Échecs DKIM : types d'échecs et comment y remédier

Que signifie un échec DKIM ?

Un échec DKIM signifie qu'un serveur de réception n'a pas pu valider la signature cryptographique associée à un e-mail. Dans le protocole DomainKeys Identified Mail (), le système émetteur signe certaines parties du message à l'aide d'une clé privée, et le serveur destinataire vérifie cette signature par rapport à la clé publique publiée dans le DNS.

Un échec survient généralement pour l'une des deux raisons suivantes : soit le message ne correspond plus à ce qui avait été signé à l'origine, soit le serveur de réception de l' ation ne parvient pas à récupérer ou à valider la clé publique appropriée. Dans ce cas, le message risque d'être davantage considéré comme du spam par les systèmes de filtrage anti- , de voir sa délivrabilité réduite, voire d'être purement et simplement rejeté, ce qui peut entraîner des erreurs telles que « 550 Échec de la validation DKIM ».

Cela permet également de distinguer les échecs DKIM des résultats connexes :

• Un échec DKIM signifie qu'une signature DKIM existe, mais qu'elle n'est pas valide.
• L'absence de signature DKIM signifie que le message n'a tout simplement jamais été signé.
• L'échec DMARC a une portée plus large et dépend du fait que les vérifications DKIM ou SPF soient réussies avec un alignement correct.

Types d'échecs DKIM

Les échecs liés au DKIM ne sont pas tous dus à la même cause. Les cas les plus courants présentés ci-dessous montrent les situations dans lesquelles le protocole DKIM peut présenter des dysfonctionnements, ainsi que les causes habituelles de chaque problème .

Erreur dans la syntaxe de l'enregistrement DKIM

Un enregistrement DKIM mal formé est l'une des causes les plus directes d'échec de la validation DKIM. Des chaînes de caractères incomplètes, des balises manquantes, des caractères d' non valides ou des erreurs de publication peuvent empêcher le serveur destinataire de lire correctement la clé publique.

Échec de l'alignement de la signature DKIM

Un message peut passer la vérification DKIM tout en posant un problème DMARC si le domaine de signature ne correspond pas au domaine « From » visible dans . Dans ce cas, le DKIM est techniquement valide, mais il ne répond pas aux exigences d'alignement DMARC définies par.

Aucune configuration DKIM pour les services tiers

Les outils tiers envoient souvent des e-mails au nom d'un domaine, mais tous ne sont pas configurés par défaut pour la signature DKIM . Si ces services ne sont pas configurés correctement, leurs flux de messagerie risquent de ne pas passer le contrôle DKIM ou de contribuer à des problèmes d'authentification plus généraux liés à l' .

Problèmes liés à la communication avec le serveur

Des problèmes au niveau du chemin d'envoi, de la chaîne de relais ou de l'environnement de réception peuvent perturber la génération, la transmission ou la validation de la signature DKIM . Ces cas sont moins évidents que les erreurs de DNS, mais ils peuvent néanmoins compromettre l'authentification DKIM .

Modifications apportées aux messages par les MTA

Il s'agit de l'une des causes les plus courantes d'échecs de signature DKIM. Si un MTA, une passerelle, un outil de transfert ou une couche d' s de sécurité modifie le corps ou les en-têtes signés après la signature DKIM, il se peut que la signature d'origine ne corresponde plus au message.

Panne ou indisponibilité du DNS

La vérification DKIM dépend de la disponibilité du DNS. Si le serveur destinataire ne parvient pas à récupérer la clé publique en raison d'une interruption de service de l' DNS ou de problèmes de recherche, la validation DKIM peut échouer même si l'e-mail a été correctement signé.

Configuration incorrecte d'OpenDKIM

Lorsque OpenDKIM est utilisé, un échec DKIM peut être dû à des incompatibilités de sélecteurs, à des erreurs dans la table de signature ou à des références incorrectes au fichier de clé . Ces problèmes de configuration se traduisent souvent par des échecs DKIM génériques, à moins que la configuration de la signature ne soit examinée de près .

Identifiants d'expéditeur incorrects

Une divergence entre le domaine signé, le domaine « From » visible et l'identité de l'expéditeur peut entraîner des problèmes d'alignement et d' s d'authentification. Cela prendra d'autant plus d'importance que la mise en œuvre de DMARC sera effective.

