Ce qu'il faut retenir de DKIM

DKIM est un protocole d’authentification qui ajoute une signature numérique aux emails pour confirmer qu’ils proviennent bien du domaine expéditeur et qu’ils n’ont pas été modifiés.
Il permet de limiter l’usurpation d’adresse, de réduire le phishing et d’améliorer la délivrabilité des messages.

Cette norme s’est imposée avec l’augmentation des emails frauduleux qui imitent des domaines légitimes pour tromper les utilisateurs et contourner les protections classiques.

Les bonnes pratiques consistent à activer DKIM sur tous ses domaines, à utiliser des clés suffisamment longues, à renouveler régulièrement ces clés et à combiner DKIM avec SPF et DMARC pour renforcer l’authentification.

DKIM est désormais un élément indispensable pour protéger l’identité d’un domaine, sécuriser les échanges et garantir que les emails légitimes arrivent bien en boîte de réception.

Comprendre la norme DKIM 

DKIM (DomainKeys Identified Mail) est un mécanisme d’authentification conçu pour prévenir l’usurpation d’adresses électroniques. Il améliore la sécurité des emails en permettant au serveur de réception de confirmer la légitimité du domaine de l’expéditeur.  

Quels sont les avantages à l’utilisation de DKIM ? 

L’utilisation de DKIM présente plusieurs avantages importants pour la sécurité et la fiabilité des communications par email : 

  1. Authentification de l’expéditeur : DKIM permet de vérifier que l’email provient réellement du domaine d’envoi légitime, ce qui aide à identifier et bloquer les emails usurpés ou frauduleux.
  2. Protection contre l’altération des messages : les signatures numériques appliquées par DKIM garantissent que le contenu de l’email n’a pas été modifié entre son envoi et sa réception. Cela renforce l’intégrité des messages.
  3. Réduction du phishing : DKIM rend plus difficile pour les attaquants d’usurper l’identité d’un domaine, réduisant ainsi les risques d’attaques d’hameçonnage, dans lesquelles des emails frauduleux se font passer pour des sources de confiance.
  4. Amélioration de la délivrabilité : en utilisant DKIM, les emails légitimes ont plus de chances d’atteindre la boîte de réception des destinataires et d’éviter les filtres anti-spam. Les services de messagerie tiennent compte de la présence d’une signature DKIM lors de l’évaluation de la fiabilité d’un message.

Quelles sont les limites de DKIM ?  

Bien que DKIM soit un outil puissant pour l’authentification des emails, il présente certaines limites : 

  • Il n’a pas de protection contre le spam : DKIM authentifie l’expéditeur et assure l’intégrité des messages, mais il ne bloque pas directement les emails non sollicités. Un expéditeur légitime peut toujours envoyer du spam avec une signature DKIM valide.
  • Il ne vérifie pas l’expéditeur final : DKIM garantit que l’email provient d’un domaine autorisé, mais il ne vérifie pas l’identité de l’expéditeur final. Il est possible pour des entités malveillantes d’envoyer des emails à partir de domaines légitimes compromis.
  • Il présente des vulnérabilités à la relecture (replay attacks) : un attaquant peut capturer un email signé par DKIM et le réutiliser plus tard pour une attaque, car la signature DKIM reste valide. Cela pourrait conduire à une diffusion de messages malveillants.
  • Ainsi que des problèmes liés à la gestion du contenu : les systèmes qui modifient légèrement les emails après envoi, comme les passerelles anti-virus, les listes de diffusion ou certains services de messagerie, peuvent invalider la signature DKIM. Si le message est modifié en transit (par exemple, ajout d’une signature de bas de page), la vérification échoue.
  • Il dépend du DNS : DKIM utilise le DNS pour publier la clé publique du domaine. Si un attaquant parvient à compromettre les enregistrements DNS d’un domaine, il peut potentiellement falsifier les signatures DKIM.
  • Il est complexe à mettre en œuvre : la configuration de DKIM peut être complexe pour les organisations qui ne disposent pas d’une expertise technique approfondie. Une mauvaise configuration peut entraîner des problèmes d’authentification ou rendre le système inefficace.
  • Il a des incapacités à traiter les emails transférés : lorsqu’un email est redirigé ou transféré, la signature DKIM peut être invalidée si le contenu ou les en-têtes sont modifiés en cours de route, ce qui peut poser des problèmes de fiabilité pour les destinataires finaux.
À lire aussi :  93 % de satisfaction client et des réponses en moins de 3 minutes : notre définition de la réactivité

Importance de DKIM pour la sécurité des emails 

DKIM permet de vérifier l’identité de l’expéditeur d’un email, garantissant que les messages ne finissent pas dans les dossiers de spam ou d’indésirables. Il est crucial pour les organisations qui envoient régulièrement des courriers professionnels ou transactionnels à leurs clients. 

