DKIM est une méthode d'authentification des courriels qui permet au serveur de réception de vérifier si un courriel a été envoyé et autorisé par le propriétaire du domaine du courriel. Le courrier électronique reçoit une signature numérique, qui est un en-tête ajouté au message et sécurisé par un cryptage.
Si un courrier électronique porte une signature DomainKeys Identified Mail valide, il est certain qu'aucun élément du corps du message ou des pièces jointes n'a été modifié entre le moment où il a été envoyé et celui où il arrive dans votre boîte de réception. Cela signifie que lorsque votre destinataire vérifie la validité de la signature DKIM, il est en mesure de vérifier l'intégrité de toutes les parties du message. Les utilisateurs finaux ne peuvent pas voir les signatures DKIM, la validation étant effectuée au niveau du serveur.
Historique de DKIM
La norme DomainKeys Identified Mail (DKIM) a été développée en 2007 par une coalition d'organisations comprenant AOL, Google, Microsoft et Yahoo ! afin d'aider à résoudre le problème de l'usurpation d'adresse électronique. DKIM utilise la cryptographie à clé publique pour vérifier qu'un message électronique n'a pas été altéré pendant son transit et qu'il provient bien du domaine de l'expéditeur présumé. Pour ce faire, il ajoute une signature numérique à chaque message électronique, qui peut être utilisée pour vérifier l'authenticité du message.
En 2012, le Groupe de travail sur l'ingénierie Internet (IETF) a publié DomainKeys Identified Mail en tant que norme officielle (RFC 6376). Depuis, il a été largement adopté par les fournisseurs de services de courrier électronique (ESP) et d'autres organisations comme moyen de garantir la sécurité et l'intégrité des messages électroniques.
Fonctionnement de DKIM
Chaque message électronique signé DKIM contient un champ d'en-tête DomainKeys Identified Mail-Signature qui comprend les informations suivantes :
Le nom de domaine de l'expéditeur
Un sélecteur pour la clé DKIM utilisée pour signer le message (par exemple, "dkim" ou "20170914")
L'algorithme de signature utilisé (par exemple, "rsa-sha256")
Signature cryptographique générée à l'aide de la clé privée de l'expéditeur.
Lorsqu'il reçoit un message, le serveur de messagerie peut utiliser les informations contenues dans le champ d'en-tête DKIM-Signature pour vérifier l'authenticité du message. Pour ce faire, il devra récupérer la clé publique correspondant au sélecteur et au domaine de l'expéditeur dans un enregistrement DNS (connu sous le nom d'enregistrement TXT). Une fois qu'il dispose de la clé publique, il peut l'utiliser pour vérifier la signature du message et s'assurer que le message n'a pas été altéré.
Pourquoi utiliser DKIM ?
DKIM est un outil important pour lutter contre l'usurpation d'adresse électronique, un type de cyberattaque qui consiste à envoyer des courriels semblant provenir d'un expéditeur légitime, mais en réalité d'une source différente. L'usurpation d'adresse électronique peut être utilisée à diverses fins malveillantes, telles que les attaques par hameçonnage ou la propagation de logiciels malveillants.
Le DomainKeys Identified Mail (DKIM) peut contribuer à protéger les destinataires des attaques par usurpation d' identité en vérifiant l'authenticité de chaque message électronique. En vérifiant que chaque message n'a pas été altéré et qu'il provient bien du domaine de l'expéditeur présumé, le DKIM permet de s'assurer que les destinataires ne sont pas trompés par des courriels usurpés.
En plus de protéger les destinataires contre l'usurpation d'adresse, DKIM peut également contribuer à améliorer la délivrabilité des messages électroniques d'une organisation. En effet, de nombreux ESP utilisent DomainKeys Identified Mail pour vérifier la conformité de l'adresse électronique de l'expéditeur.
