Qu'est-ce que DKIM ?

Points clés

Ce que vous apprendrez dans cet article

DKIM garantit l'authenticité des courriers électroniques grâce à des signatures numériques, ce qui renforce la sécurité. Associés à DMARC et SPF, les domaines peuvent atténuer efficacement les cybermenaces.

DKIM utilise des signatures numériques pour valider l'authenticité et l'intégrité des messages électroniques, ce qui renforce les mesures de sécurité.
Les enregistrements DKIM, stockés dans le DNS, contiennent des clés publiques essentielles à l'authentification du courrier électronique, ce qui facilite une mise en œuvre efficace.
La combinaison de DKIM et de DMARC permet de vérifier les adresses des expéditeurs, ce qui réduit les risques de phishing et renforce la sécurité globale du courrier électronique.

DKIM expliqué

DKIM, ou DomainKeys Identified Mail, est une méthode d'authentification des courriers électroniques qui utilise une signature numérique pour indiquer au destinataire d'un courrier électronique que le message a été envoyé et autorisé par le propriétaire d'un domaine.

Une fois que le destinataire a déterminé qu'un courriel porte une signature DKIM valide, il peut confirmer que le contenu du courriel n'a pas été modifié. Dans la plupart des cas, les signatures DKIM ne sont pas visibles pour les utilisateurs finaux, la validation étant effectuée au niveau du serveur. Si DKIM est utilisé conjointement avec DMARC ou SPF, vous pouvez protéger votre domaine contre les courriels malveillants envoyés par des domaines usurpant l'identité de votre marque.

Qu'est-ce qu'un enregistrement DKIM ?

En termes simples, un enregistrement DKIM est une ligne de texte dans l'enregistrement DNS qui contient la clé publique que les serveurs de messagerie destinataires peuvent utiliser pour authentifier la signature DKIM.

L'usurpation d'adresses électroniques provenant de domaines de confiance étant une menace cybernétique de plus en plus répandue, il est important de vérifier d'abord votre enregistrement DKIM afin de commencer votre mise en œuvre DKIM. Il est recommandé d'ajouter un enregistrement DKIM à votre DNS chaque fois que cela est possible afin d'authentifier le courrier électronique provenant de votre domaine.

Savez-vous qui envoie des e-mails au nom de votre domaine et de votre marque ? Commencez par utiliser DKIM et DMARC pour vous assurer que votre marque n'est pas exploitée par les cybercriminels.

Qu'est-ce que la vérification d'un enregistrement DKIM ?

Un contrôle d'enregistrement DKIM est un outil qui teste le nom de domaine et le sélecteur à la recherche d'un enregistrement DKIM valide et publié. Mimecast propose un vérificateur d'enregistrements DK IM gratuit qui peut valider les enregistrements DKIM. Mimecast propose également un validateur SPF et des vérifications d'enregistrements DMARC gratuits.

Commencez votre parcours DKIM et DMARC en vérifiant d'abord votre enregistrement DKIM.

Utiliser DKIM pour empêcher l'usurpation d'adresse électronique

Le protocole DKIM utilise une signature cryptographique - un en-tête crypté ajouté au message - pour vérifier que le courrier électronique est authentique et qu'il n'a pas été modifié en cours de route. Le destinataire utilise une clé publique trouvée dans l'enregistrement DKIM du DNS du domaine pour décrypter la signature DKIM et authentifier le message.

Bien que le protocole soit utile, DKIM ne constitue pas à lui seul un moyen garanti de prévenir les attaques par usurpation d'identité. L'information DKIM n'est pas visible pour un utilisateur non technique et n'apporte aucune réponse à la possibilité que l'expéditeur usurpe l'adresse "from" dans le courrier électronique - la seule information que la plupart des utilisateurs voient. Les clés privées utilisées pour signer les messages avec DKIM peuvent être volées par des pirates. De plus, la gestion des clés publiques peut être une tâche fastidieuse pour les équipes chargées de la sécurité du courrier électronique.