Une des responsabilités d’une entreprise est de protéger l’intégrité de son domaine et de ses communications pour éviter les fuites de données. Sans DKIM, les cybercriminels peuvent facilement envoyer des emails frauduleux qui semblent légitimes, mettant ainsi les clients en danger. 

Astuce

DKIM améliore la délivrabilité des emails en renforçant la réputation du domaine auprès des fournisseurs de services Internet (FSI) et des serveurs de messagerie. 

Comment fonctionne DKIM ? 

La norme DKIM repose sur deux éléments essentiels : l’enregistrement DKIM, stocké dans les enregistrements DNS du domaine, et l’en-tête DKIM, qui est ajouté à chaque email envoyé depuis ce domaine. 

DKIM utilise une signature numérique basée sur la cryptographie à clé publique pour authentifier l’origine d’un email, en prouvant qu’il provient d’un serveur autorisé à envoyer des emails pour ce domaine. Une paire de clés est utilisée : la clé privée, détenue par l’expéditeur pour signer les messages, et la clé publique, disponible pour le destinataire afin de vérifier les signatures. Ces clés sont asymétriques, c’est-à-dire qu’une clé publique ne peut pas être utilisée pour signer des emails, et la clé privée ne peut pas être utilisée pour vérifier. 

Le fournisseur de messagerie génère les clés et donne la clé publique au propriétaire du domaine, qui la publie dans un enregistrement DNS DKIM accessible au public. 

Les emails envoyés par le domaine incluent un en-tête DKIM contenant une signature numérique générée à l’aide de la clé privée. Le serveur de réception peut vérifier cette signature en accédant à l’enregistrement DNS pour obtenir la clé publique et ainsi authentifier l’email. 

Ce processus garantit également l’intégrité du message, car toute modification des en-têtes ou du corps du message invaliderait la signature, un peu comme un sceau inviolable. 

Processus de vérification et de signature 

Le processus de vérification s’articule en 4 étapes :  

Réception de l’email : lorsque l’email arrive chez le serveur de messagerie du destinataire, ce dernier analyse l’en-tête DKIM pour identifier le domaine d’envoi et la clé publique associée. 

À lire aussi :  Usurpation d’identité : comment l’OSINT peut nuire à vos collaborateurs… Et à votre entreprise 

Récupération de la clé publique : le serveur destinataire interroge le DNS du domaine expéditeur pour obtenir la clé publique du domaine. Celle-ci est stockée dans un enregistrement DNS de type TXT. 

Vérification de la signature : le serveur utilise la clé publique pour vérifier que la signature DKIM correspond bien à celle générée par l’expéditeur. Si la signature est valide, cela confirme que : 

  • L’email provient bien du domaine déclaré. 
  • Le message n’a pas été altéré en transit. 

Bon à savoir

Si la signature est valide, l’email est considéré comme authentique et non modifié. Il est alors plus susceptible d’arriver dans la boîte de réception du destinataire. Si la signature est invalide ou absente, le message peut être marqué comme suspect ou rejeté, selon la politique de sécurité du serveur. 

Exemple de signatures DKIM 

Une signature DKIM se présente sous la forme d’un en-tête ajouté à l’email, contenant des informations spécifiques sur la signature, la clé utilisée, et d’autres détails techniques. Voici un exemple typique d’une signature DKIM : 

DKIM-Signature:

v=1; a=rsa-sha256; d=exemple.com; s=mail;
    c=relaxed/simple; q=dns/txt; i=@exemple.com;
    h=from:to:subject:date;
    bh=ABCD1234efgh5678ijklmnopqrstuvwxYZ==;
    b=ZyXwVuT1234567890abcdefgHiJKLMnOpqrstuVWXYZ1234567890abcdeFghi==

Décomposition : 