Les champs de l'en-tête DKIM-Signature sont définis comme suit :
Étiquette
Description
V
Version. La version actuelle est la version 1.
a
L'algorithme de signature utilisé. Ce document ne définit que l'algorithme rsa-sha256.
c
Le(s) algorithme(s) de canonisation de signature utilisé(s). Le présent document définit deux algorithmes de canonisation de signature : "simple" et "relaxé".
d
Le domaine de signature. Le domaine de l'expéditeur du message.
s
Le sélecteur. Une chaîne qui identifie l'enregistrement de clé publique DomainKeys Identified Mail associé au domaine de signature.
t
Horodatage de la signature. L'horodatage de la signature est le nombre de secondes depuis le 1er janvier 1970 qui représente le moment où la signature a été calculée.
bh
Le hachage du corps du message. Un hachage du corps du message.
h
Le champ des en-têtes de signature. Une liste séparée par deux points qui identifie les champs d'en-tête présentés à l'algorithme de signature.
i
L'identité de la signature. Une chaîne de caractères est utilisée pour indiquer l'étendue du contrôle que le signataire exerce sur le message. (Cela peut être utilisé, par exemple, par un utilisateur de l'entreprise pour affirmer qu'il agit dans le cadre de ses droits et responsabilités professionnelles).
z
Champ des en-têtes de fin de signature. Une liste séparée par deux points qui identifie les champs d'en-tête qui apparaissent après la signature, c'est-à-dire les en-têtes de fin de signature.
b
Les données de la signature. Une signature est générée par l'algorithme spécifié dans la section "a" tag.
x
Un horodatage de l'expiration de la signature. L'expiration de la signature
En résumé, l'en-tête DKIM-Signature est utilisé pour signer les messages en vue de la vérification DKIM. L'en-tête comprend la version de DomainKeys Identified Mail utilisée, l'algorithme utilisé pour générer le hachage, la posture de canonisation pour le domaine d'envoi, le sélecteur pour la clé publique DKIM, le domaine de messagerie qui a signé le message, l'identité du signataire, la valeur d'un hachage du corps et la signature cryptographique de toutes les informations précédentes.
Vérification DKIM
La vérification DKIM commence par s'assurer que le numéro de version est conforme à la spécification DomainKeys Identified Mail, que l'identité du domaine de l'expéditeur correspond au domaine défini dans la signature et que le nom de domaine de l'expéditeur est conforme à la spécification DomainKeys Identified Mail. "h=" contient le champ d'en-tête From. Si tous ces éléments sont corrects, le serveur destinataire tente de récupérer la clé publique du domaine d'envoi à l'aide de la fonction "d=" et "s=" étiquettes.
La clé publique est utilisée pour décrypter le hachage crypté qui a été envoyé avec le message. Le serveur de messagerie qui reçoit le message calcule alors son propre hachage du message. Si les deux hachages correspondent, le message est autorisé à passer.
La norme DKIM empêche-t-elle le spoofing ?
La norme DKIM n'empêche pas à elle seule l'usurpation d'identité. DKIM et DMARC fonctionnent ensemble pour empêcher l'usurpation d'identité. DomainKeys Identified Mail utilise la cryptographie à clé publique pour signer les messages à l'aide d'une clé privée. La signature est ensuite vérifiée à l'aide d'une clé publique extraite des enregistrements DNS de l'expéditeur du message. Cela garantit que seul le propriétaire de la clé privée peut envoyer des messages semblant provenir du domaine de l'expéditeur du message. DMARC utilise les résultats des contrôles DKIM et SPF pour déterminer si un message doit être délivré ou non. En cas d' échec, DMARC peut demander au serveur de messagerie destinataire de rejeter, de mettre en quarantaine ou de délivrer le message.
Le rôle de DKIM dans la délivrabilité
Le principal avantage de l'utilisation de DomainKeys Identified Mail est qu'il vous permet d'authentifier votre courrier électronique. En authentifiant votre courrier électronique, vous indiquez à vos destinataires que le message provient de vous et non de quelqu'un d'autre. C'est important car cela permet d'améliorer la délivrabilité de vos courriels.
