• FR
  • EN
  1. Support
  2. Glossaire
  3. DKIM

C'est quoi une signature DKIM ?

Glossaire DKIM

Analyse heuristique | Anti-relais | Botnet / Zombie | Bounce | DANE | Déni de service | DKIM | DMARC | DNSSEC | Faux-négatifs | Faux-positifs | Filtres bayésiens | FOVI - Arnaque au président | FQDN | Greylisting | Listes blanches | Listes noires / DNSBL | MTA / MDA | Opt-in | Opt-out | Phishing | Ransomware | Scam / Nigérian419 | SMTP | Spam | SPF | StartTLS | Teergrubing | Test de Turing | Virus / Malware

DKIM

Définition de DKIM

DomainKeys Identified Mail (DKIM) est un draft (au sens IETF internet Engineering Task Force) issu de la fusion de DomainKey (Yahoo) et Identified Internet Mail (Cisco). Tout comme DomainKey, DKIM spécifie comment signer les messages en utilisant un chiffrement asymétrique, en publiant les clefs publiques via le DNS et en confiant le processus de signature aux serveurs de messagerie. La différence entre DomainKey et DKIM réside dans le fait que le signataire peut être différent de l'auteur et de l'émetteur, le champ de signature est autosigné et la signature peut inclure un délai de validité. DomainKey a été abandonné par Yahoo au profit de DKIM qui devient un standard.

La signature cryptographique DKIM permet l'authentification du nom de domaine de l'expéditeur d'un message électronique. Les signatures des messages garantissent aux serveurs destinataires que l'expéditeur fait bien partie de l'organisme émetteur et que le message d’origine est intègre (non modifié pendant son transit).

 

Exemple

La clef publique DKIM du domaine yahoo.com au format 1024 bits est stockée dans le champ TXT de l'entrée "s1024._domainkey.yahoo.com": "k=rsa; t=y; p=MIGADCBiQKBgQD(...)B; n=A 1024 bit key;".Cette clef permet de vérifier l'authenticité de la signature présente dans l'email (générée grâce à la clef privée installée sur le serveur émetteur). Exemple de signature présente dans un email : "DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.com; h=X-YMail-OSG:Received:Date:From:Subject:To:Message-ID; b=cuXRK(...)vazo=;". De cette manière, on s'assure que le mail provient bien du serveur émetteur annoncé et que le domaine émetteur n'est pas usurpé.

 

Applications

Un email correctement signé provenant d'un serveur utilisant la technologie DKIM a peu de risques d'être un spam. Cela donne donc une indication positive sur le type de mail reçu. Cependant, il n'est pas impossible de voir un spammeur utiliser cette technologie pour diffuser ses spams. Pour compléter cette norme, les serveurs de messagerie vont ajouter les signatures DMARC et SPF aux messages envoyés.
- SPF : indique les serveurs et domaines autorisés à envoyer des messages pour une organisation.
- DMARC : vérifie la cohérence des autres indicateurs SPF et DKIM. DMARC permet de vérifier la correspondance entre le domaine de l'expéditeur et son serveur de messagerie officiel. Cela permet de vérifier qu'il n'y a pas de tentative d'usurpation d'identité, de hameçonnage ou de phishing. Cette norme permet de rendre la signature des emails from fiable.

 

Comment utiliser le DKIM ?

Le DKIM fonctionne avec deux clefs : la clé publique de l'enregistrement DNS et la clé privée du serveur de messagerie. Lorsque toto@toto.com envoie des mails, son serveur de messagerie génère une en tête de signature DKIM avec la clé privée.

Lorsque le serveur de messagerie du destinataire reçoit un mail, il vérifie l'enregistrement DKIM grâce à la clef publique de l'enregistrement DNS du domaine toto.com. Si les informations de la clef publique et celles de la signature DKIM du mail correspondent, alors il est considéré comme légitime. Sinon il est considéré comme spam car il y a un risque que l'email ait été modifié.

 

Comment configurer DKIM ?

La configuration du DKIM se fait avec une entrée TXT dans la zone DNS composé du « selecteur._domainkey.domain.tld ». Vous pouvez générer votre clé DKIM sur ce site : https://nstools.fr/tools/dkim_generator . Dans le cas d’Altospam, nous vous invitons à vous rendre sur votre interface d’administration, partie « MailOut », « SPF/DKIM » pour copier-coller les informations utiles dans vos zones DNS. Une fois l’information mise à jour sur vos DNS, vous pourrez activer la signature DKIM automatique, en cochant simplement la case correspondante : « Activer la signature DKIM ».

 

Informations complémentaires

- Site officiel DKIM
- Article complet sur les technologies anti-spams

Articles en rapport avec dkim :
- Comment mettre en avant ou en retrait certains emails ?
- Naissance de la norme DMARC
- Authentifiez vos emails sortants pour une meilleure délivrabilité
- Limites des techniques d'authentification d'expéditeurs SPF, DKIM
- Halte aux Spams : contexte, techniques et solutions
- Analyse détaillée des technologies anti-spams