  • v=1 : indique la version du protocole DKIM utilisée. Ici, la version 1, qui est la norme actuelle.
  • a=rsa-sha256 : précise l’algorithme cryptographique utilisé pour signer l’email. RSA est l’algorithme de signature, SHA-256 l’algorithme de hachage.
  • d=exemple.com : correspond au domaine qui signe l’email. C’est ce domaine qui déclare la clé publique dans son DNS.
  • s=mail : représente le “sélecteur”.
    Il permet d’identifier, dans le DNS, quelle paire de clés DKIM doit être utilisée pour vérifier la signature.
  • c=relaxed/simple : indique la méthode de canonicalisation, c’est-à-dire la manière dont les en-têtes et le corps du message sont normalisés avant la signature. “Relaxed/simple” signifie : en-têtes tolérants aux variations mineures, corps strict.
  • q=dns/txt : indique la méthode utilisée pour récupérer la clé publique, ici via un enregistrement TXT dans le DNS du domaine.
  • i=@exemple.com : indique l’identité de l’expéditeur associée à la signature. Ce champ est optionnel, et peut afficher un email complet ou juste le domaine.
  • h=from:to:subject:date : liste les en-têtes inclus dans la signature. Cela garantit que ces champs n’ont pas été modifiés entre l’envoi et la réception.
  • bh=ABCD1234efgh5678ijklmnopqrstuvwxYZ== : correspond au hash (résumé cryptographique) du corps du message. Il permet de vérifier que le contenu n’a pas été altéré.
  • b=ZyXwVuT1234567890abcdefgHiJKLMnOpqrstuVWXYZ1234567890abcdeFghi== : représente la signature cryptographique complète du message, générée avec la clé privée du domaine. C’est cet élément que le serveur du destinataire vérifie à l’aide de la clé publique DKIM.
À lire aussi :  Qu'est-ce qu'un malware ?

DKIM est-il véritablement indispensable ?  

DKIM présente deux avantages principaux : il aide à prévenir l’usurpation d’identité par email et améliore la délivrabilité des messages. 

Les fraudeurs usurpent souvent des adresses email en se faisant passer pour une autre personne. Grâce à DKIM, les destinataires peuvent vérifier qu’un email provient bien du véritable propriétaire du domaine, empêchant ainsi les messages falsifiés d’atteindre leur boîte de réception. Cela ajoute une couche supplémentaire de sécurité pour les expéditeurs et les destinataires. 

De nombreux fournisseurs de messagerie utilisent l’authentification DKIM pour évaluer la légitimité des emails entrants. Même si un email est légitime et envoyé par le propriétaire du domaine, sans DKIM, il risque d’être considéré comme spam par le serveur du destinataire. 

L’adoption de DKIM réduit les risques que des emails légitimes soient filtrés par les systèmes anti-spam. 

Comment configurer DKIM ?

Configurer DKIM est essentiel pour garantir l’authenticité et l’intégrité de vos emails. Voici comment procéder selon votre plateforme.

Configurer DKIM avec Gmail (Google Workspace)

1. Accéder à la console d’administration
Connectez-vous avec un compte administrateur, puis allez dans :
Applications → Google Workspace → Gmail.

2. Ouvrir la section d’authentification email
Dans Gmail, cliquez sur Authentification par email et sélectionnez le domaine à configurer.

3. Générer la clé DKIM
Cliquez sur Générer une nouvelle clé DKIM.
Choisissez une clé de 2048 bits et un sélecteur (par exemple google).

4. Ajouter l’enregistrement DNS
Google fournit une clé publique. Copiez-la.
Dans le DNS de votre hébergeur, créez un enregistrement TXT :
google._domainkey.votre-domaine
Collez la clé publique et enregistrez.

5. Activer DKIM
Retournez dans la console Google Workspace et cliquez sur Commencer l’authentification.

Astuce

Utilisez un outil comme MXToolbox pour confirmer que DKIM fonctionne.

Configurer DKIM avec Office 365 (Microsoft 365)

1. Accéder au centre d’administration Exchange

Connectez-vous en administrateur, puis ouvrez le Centre d’administration Exchange.

2. Générer les sélecteurs DKIM

  • Allez dans Protection → DKIM.
  • Sélectionnez votre domaine et cliquez sur Activer.
  • Microsoft génère deux sélecteurs : selector1 et selector2.

3. Ajouter les enregistrements DNS

Dans votre interface DNS, créez deux enregistrements CNAME :

  1. selector1._domainkey.votre-domaine → selector1-votre-domaine._domainkey.votre-domaine.onmicrosoft.com
  2. selector2._domainkey.votre-domaine → selector2-votre-domaine._domainkey.votre-domaine.onmicrosoft.com

Enregistrez les modifications.

4. Activer DKIM dans Office 365

Revenez dans Exchange et cliquez sur Activer pour finaliser.

Configurer DKIM sur un serveur de messagerie privé (Postfix, Exim, etc.)

1. Installer OpenDKIM (ou Amavis)

Exemple sous Linux :

sudo apt install opendkim opendkim-tools

2. Générer la paire de clés

opendkim-genkey -s selector -d votre-domaine.com
Cela crée
  • selector.private (clé privée)
  • selector.txt (clé publique)

3. Ajouter la clé publique au DNS

Copiez la clé du fichier .txt dans votre DNS, créez un enregistrement TXT : « selector._domainkey.votre-domaine.com » puis collez la clé et enregistrez.

