Ce que vous apprendrez dans cet article
- L'alignement DKIM est une exigence DMARC qui vérifie l'alignement de l'identifiant entre le domaine From et le domaine utilisé pour la signature DKIM.
- Le serveur de réception compare le domaine de l'en-tête de l'e-mail au domaine de signature de l'en-tête de signature DKIM.
- L'alignement détendu et l'alignement DKIM strict dépendent du mode d'alignement DMARC défini dans l'enregistrement DMARC.
- Les défaillances d'alignement sont fréquentes dans les organisations qui utilisent plusieurs domaines et plateformes SaaS pour envoyer des courriels.
- Le vérificateur d'enregistrements DKIM de Mimecast permet de valider les enregistrements DNS, les sélecteurs et les clés DKIM.
De nombreuses organisations déploient DKIM et rencontrent encore DMARC des échecs. Dans de nombreux cas, la signature elle-même est valide, mais le domaine utilisé pour la signature ne correspond pas au domaine de l'expéditeur visible par les destinataires. DKIM vérifie qu'un message a été autorisé et inchangé, tandis que DMARC relie les résultats de l'authentification au domaine From.
L'alignement DKIM effectue ce contrôle d'identité et aide les organisations à maintenir une authentification cohérente à travers plusieurs domaines , des environnements de messagerie hybrides et des plateformes d'envoi tierces.
Qu'est-ce que l'alignement DKIM ?
L'alignement DKIM est une exigence DMARC qui vérifie si le domaine utilisé dans une signature DKIM correspond au domaine indiqué dans l'adresse "From" d'un courrier électronique.
DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique aux messages sortants. Lors de la signature DKIM, le système d'envoi joint un en-tête de signature DKIM contenant un domaine de signature et un sélecteur. La signature comprend deux identifiants clés :
- Domaine de signature (d=) - le domaine responsable de la signature
- Sélecteur (s=) - la valeur utilisée pour localiser la clé publique DKIM dans le DNS
Le sélecteur pointe vers un enregistrement DKIM publié dans le DNS. Certaines organisations publient la clé directement, tandis que d'autres utilisent un enregistrement CNAME qui renvoie à l'infrastructure DNS hébergée.
Alignement DKIM et application DMARC
DMARC évalue DKIM en deux étapes. La première est l'authentification DKIM qui valide la signature à l'aide de la clé DKIM. La seconde est l'alignement du domaine, qui confirme que le domaine de signature correspond au domaine de provenance.
Cette comparaison des identités est appelée alignement des identifiants et est contrôlée par le mode d'alignement DMARC. Deux modes d'alignement sont couramment utilisés :
- Alignement détendu : Le domaine de signature peut être un sous-domaine du domaine de provenance s'ils appartiennent tous deux au même domaine organisationnel .
- Alignement strict : Le domaine de signature doit correspondre exactement au domaine de provenance.
Étant donné que DMARC évalue à la fois DKIM et SPF, les organisations examinent souvent l'authentification ensemble en utilisant DKIM, SPF et DMARC pour comprendre comment ces méthodes interagissent.
Comment fonctionne l'alignement DKIM
Lorsqu'un serveur de messagerie destinataire effectue un contrôle DMARC, il traite d'abord le DKIM. Le serveur lit l'en-tête DKIM signature et récupère la clé DKIM publique associée au sélecteur et au domaine de signature. Si la clé est stockée via une configuration déléguée, le destinataire peut suivre une référence CNAME avant de récupérer l'enregistrement DKIM.
Après la vérification DKIM, DMARC effectue le contrôle d'alignement. Le serveur compare le domaine From dans l'en-tête de l'e-mail avec le domaine de signature DKIM (d=).
Si les domaines correspondent au mode d'alignement configuré, DKIM peut satisfaire à la conformité DMARC de. S'ils ne correspondent pas, l'authentification DKIM peut réussir, mais DMARC enregistre un échec d'alignement.
Cette situation se produit souvent lorsque les organisations s'appuient sur des plateformes d'envoi tierces. Les applications SaaS, les systèmes de marketing ou les outils de billetterie peuvent signer les messages en utilisant leur propre domaine au lieu du domaine de l'organisation.
Exemples de résultats de l'alignement
Exemple 1 : L'alignement strict réussit
Une entreprise envoie une alerte à partir de alerts@example.com. Le courriel est signé avec d=example.com.
Comme le domaine de signature correspond exactement au domaine de provenance, la vérification DKIM et l'alignement de domaine sont tous deux réussis.
Exemple 2 : L'alignement détendu réussit
Un message est envoyé depuis alerts@example.com, mais la signature DKIM utilise d=mail.example.com.
Étant donné que l'alignement assoupli autorise les sous-domaines sous le même domaine organisationnel, l'alignement des identificateurs réussit toujours.
Exemple 3 : L'expéditeur tiers est à l'origine de l'échec de l'alignement
Une plateforme de marketing envoie un courriel à partir de news@example.com, mais signe le message en utilisant d=mailer.vendor.com.
Bien que la vérification DKIM réussisse, les domaines ne sont pas alignés, de sorte que DMARC échoue en raison de l'échec de l'alignement DKIM.
