.
Mimecast Logo
Obtenir un devis

    Comment configurer un enregistrement DKIM

    Apprenez à configurer DKIM en faisant correspondre votre sélecteur, votre enregistrement DNS et votre plate-forme d'envoi. Une configuration adéquate permet d'assurer l'authentification des courriels et d'améliorer la délivrabilité.
    Planifiez une démonstration
    Comment configurer DKIM
    Planifiez une démonstration
    Points clés

    Ce que vous apprendrez dans cet article

    • Pour savoir comment configurer DKIM, il faut d'abord identifier le système qui envoie effectivement votre courrier électronique sortant, car un mauvais signataire peut rompre l'authentification DKIM.
    • Pour qu'un enregistrement DKIM fonctionne, il faut que trois éléments correspondent correctement : le sélecteur DKIM, la clé publique publiée par le DNS et la plateforme qui effectue la signature DKIM.
    • La publication de l'entrée DNS ne suffit pas ; vous devez également activer DKIM dans la plateforme d'envoi et vérifier que les messages en direct passent.
    • Le DKIM est plus efficace lorsqu'il est associé à un enregistrement SPF et à un enregistrement DMARC dans le cadre d'une stratégie plus large de sécurité du courrier électronique.

    Si vous souhaitez renforcer l'authentification du courrier électronique, DKIM est l'un des contrôles les plus importants à configurer correctement. Il aide à prouver qu'un message électronique provient du domaine déclaré et n'a pas été modifié en cours de route, ce qui renforce la confiance, la délivrabilité de et la protection contre l'usurpation d'adresse électronique. 

    Qu'est-ce que DKIM et comment fonctionne-t-il ?

    DKIM, ou Domain Keys Identified Mail, est une méthode d'authentification utilisée pour vérifier qu'un message a été autorisé par le domaine d'envoi et qu'il n'a pas été modifié après son envoi. Il ne crypte pas le message. Au lieu de cela, il ajoute une signature DKIM à l'en-tête de l'e-mail.

    La norme DKIM comporte quatre éléments clés :

    • Signature : ajoutée à l'en-tête du message
    • Clé publique : publiée dans le DNS sous la forme d'un enregistrement TXT ou, dans certaines plates-formes, via un enregistrement CNAME délégué.
    • Vérification : le système récepteur vérifie la signature par rapport à la clé publiée dans le DNS.
    • Résultat : le message passe l'authentification DKIM

    Une fois ces éléments en place, l'étape suivante consiste à s'assurer qu'ils sont configurés correctement dans votre propre environnement. La configuration d'un enregistrement DKIM suit généralement les étapes ci-dessous.

    1. Évaluez votre environnement de messagerie avant de créer un enregistrement DKIM

    Avant d'apporter des modifications au DNS, vérifiez votre flux de courrier sortant. De nombreuses organisations envoient des courriels à partir de plusieurs systèmes, tels que Microsoft 365, Google Workspace, un CRM, une plateforme de billetterie ou un autre fournisseur de services de messagerie. Certains sites font également transiter le courrier par une passerelle ou un relais sécurisé. 

    Dans la pratique, la configuration peut varier d'une plateforme à l'autre, il est donc utile de prendre en compte ces différences dès le départ. surtout si votre environnement inclut la configuration DKIM dans Office 365 ou doit configurer DKIM dans Google Workspace dans le cadre du déploiement.

    Le premier objectif est d'identifier le système qui doit signer le courrier sortant. Dans la plupart des cas, le signataire DKIM doit être la plate-forme qui envoie effectivement le message au destinataire. Si un autre serveur de messagerie ou une passerelle sécurisée modifie le message après l'avoir signé, la signature peut échouer même si le DNS est correct. 

    C'est l'une des causes les plus fréquentes de défaillance de la configuration DKIM dans les grands environnements. Si vous gérez plusieurs domaines ou un domaine personnalisé avec plusieurs services d'envoi, documentez-les tous avant de commencer.

