Il existe plusieurs protocoles d'authentification du courrier électronique, mais un seul possède une clé numérique cryptée top secrète. Une signature DKIM aide les fournisseurs de boîtes aux lettres à vérifier votre identité en tant qu'expéditeur tout en luttant contre les attaques par usurpation d'identité. La clé de l'authentification des courriels !
Fondamentalement, DKIM vous permet de signer des lettres importantes à l'encre invisible et d'indiquer clairement que le message provient de vous et non de quelqu'un d'autre. Mais ce n'est pas aussi simple.
Examinons de plus près le protocole DomainKeys Identified Mail.
Pourquoi les signatures DKIM sont-elles nécessaires ?
Communiquer avec les gens par courrier électronique est un atout précieux. Malheureusement, les cybercriminels cherchent à profiter de la confiance que les marques ont gagnée auprès de leurs consommateurs et abonnés.
Les escrocs s'infiltrent dans les boîtes de réception en usurpant l'identité des courriels et des pages web de votre marque, incitant les internautes à installer des logiciels malveillants ou à divulguer des informations sensibles. Il peut s'agir de comptes bancaires, de numéros de cartes de crédit, de numéros de sécurité sociale ou d'informations de connexion à des comptes en ligne. L'usurpation d'adresse électronique conduit facilement à l'usurpation d'identité.
Améliorer la sécurité de la boîte de réception.
Bien que le protocole SMTP (Simple Mail Transfer Protocol ) soit la norme industrielle pour l'envoi de courriers électroniques sur l'internet, il ne prévoit pas de mécanisme de vérification de l'expéditeur avant que le courrier électronique ne soit délivré. Il permet donc aux spammeurs et aux escrocs de remplir les boîtes de réception de courrier indésirable et de tenter d'usurper ou de déguiser des marques de confiance.
Les protocoles d'authentification ont amélioré la sécurité du courrier électronique au cours des dernières décennies en reliant les informations contenues dans les en-têtes des courriers électroniques aux enregistrements publiés sur le serveur de noms de domaine (DNS) de l'expéditeur.
La signature DKIM est l'un de ces protocoles. Elle détecte les fausses adresses d'expéditeur à l'aide d'une clé cryptée.
DKIM est une combinaison de DomainKeys développé par Yahoo et Identified Internet Mail de Cisco en 2004. La section DomainKeys est conçue pour vérifier le domaine DNS de l'expéditeur du courrier électronique, et le courrier Internet identifié est la partie de la spécification relative à la signature numérique.
Les principaux fournisseurs de boîtes aux lettres, tels que Google, Apple Mail et Outlook, recherchent les signatures DKIM lors de l'authentification des courriels.
Comment fonctionne une signature DKIM ?
DKIM permet aux expéditeurs d'associer des messages électroniques à des domaines spécifiques, tout comme d'autres mécanismes d'authentification du courrier électronique. La légitimité du courrier électronique est garantie par les entrées DNS. Le DKIM, quant à lui, utilise une signature numérique cryptée pour y parvenir.
Les DomainKeys de DKIM comprennent une clé publique qui est diffusée dans l'enregistrement DNS et une clé privée qui est incluse dans l'en-tête du courrier électronique. La signature numérique cryptée est la clé privée, qui doit être propre à l'expéditeur et correspondre à ce qui est diffusé dans le DNS.
Une signature DKIM indique aux agents de transfert de courrier (MTA) où accéder aux informations de la clé publique, qui sont utilisées pour valider l'identité de l'expéditeur. Si les deux clés correspondent, le courrier électronique a plus de chances d'être envoyé dans la boîte de réception ; si elles ne correspondent pas ou si le courrier électronique ne comporte pas de signature DKIM, il a plus de chances d'être rejeté ou filtré comme spam.
DKIM ne filtre pas le courrier électronique, mais aide le serveur de réception à déterminer la meilleure façon de filtrer les messages entrants. Le score de spam d'un message est souvent réduit lorsque la vérification DKIM est réussie.
Comment lire un en-tête DKIM
Vous devez générer un enregistrement DK IM et le placer sur votre DNS afin d'utiliser le DKIM pour protéger votre marque contre l'usurpation d'identité et vos abonnés contre les escrocs. L'aide de votre service informatique ou de votre fournisseur de services de messagerie peut s'avérer nécessaire (ESP).
