Ce que vous apprendrez dans cet article
- Google Workspace DKIM permet de vérifier les e-mails sortants à l'aide d'une signature cryptographique, ce qui renforce l'authentification des e-mails, la confiance dans les domaines et améliore la délivrabilité des e-mails.
- Avant de commencer, confirmez que votre domaine est vérifié, que Gmail est actif pour ce domaine et que votre équipe dispose d'un accès fonctionnel aux paramètres DNS corrects chez l'hébergeur du domaine.
- Le processus d'installation est simple : générez la clé dans la console d'administration de Google, publiez l'enregistrement TXT dans le DNS, puis revenez et cliquez sur Démarrer l'authentification.
- Le DKIM est le plus efficace lorsqu'il est associé au SPF et au DMARC dans le cadre d'une stratégie plus large de sécurisation du courrier électronique.
La configuration de DKIM dans Google Workspace est l'un des moyens les plus pratiques de renforcer la confiance dans le courrier électronique sortant. Lorsque est configuré correctement, il aide les destinataires à vérifier que vos messages sont légitimes, améliore la délivrabilité et rend l'usurpation de plus difficile.
Ce guide présente le processus d'installation, les pièges les plus courants et la manière de relier DKIM à SPF, DMARC et à la sécurité plus générale de l'e-mail .
Qu'est-ce que DKIM et pourquoi est-ce important ?
DKIM, ou DomainKeys Identified Mail, est une méthode d'authentification du courrier électronique qui permet à un système d'envoi d'attacher une signature cryptographique au courrier électronique sortant. Le système de messagerie du destinataire utilise la clé publique publiée dans le DNS pour valider la signature DKIM de et confirmer que le message a été autorisé par le domaine d'envoi et n'a pas été modifié en cours de route.
Il y a plusieurs raisons pour lesquelles DKIM est important pour la sécurité et l'authentification des courriels :
- Permet de vérifier l'intégrité des messages
- Renforce la confiance dans le courrier électronique de votre domaine
- Permet d'améliorer le placement dans les boîtes de réception et la délivrabilité lorsqu'il est associé à SPF et DMARC.
Découvrez comment Mimecast DMARC Analyzer peut simplifier la surveillance, la création de rapports et la mise en œuvre dans vos domaines.
Conditions préalables à la mise en place de DKIM
Avant de commencer la configuration DKIM de l'espace de travail Google, assurez-vous que les bases sont en place. Le processus de configuration de Google suppose que le domaine est déjà actif pour Gmail et que l'administrateur peut apporter des modifications à la fois dans Workspace et au niveau du DNS.
Vous devez confirmer :
- La vérification du domaine est terminée dans l'espace de travail Google.
- Vous ou un coéquipier avez accès au fournisseur de DNS ou au bureau d'enregistrement du domaine.
- La configuration de la gestion des équipes peut fonctionner avec des enregistrements DNS, y compris un nouvel enregistrement de texte, des noms de sélecteurs et des valeurs TXT.
- Gmail est déjà activé pour ce domaine dans l'espace de travail Google avant d'essayer de générer la clé DKIM.
Si Gmail n'a été activé que récemment pour le domaine, il se peut que Google ne vous permette pas de générer immédiatement la clé DKIM dans la console d'administration de l'espace de travail Google (). Cette période d'attente est normale et peut retarder l'étape suivante.
Il est également utile de revoir d'abord le chemin du courrier sortant. DKIM peut être interrompu si les messages sont modifiés après la signature. Cela peut se produire ( ) lorsque les passerelles de sortie, les outils de messagerie sécurisée ou les services de routage modifient les en-têtes ou les corps des messages après l'application de la signature .
Après avoir confirmé que vous disposez de la configuration nécessaire, vous pouvez maintenant procéder à la configuration de DKIM dans l'espace de travail Google .
Étape 1 : Générer la clé DKIM dans l'espace de travail Google
La première étape consiste à générer la clé DKIM dans la console d'administration. Dans le flux documenté de Google, rendez-vous à l'adresse suivante :
Console d'administration > Apps > Google Workspace > Gmail > Authentifier l'e-mail
A partir de là, sélectionnez le domaine correct avant de générer l'enregistrement. Cela est important dans les environnements comportant plusieurs domaines ou sous-domaines, car les paramètres DKIM sont spécifiques à chaque domaine.
Lorsque vous cliquez sur Générer un nouvel enregistrement, Google vous demande de faire deux choix importants :
- Longueur de bit de la clé DKIM : Google recommande 2048 bits si votre fournisseur de domaine le prend en charge ; 1024 bits est la solution de repli pour les hôtes dont la longueur des TXT est limitée.
- Sélecteur : Google utilise le sélecteur par défaut Google, ce qui est généralement satisfaisant, sauf si ce sélecteur est déjà utilisé. Si c'est le cas, choisissez plutôt un sélecteur préfixe ou un autre sélecteur clair et unique.
Étape 2 : Publier l'enregistrement DKIM TXT dans le DNS
Une fois que Google a généré la clé, vous devez ajouter l'enregistrement DNS DKIM à votre hébergeur de domaine. Google fournit deux valeurs importantes pour :
- Nom d'hôte, tel que Google._domainkey
- TXT, qui commence par v=DKIM1 ; et comprend la clé publique (p=)
Ajoutez cet enregistrement TXT à la zone de gestion DNS de votre registraire ou fournisseur DNS et enregistrez-le. Il s'agit de l'enregistrement DNS que les systèmes récepteurs interrogeront lors de l'authentification DKIM.
