C'est quoi une signature DKIM ?

Qu’est ce que le DKIM?

DKIM (DomainKeys Identified Mail) est une norme d’authentification du mail par son domaine émetteur. Il permet, par l’intermédiaire de la cryptographie asymétrique, de signer un message pour garantir son intégrité, de l’émetteur jusqu’à son destinataire.. Tout comme DomainKey, DKIM spécifie comment signer les messages en utilisant un chiffrement asymétrique, en publiant les clefs publiques via le DNS et en confiant le processus de signature aux serveurs de messagerie. La différence entre DomainKey et DKIM réside dans le fait que le signataire peut être différent de l’auteur et de l’émetteur, le champ de signature est autosigné et la signature peut inclure un délai de validité. DomainKey a été abandonné par Yahoo au profit de DKIM qui devient un standard.

La signature cryptographique DKIM permet l’authentification du nom de domaine de l’expéditeur d’un message électronique. Les signatures des messages garantissent aux serveurs destinataires que l’expéditeur fait bien partie de l’organisme émetteur et que le message d’origine est intègre (non modifié pendant son transit).

Glossaire DKIM

Exemple

La clef publique DKIM du domaine yahoo.com au format 1024 bits est stockée dans le champ TXT de l’entrée « s1024._domainkey.yahoo.com »: « k=rsa; t=y; p=MIGADCBiQKBgQD(…)B; n=A 1024 bit key;« .Cette clef permet de vérifier l’authenticité de la signature présente dans l’email (générée grâce à la clef privée installée sur le serveur émetteur). Exemple de signature présente dans un email : « DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.com; h=X-YMail-OSG:Received:Date:From:Subject:To:Message-ID; b=cuXRK(…)vazo=; ». De cette manière, on s’assure que le mail provient bien du serveur émetteur annoncé et que le domaine émetteur n’est pas usurpé.

Applications

Un email correctement signé provenant d’un serveur utilisant la technologie DKIM a peu de risques d’être un spam. Cela donne donc une indication positive sur le type de mail reçu. Cependant, il n’est pas impossible de voir un spammeur utiliser cette technologie pour diffuser ses spams. Pour compléter cette norme, les serveurs de messagerie vont ajouter les signatures DMARC et SPF aux messages envoyés.
– SPF : indique les serveurs et domaines autorisés à envoyer des messages pour une organisation.
– DMARC : vérifie la cohérence des autres indicateurs SPF et DKIM. DMARC permet de vérifier la correspondance entre le domaine de l’expéditeur et son serveur de messagerie officiel. Cela permet de vérifier qu’il n’y a pas de tentative d’usurpation d’identité, de hameçonnage ou de phishing. Cette norme permet de rendre la signature des emails from fiable.

Comment utiliser le DKIM ?

Le DKIM fonctionne avec deux clefs : la clé publique de l’enregistrement DNS et la clé privée du serveur de messagerie. Lorsque toto@toto.com envoie des mails, son serveur de messagerie génère une en tête de signature DKIM avec la clé privée.

Lorsque le serveur de messagerie du destinataire reçoit un mail, il vérifie l’enregistrement DKIM grâce à la clef publique de l’enregistrement DNS du domaine toto.com. Si les informations de la clef publique et celles de la signature DKIM du mail correspondent, alors il est considéré comme légitime. Sinon il est considéré comme spam car il y a un risque que l’email ait été modifié.

Comment configurer DKIM ?

La configuration du DKIM se fait avec une entrée TXT dans la zone DNS composé du « selecteur._domainkey.domain.tld ». Vous pouvez générer votre clé DKIM sur ce site : https://nstools.fr/tools/dkim_generator . Dans le cas d’Altospam, nous vous invitons à vous rendre sur votre interface d’administration, partie « MailOut », « SPF/DKIM » pour copier-coller les informations utiles dans vos zones DNS. Une fois l’information mise à jour sur vos DNS, vous pourrez activer la signature DKIM automatique, en cochant simplement la case correspondante : « Activer la signature DKIM ».

Vous souhaitez renforcer la sécurité de votre messagerie ?

La sécurité commence dans vos boîtes mails. Nous offrons une analyse gratuite de votre messagerie pendant 15 jours.