    2. Rassemblez les conditions préalables à la configuration de DKIM

    Avant de configurer DKIM, confirmez l'accès aux systèmes concernés. Vous aurez généralement besoin de

    • Accès de l'administrateur à la plate-forme d'envoi qui gère la clé DKIM
    • Accès au fournisseur de DNS ou à l'agent d'enregistrement qui héberge les DNS du domaine
    • Le domaine d'envoi
    • Le sélecteur DKIM
    • Le type d'enregistrement et la valeur que la plate-forme fournit

    Certains fournisseurs vous demandent de générer des clés DKIM dans la console d'administration. D'autres créent automatiquement la paire de clés et vous demandent simplement, à l'adresse , de publier la valeur DNS. Dans les deux cas, saisissez le nom d'hôte et la valeur exactement comme indiqué. Une petite faute de frappe dans le sélecteur , l'hôte ou la valeur de la clé peut compromettre l'ensemble de la configuration DKIM. 

    Il est également utile de documenter l'état actuel de votre enregistrement SPF et de votre enregistrement DMARC , car le DKIM fonctionne mieux lorsque les trois couches d'authentification sont alignées. Découvrez comment Mimecast DMARC Analyzer peut simplifier la surveillance, la création de rapports et la mise en œuvre dans vos domaines.

    SPF DKIM DMARC Checker

    Les outils gratuits de vérification SPF, DKIM, BIMI et DMARC de Mimecast offrent aux équipes de sécurité et d'informatique un moyen rapide de vérifier la santé du domaine et d'identifier les mauvaises configurations.
    Vérifier maintenant

    3. Générer la paire de clés DKIM dans votre plateforme de messagerie électronique

    Ensuite, créez ou récupérez les valeurs DKIM dans votre plateforme d'envoi. Les écrans exacts varient, mais la plupart des plateformes exposent dans les paramètres d'administration, de sécurité ou d'authentification du courrier électronique.

    À ce stade, concentrez-vous sur deux détails : le sélecteur DKIM et la clé publique ou la valeur de l'hôte délégué. Le sélecteur devient une partie du nom d'hôte DNS, souvent dans un format comme :

    selector1._domainkey.example.com

    Ce sélecteur doit correspondre à la valeur attendue par la plateforme lors de la signature DKIM. Si ce n'est pas le cas, le système récepteur ne trouvera pas la bonne clé lors de la recherche.

    C'est également à ce stade que les organisations peuvent décider si elles ont besoin de plusieurs enregistrements DKIM. C'est valable tant que chaque expéditeur de utilise un sélecteur différent et que les enregistrements sont gérés proprement.

    4. Publier l'enregistrement DKIM dans le DNS

    Ajoutez maintenant l'enregistrement DNS à l'hôte DNS du domaine. Dans de nombreux cas, il s'agit d'un enregistrement TXT contenant la clé publique. Dans d'autres cas, la plateforme peut exiger un enregistrement CNAME qui délègue le DKIM au fournisseur. Suivez le format exact que vous donne votre plateforme .

    Un hôte valide comprend généralement le sélecteur plus ._domainkey, et la valeur contient les paramètres DKIM et les informations sur la clé . Avant de sauvegarder, vérifiez attentivement les points suivants

    • Espaces supplémentaires
    • Cordes cassées
    • Guillemets incorrects
    • Publication de l'enregistrement dans la mauvaise zone DNS
    • Utilisation d'un type d'enregistrement incorrect

    La plupart des fournisseurs vous laissent conserver le TTL par défaut, à moins que votre organisation ne dispose d'une politique DNS spécifique. Attendez-vous également à un certain délai pendant que l'enregistrement se propage dans le système de noms de domaine.

    5. Activez la signature DKIM dans la plate-forme d'envoi

    La publication de l'entrée DNS n'achève pas le processus. Vous devez également activer DKIM dans la plate-forme d'envoi pour qu'elle commence à signer les courriels sortants.

    La plupart des plateformes exigent que vous retourniez à la console d'administration après la mise en place du DNS et que vous activiez la signature pour ce domaine. Sans cette étape, l'enregistrement DKIM peut exister dans le DNS alors que les messages réels ne sont pas signés.

    C'est également à ce stade que le routage et la politique sont importants. Si un relais, une passerelle sécurisée ou une règle de transport modifie le corps ou les en-têtes de clé après la signature, celle-ci peut échouer. C'est pourquoi il est important d'aligner le signataire sur le point d'envoi final réel . 