Vous trouverez ci-dessous un exemple de signature DKIM (enregistrée en tant que champ d'en-tête RFC2822) pour le message signé :
Analysons les en-têtes DKIM un par un. Chaque en-tête "tag" se voit attribuer une valeur qui contient des informations sur l'expéditeur **.**
Tags dans un en-tête DKIM
Étiquette
Description
b
La signature numérique réelle du contenu (en-tête et corps) du message électronique.
bh
le hachage du corps
d
le domaine de signature
s
le sélecteur
v
la version
a
l'algorithme de signature
c
le(s) algorithme(s) de canonisation pour l'en-tête et le corps du texte
q
la méthode d'interrogation par défaut
I
la longueur de la partie canonisée du corps qui a été signée
t
l'horodatage de la signature
x
le délai d'expiration
h
la liste des champs d'en-tête signés est répétée pour les champs qui apparaissent plusieurs fois
Remarque : Les balises mises en évidence ci-dessus sont obligatoires. Une signature DKIM qui ne comporte pas ces balises générera une erreur lors de la validation. **.**
L'en-tête DKIM montre que :
La signature numérique est **dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZVoG4ZHRNiYzR.**
Cette signature est comparée à celle du domaine de l'expéditeur.
Le hachage du corps n'est pas répertorié.
Le domaine de signature est exemple.com. Il s'agit du domaine qui a envoyé (et signé) le message.
Le sélecteur est jun2005.eng.
La version n'est pas indiquée.
L'algorithme de signature est le suivant rsa-sha1Il génère la signature.
Les algorithmes de canonisation de l'en-tête et du corps du texte sont simples/relaxés.
La méthode d'interrogation par défaut est le DNS. Elle est utilisée pour rechercher la clé sur le domaine de signature **.**
La longueur de la partie canonisée du corps qui a été signée n'est pas indiquée. Le domaine de signature peut créer une clé à partir de l'ensemble du corps ou d'une partie seulement. Cette section aurait été incluse.
L'horodatage de la signature est 1117574938. C'est la date à laquelle il a été signé.
Le délai d'expiration **est 1118006938.**En effet, un courriel déjà signé peut être réutilisé pour "faux" la signature, les signatures expirent.
La liste des champs d'en-tête signés comprend from:to:subject:date. Il s'agit de la liste des champs qui ont été "signé" pour vérifier qu'ils n'ont pas été modifiés.
Nous sommes conscients qu'il s'agit là d'un grand nombre d'informations techniques. Heureusement, les spécialistes du marketing par courrier électronique disposent d'outils pour créer des enregistrements DKIM.
Comment vérifier une signature DKIM
Les enregistrements DNS et les signatures DKIM peuvent être difficiles à comprendre. Il existe des outils Internet qui peuvent vous aider à vérifier que vos mécanismes d'authentification du courrier électronique sont configurés de manière appropriée.
L'envoi d'un courriel à un compte Gmail est une autre façon de tester DKIM. Ouvrez l'e-mail dans l'application web Gmail, cliquez sur la flèche vers le bas à côté de l'élément "répondre" bouton (en haut à droite du courriel)et sélectionnez "montrer l'original". Si vous voyez "signé par : votre nom de domaine" dans l'original, votre signature DKIM est valide. Cependant, n'oubliez pas que la signature DKIM n'est visible que si vous avez accès au courrier électronique auquel vous l'envoyez. La seule façon de vérifier toutes les
Améliorer la délivrabilité avant l'envoi
Il existe de nombreuses raisons impérieuses d'utiliser des protocoles d'authentification du courrier électronique. L'amélioration de la délivrabilité figure en tête de liste. Si vous n'utilisez pas l'authentification du courrier électronique, les fournisseurs de boîtes aux lettres sont plus susceptibles de filtrer vos messages dans les dossiers de courrier indésirable et de spam.
Pour mieux comprendre :
DKIM utilise une clé privée pour authentifier le courrier électronique :
1- Le service expéditeur publie sa clé publique dans l'enregistrement DNS
2- Le service d'envoi utilisera la clé privée pour signer le message afin de générer l'en-tête de signature DKIM et de l'attacher au courrier électronique envoyé.
3- "d tag" = domaine de l'expéditeur / s tag = sous-domaine -
4- le service destinataire (Gmail) interrogera l'EXEMPLE DE DNS : s.domainkey.domain.com pour obtenir la clé publique
5- le service destinataire (Gmail) validera ensuite la signature DKIM jointe à l'e-mail avec la clé publique obtenue si la signature est valide -> DKIM Passes
Conclusion
Skysnag automatise DMARC, SPF et DKIM pour vous afin d'augmenter la délivrabilité des emails. Ceci étant dit, évitez les attaques par usurpation d'adresse grâce au logiciel automatisé de Skysnag qui vous permet de confirmer la validité des courriels. Inscrivez-vous en utilisant ce lien pour un essai gratuit dès aujourd'hui et assurez-vous que la signature DKIM de votre organisation est correctement configurée.
Vous pourriez être intéressé par la lecture de ce document :
Vérifiez la conformité de votre domaine à la norme DMARC
Appliquer DMARC, SPF et DKIM en quelques jours - et non en quelques mois
Skysnag aide les ingénieurs occupés à appliquer DMARC, répond à toute mauvaise configuration pour SPF ou DKIM, ce qui augmente la délivrabilité des e-mails, et élimine l'usurpation d'identité et l'usurpation d'identité.