DMARC, ou Domain-based Message Authentication Reporting & Compliance, s'appuie sur le protocole DKIM ainsi que sur le protocole Sender Policy Framework (SPF) pour fournir une couche de défense plus solide contre l'usurpation d'adresse électronique. DMARC garantit que l'adresse "from" visible correspond à l'adresse IP sous-jacente afin d'éviter l'usurpation d'identité. Pour passer les contrôles DMARC, un message doit passer l'authentification DKIM et/ou l'authentification SPF. L'application DMARC Analyzer fournit en outre des instructions sur la manière de traiter les courriels qui ont échoué aux contrôles DMARC.

Le protocole DMARC peut réduire de manière significative les dommages que les attaquants peuvent causer par le biais d'attaques de spoofing et/ou de phishing. Cependant, le déploiement de DMARC peut prendre du temps et s'avérer difficile sans outils de qualité supérieure et sans aide qualifiée. C'est pourquoi de plus en plus d'organisations se tournent vers Mimecast lorsqu'elles cherchent à mettre en œuvre DMARC avec un minimum d'effort et de retard.

Mimecast DMARC Analyzer : Un chemin plus rapide vers l'authentification

Mimecast DMARC Analyzer fournit les outils et les ressources dont vous avez besoin pour mettre en œuvre DMARC rapidement et facilement tout en minimisant les coûts, les risques et les efforts. DMARC Analyzer sert de guide d'expert, en fournissant un logiciel d'analyse qui permet de publier votre politique de rejet le plus rapidement possible. Cette solution Mimecast offre une vision complète de vos canaux de messagerie afin de s'assurer que les messages légitimes ne sont pas bloqués, et fournit des alertes, des rapports et des graphiques qui simplifient la tâche de contrôle des performances et d'application de l'authentification.

Avec Mimecast DMARC Analyzer, vous pouvez :

Détecter et bloquer les attaquants en effectuant un contrôle DMARC pour déterminer si le courrier électronique tente d'usurper l'identité de clients, d'employés ou d'autres parties.
Bénéficiez d'une visibilité et d'une gouvernance à 360° sur l'ensemble des canaux de messagerie.
Mettez en place une politique DMARC sur la passerelle avec des outils de renseignement sur les courriels en libre-service.
Héberger et gérer les enregistrements SPF.
Évitez la limite de 10 recherches SPF.
Gagnez du temps et de l'argent avec une solution 100% basée sur SaaS.
Accédez à des alertes, des rapports et des graphiques faciles à utiliser pour faciliter la mise en œuvre et le suivi des performances.

DMARC Analyzer : caractéristiques principales

DMARC Analyzer simplifie le déploiement de DMARC grâce à une approche étape par étape et à des outils en libre-service qui permettent d'accélérer la mise en œuvre de DMARC. DMARC Analyzer offre :

Un nombre illimité d'utilisateurs, de domaines et de groupes de domaines, ce qui permet aux administrateurs d'assurer une couverture complète.
Assistant de configuration pour les enregistrements DMARC.
Des rapports médico-légaux qui simplifient la tâche d'identification et de recherche des sources de courrier électronique malveillant.
Des rapports de synthèse quotidiens et hebdomadaires qui permettent aux administrateurs de suivre les progrès au fil du temps.
Outils permettant de surveiller les changements DNS et de recevoir des alertes lorsqu'un enregistrement est modifié.
Des rapports agrégés et des graphiques conviviaux qui facilitent l'analyse et accélèrent la mise en œuvre de la politique DMARC.
Sécurité renforcée basée sur l'authentification à deux facteurs.
Validateurs pour les enregistrements DMARC, SPF et DKIM.
Des services gérés (optionnels) qui permettent aux organisations de minimiser les risques tout en passant à l'application de DMARC dans les plus brefs délais.

Comment créer ou paramétrer DKIM ?

