DKIM fournit une méthode pour valider une identité de nom de domaine associée à un message via l’authentification cryptographique (DKIM.org).
Un enregistrement DKIM (DomainKeys Identified Mail) vous permet d’authentifier votre domaine et les expéditeurs d’emails autorisés à émettre des messages depuis celui-ci sur le serveur de messagerie d'installation de votre domaine.
L'activation du DKIM sur votre messagerie et la mise en place d'un enregistrement DKIM vous permet de signer le courrier électronique sortant depuis vos adresses email avec la messagerie identifiée par les clés de domaine (DKIM).
Votre domaine peut comporter plusieurs enregistrements DKIM sans que cela ne pose problème, contrairement à l’authentification SPF.
DKIM (DomainKeys Identified Mail) doit être considéré comme une méthode permettant de vérifier que le contenu des emails est digne de confiance et de garantir son intégrité : c'est-à-dire que les messages n'ont pas été interceptés pendant leur transit ni modifiés à partir du moment où le message a été envoyé par le serveur d'envoi de messagerie initial et jusqu'à sa livraison au destinataire.
Fonctionnement du DKIM : Cette couche supplémentaire de fiabilité est obtenue par la mise en œuvre du processus de signature standard de clé publique / privée. En pratique les propriétaires du domaine à sécuriser ajoutent une entrée DNS avec la clé publique DKIM qui sera utilisée par les destinataires pour vérifier que la signature du message DKIM est correcte, tandis que le côté expéditeur du serveur signera les messages avec la clé privée correspondante.
Pour assurer la livraison de vos e-mails dans les boîtes de réception de vos destinataires, configurez une authentification DKIM personnalisée pour votre domaine et créez également au préalable un enregistrement SPF. Les fournisseurs de services Internet et de messagerie utilisent maintenant l'authentification DKIM et SPF pour contrôler les emails entrants et identifier les spams ou les adresses usurpées. Les e-mails qui échouent lors de cette authentification sont plus susceptibles d'atterrir dans un dossier spam (ou courrier indésirable), voire d'être rejetés et refusés.
Quelques conseils avant de vous lancer :
-
DKIM.org fournit les informations nécessaires pour comprendre et créer un enregistrement DKIM. DKIM est une version améliorée de DomainKeys, Enhanced DomainKeys de Yahoo, qui a été fusionné avec Identified Internet Mail de Cisco.
- Utilisez une longueur de clé d'au moins 1024 bits. Idéalement 2048 bits si votre hôte DNS le permet. (BrandShelter supporte les clés 2048 bits)
- Utilisez toujours un enregistrement de type TXT pour ajouter votre DKIM.
- La déclaration « t=y » est destinée aux tests et doit être supprimée avant la mise en œuvre complète de DKIM en production. Certains fournisseurs de messagerie peuvent ignorer la signature DKIM lorsqu'elle est en mode test.
- Faites pivoter les clés DKIM au moins deux fois par an pour réduire le risque de compromission.
Ajouter une entrée DKIM sur le fichier de zone :
Pour ajouter une entrée DKIM à la configuration DNS de votre domaine, créez un nouvel enregistrement DNS de type TXT ou CNAME (en fonction des instructions communiquées par votre hébergeur) :
- Munissez-vous au préalable des informations nécessaires à récupérer auprès de votre hébergeur ou de votre administrateur réseau / serveur : sélecteur et clé publique.
- Cliquez sur "Nouvel enregistrement de ressource"
-
Dans le champ “Hôte”, ajoutez la valeur suivante : selector._domainkey
Vous obtiendrez après validation le sous-domaine suivant : selector._domainkey.votredomaine.com
Note :
• Attention selector correspond au sélecteur associé à la clé publique (ou token) générée et est à remplacer par le sélecteur que vous a communiqué votre hébergeur (par exemple '16523750' OU 'Default') ; cette clé publique sera utilisée comme valeur de l'enregistrement sous la forme :
v=DKIM1; h=sha256; k=rsa; p=clef_publique
• votredomaine.com correspond au nom de domaine que vous souhaitez authentifier avec son extension et est à remplacer en conséquence par votre nom de domaine sur lequel vous souhaitez ajouter l'enregistrement DKIM
Ces informations sont à récupérer auprès de votre hébergeur ou de votre administrateur réseau / serveur : sélecteurs et clé publique.
Important :
Les DKIM ne peuvent pas être créés sur tous les serveurs. Cela dépendra notamment de la configuration du serveur.
Vous pouvez avoir plusieurs enregistrements DKIM sur votre domaine sans limite, contrairement à DMARC ou SPF, tant que votre hôte DNS le permet.
Si vous utilisez plusieurs fournisseurs de messagerie, il est préférable (nécessaire) d'ajouter un DKIM pour chaque fournisseur de messagerie.
Utilisez des sélecteurs DKIM uniques pour éviter les conflits avec les enregistrements existants.
Vous pouvez nous contacter si vous souhaitez avoir plus d'informations et.ou de conseils préalablement à la mise en place d'un DKIM sur votre domaine en gestion chez BrandShelter.
Action défensive DKIM :
La valeur de l'enregistrement DKIM pour une action défensive :
v=DKIM1; p=
Cet enregistrement DKIM permet d’indiquer qu’aucune clé DKIM n’existe pour le domaine.
*._domainkey.exemple.com 3600 TXT v=DKIM1; p=
Génération d'une clé de test pour votre enregistrement DKIM
DKIM Key / Token Generator : à utiliser uniquement pour TEST & VERIFICATION ; il est conseillé de pas l'utiliser pour la PRODUCTION.
Vérification d'un enregistrement DKIM
Apprendre comment Valider & vérifier un enregistrement DKIM (DMARC Analyzer - How To Validate A DKIM Record)
DKIM Record Checker - Lookup :
• mimecast.com/products/dmarc-analyzer/dkim-check/
• dmarcly.com/tools/dkim-record-checker
Plus d'informations et autres liens utiles :
• Site officiel DKIM : https://dkim.org/
• Wiki DKIM : https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail
• Plus d'informations sur Domain Keys Identified Mail (DKIM)
• En savoir plus sur DKIM signatures
DMARC