    6. Testez et vérifiez le bon fonctionnement de DKIM

    Après l'activation, vérifiez le comportement du DNS et des messages en direct. Tout d'abord, utilisez une recherche DNS ou DKIM record checker pour confirmer que le sélecteur se résout correctement. 

    Deuxièmement, envoyez un message test à une boîte aux lettres externe et inspectez les en-têtes du message. Recherchez une signature DKIM () dans l'en-tête de l'e-mail et un résultat d'authentification indiquant que la signature DKIM a été acceptée. Cette distinction est importante : un enregistrement existant dans le DNS ne garantit pas que le courrier réel passe effectivement la norme DKIM.

    7. Dépannage des problèmes courants liés à la configuration de DKIM

    Si DKIM ne fonctionne pas, commencez par vérifier les problèmes de configuration les plus courants :

    • Le mauvais sélecteur
    • Clé incomplète ou mal formée
    • Enregistrement publié dans la mauvaise zone DNS
    • Type d'enregistrement incorrect
    • La propagation du DNS n'est pas totalement achevée

    Comparez l'entrée DNS en direct avec les valeurs exactes générées par la plateforme d'envoi. Si l'aspect DNS est correct, passe au flux de courrier. Les échecs à ce stade sont souvent dus à plusieurs expéditeurs sortants utilisant le même domaine sans sélecteurs coordonnés. 

    Ces problèmes peuvent également être dus à des outils tiers qui envoient du courrier sans autorisation, à des dispositifs de transfert ou de sécurité qui réécrivent le message après l'avoir signé, ou à des modifications de routage qui contournent le signataire prévu.

    Il s'agit généralement de problèmes opérationnels plutôt que de simples erreurs de DNS, et c'est pourquoi l'installation de DKIM devrait être traitée comme dans le cadre d'un processus plus large de gouvernance et de gestion du flux de courrier.

    8. Renforcer la DKIM avec SPF, DMARC et une gouvernance permanente

    Le DKIM fonctionne mieux en tant que couche d'une stratégie plus large de lutte contre l'usurpation d'identité. DKIM signe le message, SPF valide les sources d'envoi approuvées et DMARC applique une politique et établit un rapport en cas d'échec de l'authentification. Ensemble, ils permettent une meilleure validation de l'expéditeur et une meilleure délivrabilité du courrier électronique .

    La gouvernance permanente est également importante. Une bonne hygiène comprend

    • Contrôle des échecs d'authentification
    • Examen des expéditeurs non autorisés
    • Mise à jour de la documentation en cas de changement d'expéditeur
    • Rotation périodique des touches
    • Examen des politiques dans plusieurs domaines

    Les environnements devenant de plus en plus complexes, DKIM doit être géré comme un contrôle permanent, et non comme une tâche ponctuelle.

    La configuration correcte de DKIM favorise la confiance et l'authentification.

    Pour comprendre comment mettre en place DKIM, concentrez-vous sur l'essentiel : identifiez le bon signataire, rassemblez les informations correctes sur le sélecteur et la clé , publiez l'entrée DNS avec précision, activez la signature dans la plateforme et vérifiez que les messages réels sont transmis. Utilisé correctement, DKIM permet de protéger l'intégrité des messages, de renforcer la confiance dans les domaines et d'améliorer l'authentification globale du courrier électronique .

    Pour les organisations qui souhaitent une validation plus facile et une meilleure visibilité sur DKIM, SPF et DMARC, Mimecast offre des outils et des services pour simplifier la gestion.

    Essayez notre vérificateur d'enregistrements DKIM

    Ressources connexes

    Resources_24.jpg
    Email & Collaboration Threat Protection

    Get More from Microsoft 365 with Mimecast

    Infographic
    Resources_42.jpg
    Email & Collaboration Threat Protection

    Email Security: API-Based Proof of Value

    Datasheet
    tumbnail_senata.png
    Email & Collaboration Threat Protection

    How senata Took Back Control of Email Security with Mimecast

    Case Study
    Haut de la page