Si votre fournisseur prend en charge plusieurs fragments d'enregistrement DNS TXT pour les valeurs longues, suivez ses règles de formatage à la lettre. Si ne l'est pas, l'enregistrement peut être publié de manière incorrecte même si le texte semble correct dans la console.
Étape 3 : Démarrer l'authentification DKIM dans l'espace de travail Google
Une fois l'entrée DNS publiée, retournez dans la console d'administration de Google et allez dans :
Apps > Google Workspace > Gmail > Authentifier l'e-mail
Sélectionnez le même domaine et cliquez sur Démarrer l'authentification, mais seulement après que l'enregistrement DNS a été ajouté. L'état de réussite documenté par Google ( ) est que la page change pour indiquer que le domaine authentifie le courrier électronique avec DKIM.
Il est normal que la console affiche un état d'avertissement ou d'attente pendant un certain temps, même si la mise à jour du DNS est correcte. Ce délai de est souvent dû à la propagation du DNS, et non à une installation défectueuse.
Étape 4 : Vérifier que DKIM fonctionne
Ne considérez pas que l'installation a réussi simplement parce que l'enregistrement est publié. Il est tout aussi important de tester le flux de courrier en direct.
Pour ce faire, envoyez un message test à partir du compte configuré vers une boîte de réception Gmail ou Google Workspace distincte, et non vers la boîte de réception du même expéditeur . Google indique expressément que vous ne pouvez pas vérifier le DKIM en vous envoyant un message test.
Ouvrez ensuite le message reçu dans Gmail et utilisez l'option Afficher l'original pour consulter les en-têtes. Vous voulez confirmer que DKIM passe pour le sélecteur et le domaine attendus. C'est le moyen le plus direct de valider la signature en direct.
Les méthodes de vérification les plus rapides sont les suivantes :
- Vérifier les en-têtes des messages dans Gmail
- Lancer une recherche DNS pour confirmer que la clé publique du sélecteur est visible
Un vérificateur d'enregistrements DKIM ( ) peut également aider à confirmer que l'enregistrement est publié, mais il doit être considéré comme un complément, et non comme un substitut, à la vérification de l'en-tête . Un enregistrement DNS visible ne suffit pas à prouver que le courrier électronique en direct est signé correctement.
Étape 5 : Résoudre les problèmes courants liés à la norme DKIM de Google Workspace
Les causes les plus fréquentes de problèmes liés à la norme DKIM après l'installation sont simples :
- Délai de propagation du DNS
- Nom d'hôte ou sélecteur incorrect
- Valeurs TXT tronquées
- Sélection du mauvais domaine dans la console d'administration
Même si l'enregistrement DNS est correct, la norme DKIM peut échouer si le message est modifié après que Google l'a signé. Cette adresse inclut les modifications apportées par les passerelles, les outils de filtrage ou les plates-formes de messagerie sécurisée. Dans ces cas, le problème n'est pas l'enregistrement lui-même, mais le chemin d'accès au message.
La situation devient plus complexe dans les environnements d'entreprise où des plates-formes tierces envoient des messages au nom du même domaine. La signature des e-mails de Google Workspace ne concerne que les e-mails envoyés par l'intermédiaire des systèmes de Google. Si un CRM, une plateforme marketing ou un outil de billetterie envoie également des messages à partir de ce domaine, il peut avoir besoin de son propre sélecteur, de sa propre configuration de signature et de son propre examen de l'alignement.
Étape 6 : Relier DKIM à SPF, DMARC et à une sécurité plus large de la messagerie électronique
DKIM est un contrôle important, mais c'est dans le cadre d'une stratégie à plusieurs niveaux qu'il est le plus efficace. Google recommande de configurer SPF, DKIM et DMARC ensemble pour vos domaines. Ces méthodes fonctionnent en pile :
- DKIM signe le message
- Sender Policy Framework vérifie si l'infrastructure d'envoi est autorisée.
- DMARC dans Google applique des règles et des rapports en cas d'échec de l'authentification.
Cela signifie que votre projet DKIM de l'espace de travail Google doit être placé à côté de votre enregistrement SPF et de votre enregistrement DMARC, et non à part. Si vous utilisez Google comme expéditeur, le guide SPF de Google fait généralement référence à une inclusion SPF telle que include:_spf.google.com ; assurez-vous simplement que votre syntaxe SPF finale est correcte pour votre environnement.
Lorsqu'ils sont mis en œuvre conjointement, ces contrôles réduisent l'usurpation d'identité, améliorent la délivrabilité des courriels et contribuent à instaurer la confiance dans les courriels des cadres et des employés sur le site . Ils contribuent également à la réduction des risques humains en rendant l'usurpation d'identité et les courriels suspects plus difficiles à envoyer avec succès.
Configurez Google Workspace DKIM pour renforcer la confiance
Les étapes de configuration de Google Workspace DKIM ne sont pas compliquées, mais elles nécessitent une coordination minutieuse entre Workspace, le DNS et le flux de courrier. Générez la clé dans la console d'administration de Google Workspace, publiez correctement l'enregistrement TXT , ne lancez l'authentification qu'une fois le DNS activé et vérifiez les résultats par l'inspection des en-têtes en temps réel.
Le plus important est de considérer DKIM comme un élément d'une stratégie plus large de sécurité du courrier électronique. Chaque domaine d'envoi a besoin de sa propre configuration , et les meilleurs résultats à long terme sont obtenus lorsque DKIM est associé à SPF et DMARC pour une protection plus forte, une confiance plus grande et une capacité de livraison plus fiable.