DKIM - Signature Cryptographique des Emails
Garantissez l'intégrité et l'authenticité de vos emails avec DKIM.
DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email envoyé depuis votre domaine. Cette signature permet au serveur destinataire de vérifier que l'email n'a pas été modifié en transit et qu'il provient bien d'un serveur autorisé par votre domaine.
Contrairement à SPF qui vérifie uniquement l'IP de l'expéditeur, DKIM garantit l'intégrité du contenu de l'email. Un attaquant pourrait intercepter un email et le modifier, mais la signature DKIM deviendrait invalide, alertant le destinataire de la manipulation.
DKIM repose sur la cryptographie asymétrique : votre serveur email signe avec une clé privée, et la clé publique correspondante est publiée dans vos DNS pour que n'importe qui puisse vérifier la signature.
Comment Fonctionne DKIM
DKIM utilise la cryptographie pour authentifier les emails :
- Paire de clés : Une clé privée (secrÚte, sur votre serveur email) et une clé publique (publiée dans le DNS) forment la paire cryptographique.
- Signature : Votre serveur email calcule un hash du contenu de l'email et le signe avec la clé privée. La signature est ajoutée dans un header DKIM-Signature.
- Vérification : Le serveur destinataire récupÚre la clé publique depuis le DNS (via le selector indiqué), recalcule le hash et vérifie la signature.
- Selector : Le selector permet d'avoir plusieurs clés DKIM (pour rotation ou différents services). Le DNS record est: selector._domainkey.example.com.
Pourquoi DKIM est Important
DKIM apporte des garanties que SPF ne peut pas offrir :
- Intégrité : DKIM garantit que l'email n'a pas été modifié aprÚs signature. Headers et corps sont protégés contre la manipulation.
- Non-répudiation : Une signature DKIM valide prouve que l'email vient bien d'un serveur autorisé par le domaine. Utile pour les preuves légales.
- Délivrabilité : Gmail, Yahoo, et autres accordent une meilleure réputation aux emails signés DKIM. Moins de risque de finir en spam.
- Requis pour DMARC : DMARC (la politique finale) nécessite que SPF OU DKIM passe. Avoir les deux maximise les chances de succÚs.
Comment Configurer DKIM
La configuration DKIM implique serveur email et DNS :
- Générer les clés : Générez une paire de clés RSA (2048 bits minimum). La plupart des services email (Gmail, O365) le font automatiquement.
- Configurer le serveur : Installez la clé privée sur votre serveur email et configurez-le pour signer les emails sortants avec un selector défini.
- Publier la clé publique : Créez un enregistrement TXT DNS au format selector._domainkey.example.com avec la clé publique.
- Tester : Envoyez un email de test et vérifiez les headers. Le destinataire devrait voir DKIM=pass. Utilisez des outils comme mail-tester.com.
Exemples de Configuration DKIM
Voici des exemples d'enregistrements DKIM :
; Enregistrement DKIM dans le DNS
; Format: selector._domainkey.domain.com
google._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4..."
; DKIM Google Workspace (exemple partiel)
google._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."
; VĂ©rification avec dig
$ dig google._domainkey.example.com TXT +short
"v=DKIM1; k=rsa; p=MIGfMA0GCS..."
; Header DKIM dans un email
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=google;
h=from:to:subject:date:message-id;
bh=2jUSOH9NhtVGCQWNr9BrIA==;
b=dP3R6h4N5klJwPQ...v=DKIM1 identifie le format. k=rsa indique l'algorithme. p= contient la clé publique encodée en base64. Le selector (google, s1, etc.) identifie quelle clé utiliser.
Bonnes Pratiques DKIM
Optimisez votre déploiement DKIM :
- Utilisez 2048 bits : Les clés 1024 bits sont considérées faibles. Utilisez 2048 bits ou plus pour la sécurité à long terme.
- Rotation des clés : Planifiez une rotation annuelle des clés DKIM. Utilisez un nouveau selector pour la transition en douceur.
- Surveillez les DNS : Utilisez MoniTao pour surveiller vos enregistrements DKIM. Une clé supprimée ou modifiée = échecs de signature.
- Signez tous les services : Assurez-vous que tous les services qui envoient des emails pour vous (marketing, transactionnel) signent aussi avec DKIM.
Checklist DKIM
- Clé RSA 2048 bits générée
- Clé privée installée sur le serveur email
- Clé publique publiée dans le DNS
- Signature DKIM activée pour les emails sortants
- Tests d'envoi effectués avec vérification des headers
- Monitoring DNS des enregistrements DKIM
Questions Fréquentes - DKIM
DKIM remplace-t-il SPF ?
Non, ils sont complémentaires. SPF vérifie l'IP expéditeur, DKIM vérifie l'intégrité du contenu. DMARC les combine pour une politique unifiée. Utilisez les trois.
Pourquoi ma signature DKIM Ă©choue-t-elle ?
Causes courantes : clé publique DNS incorrecte ou absente, email modifié en transit (par un relais ou antispam), selector mal configuré, ou clé privée non installée.
Qu'est-ce que le selector DKIM ?
Le selector identifie quelle clé utiliser. Il permet d'avoir plusieurs clés (pour différents services ou rotation). Le DNS record est selector._domainkey.domain.com.
Dois-je configurer DKIM pour chaque sous-domaine ?
Si vous envoyez des emails depuis des sous-domaines diffĂ©rents, chacun a besoin de sa propre configuration DKIM (mĂȘme si la clĂ© peut ĂȘtre partagĂ©e).
DKIM protĂšge-t-il le contenu des emails ?
DKIM garantit l'intégrité (non-modification) mais pas la confidentialité. Le contenu reste lisible. Pour la confidentialité, utilisez le chiffrement (S/MIME, PGP).
à quelle fréquence dois-je changer mes clés DKIM ?
Une rotation annuelle est recommandée, ou immédiatement si vous suspectez une compromission. Utilisez un nouveau selector et gardez l'ancien actif pendant la transition.
Signez vos Emails avec DKIM
DKIM apporte une garantie cryptographique que vos emails sont authentiques et non modifiés. Combiné à SPF, il forme la base de l'authentification email moderne et améliore significativement votre délivrabilité.
Déployez DKIM sur tous vos flux email, surveillez vos enregistrements DNS avec MoniTao, et complétez avec DMARC pour une politique d'application claire. L'authentification email est un investissement essentiel.
Liens utiles
PrĂȘt Ă dormir sur vos deux oreilles ?
Commencez gratuitement, sans carte bancaire.