’un enregistrement TXT DKIM apparaissant dans les recherches DNS.

En plus d’un enregistrement DNS TXT, l’enregistrement DKIM peut aussi être un enregistrement DNS CNAME . Dans ce cas, la valeur de l’enregistrement DKIM est une adresse menant à un serveur où les destinataires peuvent obtenir la clé publique DKIM du domaine. L’enregistrement DKIM CNAME possède une adresse semblable à celle-ci:

 dkim.server.com 

Ci-dessous, vous pouvez voir comment un enregistrement DKIM CNAME apparaîtrait dans les vérificateurs DNS.

Le fournisseur de services de messagerie détermine le type d’enregistrement DNS DKIM que vous devez ajouter à votre zone DNS.

Comment les enregistrements DKIM fonctionnent-ils ?

Envoi d’un message DKIM signé

Lorsque DKIM est activé, chaque e-mail que vous envoyez est signé avec une signature numérique. Cette signature contient des parties sélectionnées du message qui sont hachées et chiffrées avec la clé privée DKIM du serveur de messagerie.

Avant d’envoyer un courrier électronique, le serveur de courrier sortant ajoute la signature dans les en-têtes du courrier électronique. Il est important de noter que DKIM ne chiffre pas le message électronique lui-même, mais uniquement la signature numérique.

Vérification d’un message DKIM signé

Lorsqu’un destinataire reçoit un e-mail, son serveur de messagerie peut rechercher la clé publique associée à l’enregistrement DKIM du domaine de l’e-mail. Le serveur de courriel utilise la clé publique pour vérifier la signature du courriel et la déchiffrer. Si la signature est valide, le destinataire peut être sûr que l’e-mail a été envoyé par le domaine dont il prétend provenir et qu’il n’a pas été modifié pendant le transfert.

Comment DKIM empêche-t-il l’usurpation de domaine ?

L’usurpation d’identité par e-mail est une tactique d’escroquerie qui consiste à envoyer des e-mails se faisant passer pour des personnes ou des marques de confiance. L’objectif final pour eux est de gagner la confiance de leurs victimes et de leur faire révéler des informations sensibles.

Cependant, comme les escrocs n’ont pas accès au serveur de messagerie autorisé du domaine dont ils usurpent l’identité, ils ne peuvent pas utiliser la clé privée DKIM. Par conséquent, leurs courriels ne contiennent pas de signature numérique valide correspondant à la clé publique DKIM.

Par conséquent, lorsque DKIM est activé, les destinataires peuvent vérifier si un e-mail provient du serveur du domaine revendiqué en comparant la signature à la clé publique du domaine à partir de l’enregistrement DNS DKIM. Le destinataire peut conclure que le courriel est contrefait si la signature ne correspond pas à la clé publique.

Comment ajouter un enregistrement DKIM à mon domaine ?

L’enregistrement DKIM est un enregistrement DNS qui autorise un serveur de messagerie à envoyer des e-mails depuis votre domaine. Votre service de messagerie doit fournir ses informations pour que vous puissiez l’ajouter à la zone DNS de votre domaine. L’enregistrement DKIM peut être un enregistrement DNS TXT ou CNAME.

Une fois que vous avez l’enregistrement, vous devez accéder au panneau de contrôle, où vous gérez votre zone DNS. Si votre domaine pointe vers des serveurs de noms SiteGround, accédez à Site Tools> Domaine> Éditeur de zone DNS .

Comment ajouter un enregistrement TXT DKIM

Dans la section Créer un nouvel enregistrement , choisissez TXT pour ajouter l’enregistrement DKIM TXT.

Chaque enregistrement DKIM possède un identifiant distinct appelé Sélecteur DKIM . Il s’agit d’un préfixe de l’enregistrement DNS de votre domaine suivi d’un autre préfixe _domainkey . Les deux doivent être soumis dans le champ Name de l’enregistrement TXT au format:

 DKIM selector._domainkey.yourdomain.com 

Dans Site Tools , , le domaine est automatiquement ajouté au nom de l’enregistrement. Ainsi, lorsque vous saisissez le nom, omettez votre nom de domaine et n’incluez que la partie:

 Sélecteur DKIM._domainkey 

Dans le champ Value , placez la valeur de l’enregistrement DKIM. Pour confirmer l’enregistrement, cliquez sur le bouton CRÉER .

Une fois créé, l’enregistrement apparaîtra dans votre éditeur de zone DNS.

Comment ajouter un enregistrement DKIM CNAME

Si l’enregistrement DKIM requis est de type CNAME, dans la section Créer un nouvel enregistrement , choisissez CNAME .