Clés périmées ou manquantes

Si la clé publique requise est absente du DNS, a été supprimée trop tôt ou ne correspond plus à la clé privée active, la vérification de l' DKIM échouera. Cela se produit souvent lors de changements de clé incomplets ou en cas de synchronisation DNS défaillante.

Messages d'erreur DKIM courants

Les échecs DKIM apparaissent souvent sous la forme de résultats d'authentification spécifiques dans les en-têtes des messages ou les journaux de messagerie. Les messages d'erreur courants ci-dessous peuvent vous aider à déterminer si le problème est lié au formatage, à la récupération de la clé ou à des modifications apportées au message après la signature.

dkim=neutre (format incorrect)

Cela signifie généralement qu'un enregistrement DKIM de type « » ou une signature DKIM de type « » existe, mais que sa structure est incorrecte ou illisible dans le format attendu. Le problème réside souvent dans la syntaxe de l'enregistrement DKIM plutôt que dans le flux de messagerie lui-même.

dkim=échec (signature incorrecte)

Cela signifie que le serveur destinataire a détecté une signature DKIM, mais que la clé publique n'a pas pu la valider. Parmi les causes courantes d'une erreur « », on peut citer les modifications apportées au message après la signature, les incompatibilités de sélecteurs ou les incompatibilités de clés.

dkim=fail (hachage du corps de la signature DKIM non vérifié)

Cela indique une divergence entre les hachages du corps du message. Dans la plupart des cas, cela signifie que le contenu de l'e-mail a été modifié après la signature DKIM initiale .

dkim=échec (aucune clé pour la signature)

Cela signifie que le serveur destinataire n'a pas pu trouver de clé publique valide dans le DNS pour le sélecteur et le domaine mentionnés dans la signature « ». Cela est souvent dû à l'absence d'un enregistrement TXT, à une incompatibilité de sélecteur ou à un délai de propagation DNS.

Ces messages sont utiles car ils permettent de cerner le problème plus rapidement. Une fois que vous savez si le problème provient d'une erreur de syntaxe, d'une recherche de clé ou de modifications apportées au message après la signature, l'étape suivante consiste à corriger la cause sous-jacente et à vous assurer que cela ne se reproduise plus.

Comment résoudre les échecs DKIM et les éviter à l'avenir

Pour résoudre les problèmes liés à DKIM, il faut généralement vérifier plusieurs étapes du flux de messagerie. Les étapes suivantes mettent l'accent sur les causes les plus courantes et les plus de défaillance du protocole DKIM, ainsi que sur les modifications concrètes permettant d'éviter que ces problèmes ne se reproduisent.

1. Vérifier les enregistrements DNS et la correspondance des sélecteurs

Commencez par vérifier que la clé publique DKIM est bien publiée dans le DNS, qu'elle est accessible et qu'elle est associée au même sélecteur que celui indiqué à l'adresse dans l'en-tête de l'e-mail. Si le sélecteur figurant dans le message ne correspond pas à celui du DNS, la validation DKIM échouera.

2. Corriger les problèmes de syntaxe et de mise en forme

Reconstruisez soigneusement les enregistrements DKIM mal formés au lieu de les corriger à l'aveuglette. Vérifiez s'il y a des erreurs de mise en forme, des coupures, des balises manquantes ou un emplacement incorrect des enregistrements TXT. De petites erreurs de configuration DNS peuvent entraîner des problèmes récurrents liés au DKIM.

3. Vérifier le contenu de l'e-mail après la signature

Une signature DKIM peut échouer même si la configuration de la clé est correcte, si le message subit des modifications après la signature. Vérifiez qu'aucun système en aval d' ne modifie le corps du message ni les en-têtes signés après l'application de DKIM.

4. Vérification des passerelles et des relais de messagerie

Les passerelles, les services de transfert, les outils de messagerie sécurisée et les MTA peuvent tous réécrire certaines parties d'un message. Lors du dépannage d'un échec DKIM lié à , vérifiez l'intégralité du chemin de distribution plutôt que de vous limiter au serveur de messagerie d'origine.