Lorsque votre courrier électronique est authentifié, il a plus de chances d'être distribué dans la boîte de réception plutôt que dans le dossier spam. En effet, l'authentification est l'un des facteurs utilisés par les FAI pour déterminer si un courriel doit être délivré dans la boîte de réception ou non.
Un autre avantage de l'utilisation du DomainKeys Identified Mail est qu'il peut vous aider à éviter les filtres anti-spam. En effet, de nombreux filtres anti-spam utilisent DomainKeys Identified Mail pour déterminer si un courriel est un spam ou non. Si un courriel n'est pas authentifié, il est plus susceptible d'être marqué comme spam.
Enfin, l'utilisation de DKIM peut vous aider à vous forger une meilleure réputation auprès des FAI. En effet, ces derniers utilisent souvent le DKIM pour déterminer la réputation de l'expéditeur.
Relation entre SPF, DKIM et DMARC
SPF et DMARC sont utilisés pour authentifier les expéditeurs de courrier électronique. DKIM est utilisé pour authentifier les messages électroniques.
SPF vérifie que l'adresse IP de l'expéditeur correspond à l'adresse IP autorisée à envoyer des courriels au domaine de l'expéditeur.
DKIM utilise des signatures cryptographiques pour authentifier les messages électroniques. La signature est ajoutée à l'en-tête du message et le destinataire peut l'utiliser pour vérifier que le message n'a pas été modifié en cours de route et qu'il a été envoyé par un expéditeur autorisé.
DMARC vérifie les résultats de l'authentification SPF et DomainKeys Identified Mail pour un message et détermine si le message doit être délivré, mis en quarantaine ou rejeté en fonction des règles configurées par l'expéditeur.
Comment configurer une clé DKIM
La configuration du courrier identifié par DomainKeys est la même quel que soit l'ESP ou le serveur de messagerie que vous utilisez. Vous devez disposer d'une clé privée stockée en toute sécurité et partager la clé publique dans les enregistrements DNS de votre domaine. Comme pour SPF, DKIM utilise des enregistrements DNS TXT avec un format spécial.
La rotation régulière des clés DKIM est généralement considérée comme une bonne pratique. La norme DKIM recommande une rotation des clés tous les trimestres et recommande également de révoquer les anciennes clés DKIM dans le cadre du processus de rotation. La façon la plus simple de procéder est d'ajouter de nouvelles clés et de supprimer les anciennes de vos enregistrements DNS quelques jours plus tard. Skysnag est l'un des seuls ESP qui facilite cette gestion en gardant votre ancienne clé privée active pendant que votre nouvelle clé publique se propage.
La meilleure façon de sécuriser le courrier électronique de votre domaine est d'utiliser DomainKeys Identified Mail en combinaison avec SPF et DMARC. Pour plus d'informations sur la manière dont ces protocoles fonctionnent ensemble pour protéger votre domaine, consultez nos autres guides.
Conclusion
La solution automatisée DKIM de Skysnag vous aide à inspecter et à vérifier vos enregistrements DKIM tout en examinant l'origine et le contenu des messages électroniques dans le but de réduire le nombre de spams, de phishing et d'autres courriels nuisibles. De plus, le logiciel automatisé Skysnag s'assure que vos enregistrements DKIM sont configurés correctement. Commencez avec Skysnag et inscrivez-vous pour un essai gratuit dès aujourd'hui.
Vous pourriez être intéressé par la lecture de ce document :
Vérifiez la conformité de votre domaine à la norme DMARC
Appliquer DMARC, SPF et DKIM en quelques jours - et non en quelques mois
Skysnag aide les ingénieurs occupés à appliquer DMARC, répond à toute mauvaise configuration pour SPF ou DKIM, ce qui augmente la délivrabilité des e-mails, et élimine l'usurpation d'identité et l'usurpation d'identité.