Dans le champ Name , saisissez le nom DKIM qui est DKIM selector._domainkey . Tout comme pour les enregistrements TXT, laissez votre nom de domaine en dehors du nom de l’enregistrement CNAME. Il est ajouté automatiquement au nom.

Dans le champ Resolves to , ajoutez l’adresse du serveur DKIM. Appuyez sur CREATE pour confirmer l’enregistrement CNAME.

Une fois que vous avez ajouté l’enregistrement, vous le verrez dans votre zone DNS.

Comment activer un enregistrement DKIM pour le service de messagerie de SiteGround

Si votre domaine pointe vers des serveurs de noms SiteGround et que vous utilisez le service de messagerie de SiteGround, l’activation de DKIM est assez simple.

L’enregistrement DKIM est activé par défaut et vous n’avez rien à faire. Vous n’auriez besoin d’activer l’enregistrement DKIM que si vous l’aviez désactivé précédemment ou si vous avez supprimé manuellement l’enregistrement TXT DKIM.

Pour vérifier l’état de l’enregistrement, accédez à Site Tools> Courriel>Authentification . Dans la section Authentication Settings , sélectionnez DKIM . Sous la colonne Status , vous verrez l’ état actuel comme ACTIVE ou INACTIVE .

Si l’enregistrement est désactivé, cliquez simplement sur le bouton ACTIVER sous la colonne Actions . L’enregistrement DKIM sera automatiquement ajouté à votre zone DNS et aucune autre action ne sera requise.

Comment puis -je tester si j’ai correctement configuré DKIM ?

Il y a plusieurs façons de tester si votre serveur signe les courriels avec des signatures DKIM valides. Vous pouvez inspecter les en-têtes des courriels manuellement ou utiliser les vérificateurs DKIM en ligne.

La manière manuelle est d’envoyer un courriel à votre adresse et de vérifier les en-têtes du message reçu pour voir si la signature DKIM est présente et valide. Pour obtenir des instructions détaillées, consultez ce guide sur comment afficher les en-têtes d’e-mails sur différents clients de messagerie.

Un e-mail avec une signature DKIM valide doit contenir des champs d’en-tête semblables à ceux-ci:

 ARC-Message-Signature: i=1 ; a=rsa-sha256; c=détendu/détendu ; d=google.com; s=arc-20160816;

h=message-id:references:in-reply-to:subject:to:from:date:mime-version

:dkim-signature;

bh=5rsMJhy76W3D/z8AJuih+X6wXiK/kovaUJAmSpGilNw=;

b=T64jMkRn2Qxsf2VtXs5jDNcp/dTHWpfbcK8Y5nzz4md5uneJSc4VW52BRXMJIGxEq3

vqyMgxIqPO/2xXodnRuKwh7/TTSo/oebaoFKVGXoVVxyzlTPoGokWpR9U057NTlFg4Pb

JuZI7eF6QlbGGHXvFvqQJFFDWN5uOzzxDlmdLrARyWQfZSyWpyYW43XBJZlmMrnuequf

4mOGCmcG9TZko46qDdYBr5GXMiQOqwZg48Zbo52YnI3kzgIlWWvPFyKJfG91cSeS+jQD

aZZlnsDCcYgoIH2/IJAgDlHp+P/9E+XTg2WVRGwtpy0QPsWeLBwEKSTodw3bAQb2Wk0f

NGTQ==

ARC-Authentification-Résultats: i=1 ; mx.google.com ;

dkim=pass header.i=@sg-testing.com header.s=default header.b=YW86hZW6; 

Vous pouvez également tester si vous avez correctement configuré DKIM en utilisant un outil en ligne tel que celui fourni par MXToolBox. Il peut confirmer que la clé publique est correctement publiée dans votre zone DNS et que votre serveur de messagerie signe correctement les messages sortants.

Il existe également d’autres vérificateurs comme mail-tester.com. Sur ce site, il vous sera demandé d’envoyer un courriel depuis la messagerie de votre domaine à une adresse électronique de test désignée. Une fois l’e-mail envoyé, l’outil génère un rapport d’état de toutes les authentifications de messagerie utilisées, y compris DKIM.

Résumé

DKIM est un mécanisme d’authentification des e-mails qui permet de lutter contre l’usurpation d’identité par e-mail et le hameçonnage. En l’implémentant pour votre nom de domaine, vous empêchez les escrocs d’usurper l’identité de votre marque et protégez vos destinataires des e-mails falsifiés.

C’est une fonctionnalité importante que tout propriétaire de domaine devrait envisager d’intégrer. Nous espérons que cet article vous a aidé à comprendre comment fonctionne DKIM et comment l’activer pour votre service de messagerie.