5. Prévoyez un délai de propagation du DNS

Si vous avez mis à jour l'enregistrement DKIM ou changé de sélecteur, veuillez patienter le temps nécessaire à la propagation DNS avant de refaire le test. Un nouvel enregistrement peut sembler ne pas avoir été mis à jour simplement parce que la modification n'est pas encore visible sur tous les résolveurs.

6. Contrôle des expéditeurs tiers

Il convient de passer en revue tous les services externes utilisant votre domaine. Vérifiez que chacun d'entre eux est configuré pour la signature DKIM, que l'adresse utilise le domaine prévu et qu'il prend en charge le modèle d'alignement requis par votre politique DMARC.

7. Vérifiez à nouveau l'identité et l'alignement de l'émetteur

Assurez-vous que le domaine de signature DKIM et le domaine « De » affiché soient configurés de manière à garantir une correspondance valide. Une bonne signature DKIM ne suffit pas à elle seule si la relation entre les domaines est incorrecte pour l'authentification DMARC.

Bonnes pratiques pour éviter les échecs DKIM

Pour réduire progressivement les échecs DKIM, il est nécessaire d'adopter quelques habitudes de maintenance régulières. Ces bonnes pratiques permettent d'éviter que les problèmes liés à la signature « », au DNS et à l'alignement ne se transforment en problèmes d'authentification récurrents.

• Renouvelez régulièrement les clés DKIM afin que les anciennes clés ne restent pas en circulation trop longtemps.
• Vérifiez soigneusement les configurations DNS avant et après chaque modification.
• Utilisez des normes cryptographiques robustes et évitez les paramètres de clés obsolètes.
• Évitez toute modification du contenu après la signature en effectuant la signature DKIM le plus tard possible dans le processus de distribution.
• Utilisez systématiquement le protocole TLS lors du transfert des données afin de réduire le risque d'altération des messages.
• Activez les rapports DMARC afin de pouvoir détecter plus facilement et plus tôt les problèmes d'authentification récurrents.

Ces pratiques ne permettront pas d'éviter tous les problèmes liés à DKIM, mais elles facilitent la prévention des défaillances et accélèrent leur diagnostic. Plus vous les appliquez de manière cohérente, plus votre configuration d'authentification des e-mails gagne en stabilité.

Impact du transfert d'e-mails sur les protocoles DKIM et SPF

Le transfert d'e-mails peut avoir des répercussions sur l', le SPF et le DKIM de différentes manières. Comprendre cette différence permet d'expliquer pourquoi un message transféré peut tout de même être considéré comme légitime , même lorsqu'un contrôle d'authentification échoue.

Comment le transfert d'e-mails influe sur le SPF

Le SPF échoue souvent après un transfert d'e-mail, car le serveur de transfert n'est généralement pas autorisé dans l'enregistrement SPF de l'expéditeur d'origine . L'e-mail transféré peut tout à fait être légitime, mais le serveur destinataire détecte une adresse IP d'expédition différente de celle attendue par le SPF.

Comment le transfert d'e-mails affecte le protocole DKIM

Le DKIM peut résister au transfert d'e-mails si le message reste inchangé et si la signature d'origine est conservée. Cependant, si le service de transfert modifie les en-têtes ou le contenu du corps du message, la vérification DKIM peut échouer, car le message signé ne correspond plus à la signature d'origine.

C'est pourquoi le transfert donne souvent lieu à des résultats d'authentification mitigés. Le SPF est plus susceptible de ne plus fonctionner lors d'un transfert, tandis que le DKIM peut continuer à fonctionner si le message reste inchangé.

Anticiper les échecs DKIM

La plupart des échecs DKIM s'expliquent par les mêmes causes profondes : erreurs DNS, modification du message après la signature, clés manquantes ou non , et problèmes d'alignement. Pour y remédier, il faut généralement examiner l'ensemble du processus, depuis la signature DKIM jusqu'à la publication de l' DNS, en passant par le comportement de distribution en aval.

Une validation et un suivi rigoureux sont tout aussi importants que la correction initiale. Pour les organisations gérant plusieurs domaines de type « », des expéditeurs tiers et des environnements de messagerie à plusieurs niveaux, les fonctionnalités de sécurité et d’ de l’authentification des e-mails de Mimecast peuvent contribuer à améliorer la visibilité sur les protocoles DKIM, SPF et DMARC dans l’ensemble de l’environnement d’envoi.