Exemple 4 : L'alignement strict bloque la signature des sous-domaines
Un message provenant de alerts@example.com est signé avec d=mail.example.com, tout en respectant un alignement strict.
L'alignement strict exigeant une correspondance exacte des domaines, le chemin DKIM échoue pour DMARC. Les équipes valident souvent la configuration de DNS à l'aide d'une vérification de l'enregistrement DKIM sur.
Pourquoi l'alignement DKIM est-il important pour la sécurité des entreprises ?
L'alignement DKIM relie les résultats de l'authentification à l'identité de l'expéditeur visible par les destinataires. Sans alignement, les attaquants de pourraient signer des messages en utilisant leur propre domaine tout en se faisant passer pour une autre organisation.
Ce risque est étroitement lié à phishing et aux attaques par usurpation de domaine. Lorsque l'alignement est assuré par DMARC, les organisations réduisent la probabilité que les messages usurpés atteignent les boîtes de réception des utilisateurs.
L'alignement a également une incidence sur la faisabilité. Une fois que la politique DMARC de est appliquée, les messages qui échouent à l'authentification peuvent être mis en quarantaine ou rejetés. Dans les environnements comportant plusieurs domaines et des expéditeurs tiers, un mauvais alignement peut perturber le courrier légitime si les configurations ne sont pas cohérentes.
Comment résoudre les problèmes d'alignement DKIM
La résolution des problèmes d'alignement DKIM nécessite une visibilité sur les résultats de l'authentification et sur l'infrastructure d'envoi. Les équipes chargées de la sécurité sur le site procèdent généralement en plusieurs étapes :
Examiner les rapports DMARC
Utilisez DMARC reports pour identifier les expéditeurs qui ne parviennent pas à s'aligner et pour savoir si l'échec est lié à DKIM, SPF ou aux deux. Décomposez les résultats en fonction de la source d'envoi et du domaine From afin de pouvoir isoler le flux spécifique (application, ESP, CRM, helpdesk, etc.) qui a besoin d'être modifié.
Confirmer les paramètres de l'enregistrement DMARC
Vérifiez l'enregistrement DMARC publié et confirmez les modes d'alignement (adkim= et aspf=) ainsi que la politique (p=) et déployez les contrôles comme pct=. Assurez-vous que l'enregistrement que vous attendez est bien celui qui est renvoyé dans le DNS pour le domaine From dans la question .
Vérifier les enregistrements DKIM
Vérifiez que chaque expéditeur légitime signe avec DKIM et que le sélecteur renvoie à une clé publique valide dans le DNS. Confirmez que la valeur d= de la signature DKIM correspond au domaine From (ou au domaine de l'organisation dans le cas d'un alignement assoupli sur ) et procédez à la rotation/réparation des clés lorsque les recherches échouent ou que les signatures sont rompues.
Normaliser les identités des expéditeurs tiers
Pour chaque SaaS ou service de messagerie externe, configurez la signature DKIM pour utiliser votre domaine (ou un sous-domaine aligné) à la place du domaine de signature par défaut du fournisseur. Si la plate-forme prend en charge des domaines de retour personnalisés et des domaines d'envoi dédiés, aligne ces identités afin de réduire les comportements de domaines mixtes.
Valider l'alignement du FPS
Confirmez que toutes les adresses IP d'envoi et les domaines d'inclusion sont autorisés dans SPF et que le domaine utilisé pour l'évaluation SPF correspond au domaine de départ. Pour les expéditeurs tiers, cela signifie généralement que utilise un domaine de rebond/retour aligné plutôt que le domaine partagé du fournisseur.
Comment Mimecast aide à renforcer l'authentification des courriels
Les grandes entreprises gèrent souvent plusieurs domaines, plateformes de messagerie et expéditeurs tiers. Le maintien de l'authentification dans ces environnements nécessite un contrôle et une validation continus.
Les équipes de sécurité peuvent utiliser Mimecast DMARC Analyzer pour examiner les enregistrements DMARC, identifier les sources d'envoi et contrôler les résultats de l'authentification dans tous les domaines. Pour le dépannage de DKIM , MimecastDKIM Check permet de valider les signatures DKIM, de confirmer la configuration DNS et d'identifier les problèmes liés à la signature DKIM et à l'alignement du domaine .
Maintien de l'alignement DKIM
L'alignement DKIM est un élément essentiel de l'authentification DMARC car il relie les résultats de la vérification DKIM à l'identité de l'expéditeur visible dans l'en-tête du courrier électronique. Lorsque l'alignement des identifiants est cohérent entre les services d'envoi, les organisations renforcent l'application de DMARC et réduisent le risque d'usurpation de domaine.
Le maintien de l'alignement nécessite un examen régulier des enregistrements DNS, de la configuration DKIM, de l'autorisation SPF et des paramètres de la politique DMARC sur le site. Des outils tels que Mimecast DMARC Analyzer et Mimecast DKIM Check aident les équipes à contrôler l'authentification et à identifier les problèmes d'alignement avant qu'ils n'affectent la délivrabilité ou la sécurité.