La signature DKIM est générée par le MTA (Mail Transfer Agent). Il crée une chaîne de caractères unique appelée valeur de hachage. Cette valeur de hachage est stockée dans le domaine répertorié. Après avoir reçu le courrier électronique, le destinataire peut vérifier la signature DKIM à l'aide de la clé publique enregistrée dans le DNS. Il utilise cette clé pour décrypter la valeur de hachage dans l'en-tête et recalculer la valeur de hachage à partir du courrier électronique qu'il a reçu. Si ces deux signatures DKIM correspondent, le destinataire du courrier électronique sait que celui-ci n'a pas été modifié.

Quelle est la différence entre DKIM et SPF ?

SPF est tout comme DKIM, une technique d'authentification des courriels qui peut être utilisée en utilisant le DNS (Domain Name Service). DKIM permet de spécifier quels serveurs de messagerie sont autorisés à envoyer des courriels au nom du domaine d'une organisation. L'authentification des expéditeurs légitimes par SPF donne au destinataire (systèmes de réception) des indications sur le degré de fiabilité de l'origine d'un courrier électronique.

La différence entre SPF et DKIM est que la technique d'authentification des courriels DKIM permet au destinataire de vérifier qu'un courriel a bien été envoyé et autorisé par le propriétaire du domaine. Pour ce faire, une signature numérique DKIM est ajoutée aux courriers électroniques. La signature DKIM est un en-tête ajouté au message et sécurisé par un cryptage.

Comment la norme DKIM améliore-t-elle la délivrabilité ?

DKIM est une technique d'authentification du courrier électronique similaire à SPF. DKIM permet au destinataire de vérifier qu'un courriel a bien été envoyé et autorisé par le propriétaire du domaine. Pour ce faire, une signature numérique DKIM est ajoutée aux courriers électroniques. Une signature DKIM est un en-tête ajouté à un message et sécurisé par un cryptage.

L'authentification des sources d'envoi légitimes par DKIM donne au destinataire (systèmes de réception) des informations sur le degré de fiabilité de l'origine d'un courrier électronique et peut améliorer de manière significative la délivrabilité globale d'un canal de courrier électronique.&#x2028

Dans la pratique, la norme DKIM ne suffit pas à elle seule à protéger totalement un canal de courrier électronique. Le système de validation du courrier électronique DMARC est souvent obligatoire et requis pour la conformité, car il crée un lien entre SPF et DKIM en validant si une source d'envoi a été authentifiée avec SPF ou DKIM.

En outre, DMARC permet aux organisations de demander aux services de messagerie électronique tels que Gmail, Hotmail et d'autres de rejeter tous les courriels qui ne sont pas conformes aux normes SPF et/ou DKIM.

Comment implémenter DKIM dans mon domaine ?

Avant de mettre en place une signature DKIM, l'expéditeur doit décider quels éléments du courrier électronique doivent être inclus dans la signature DKIM. En général, il s'agit du corps du message et de quelques en-têtes par défaut. Ce comportement ne peut être modifié. Une fois décidés, ces éléments de la signature DKIM doivent rester inchangés, faute de quoi la validation DKIM échouera.

La signature DKIM est générée sous la forme d'une chaîne de texte unique, la "valeur de hachage". Avant d'envoyer le courrier électronique, la valeur de hachage est cryptée à l'aide d'une clé privée, la signature DKIM. Seul l'expéditeur a accès à cette clé privée. Lorsque le courrier électronique est crypté, il est envoyé avec cette signature DKIM.

Puis-je avoir plusieurs enregistrements DKIM ?

"La possibilité d'inclure plusieurs enregistrements DKIM sur un single domaine est nécessaire lorsqu'une organisation utilise plusieurs serveurs différents pour envoyer des courriers électroniques au nom de son nom de domaine ou pour utiliser la \"rotation des clés DKIM\" afin de réduire le risque que les clés DKIM soient comprises."