4. Configurer OpenDKIM

Dans /etc/opendkim.conf, ajoutez :

Domain votre-domaine.com
Selector selector
KeyFile /etc/opendkim/keys/votre-domaine.com/selector.private

Configurez Postfix ou Exim pour utiliser OpenDKIM (ajout du milter).

5. Redémarrer les services

sudo systemctl restart opendkim
sudo systemctl restart postfix

Sans DKIM, n’importe qui peut envoyer un email en votre nom. Avec DKIM, personne ne le peut.

Demander une démo de Protect

Comment générer et vérifier des clés DKIM ? 

La génération et la vérification des clés DKIM sont essentielles pour garantir l’authenticité des emails envoyés depuis un domaine. Voici les étapes pour générer et vérifier des clés DKIM : 

Générer des clés DKIM : 

  • Utilisez un générateur de clés DKIM ou des outils intégrés dans votre serveur de messagerie (comme OpenDKIM). 
  • Générez une paire de clés : une clé privée pour signer les emails et une clé publique à publier dans le DNS. 
  • La clé publique est ajoutée dans un enregistrement TXT au format selector._domainkey.votre-domaine. 

Vérifier les clés DKIM : 

  • Pour vérifier que la clé publique est bien ajoutée, utilisez des outils de vérification de DNS reconnu.
  • Testez ensuite en envoyant un email à un outil de vérification DKIM comme Mail-tester. Cet outil vous indiquera si l’email a été correctement signé avec DKIM. 

Quel est le lien entre DKIM, SPF et DMARC ? 

DKIM, SPF et DMARC sont trois protocoles complémentaires qui permettent de renforcer la sécurité des emails et de protéger contre la fraude et l’usurpation d’identité. 

DKIM (DomainKeys Identified Mail) : 

  • DKIM vérifie l’authenticité des emails en ajoutant une signature numérique, permettant de s’assurer que le message provient bien du domaine de l’expéditeur et n’a pas été altéré. 

SPF (Sender Policy Framework) : 

  • SPF permet au propriétaire d’un domaine de spécifier quelles adresses IP sont autorisées à envoyer des e-mails en son nom. Cela empêche les attaquants d’utiliser des serveurs non autorisés pour envoyer des emails frauduleux. 

DMARC (Domain-based Message Authentication, Reporting & Conformance) : 

  • DMARC combine DKIM et SPF pour offrir un niveau de protection supplémentaire. Il définit une politique qui indique comment traiter les emails qui échouent aux vérifications DKIM et SPF, par exemple en les rejetant ou en les signalant. 

Ensemble, ces protocoles assurent une authentification complète des emails et renforcent la protection contre le phishing et l’usurpation d’identité. 

Quels sont les avantages à combiner l’utilisation de DKIM, SPF et DMARC ? 

Les avantages à combiner l’utilisation de DKIM, SPF et DMARC sont nombreux :  

  • Protection complète contre l’usurpation : l’association de DKIM, SPF et DMARC assure que seuls les emails authentiques provenant de serveurs autorisés peuvent être délivrés, réduisant ainsi les risques de fraude par email. 
  • Renforcement de la réputation du domaine : en utilisant ces trois protocoles, les serveurs de messagerie reconnaissent le domaine comme sécurisé, améliorant ainsi la réputation du domaine et réduisant les chances que les emails légitimes soient marqués comme spam. 
  • Meilleure visibilité sur les tentatives d’usurpation : DMARC fournit des rapports qui permettent aux administrateurs de surveiller les tentatives d’usurpation ou d’utilisation abusive du domaine, offrant ainsi une meilleure visibilité sur les attaques potentielles. 
  • Meilleure délivrabilité des emails : les emails envoyés à partir de domaines correctement configurés avec DKIM, SPF et DMARC ont plus de chances d’atteindre la boîte de réception des destinataires, évitant les filtres anti-spam. 

Bon à savoir

DKIM, SPF et DMARC ne protègent pas uniquement vos emails sortants : ils protègent aussi la réputation de votre marque.
En les combinant, vous empêchez des tiers d’envoyer des messages frauduleux en votre nom, ce qui réduit fortement les risques d’arnaques ciblant vos clients, partenaires ou collaborateurs.

Comment détecter et répondre à une attaque DKIM ? 

Avant de pouvoir réagir efficacement, il est essentiel de savoir repérer les signes d’un abus ou d’une tentative d’usurpation liée à DKIM. Plusieurs outils et sources d’information permettent d’identifier rapidement les anomalies et de prendre les mesures nécessaires pour protéger votre domaine.

Surveiller les rapports DMARC

Utilisez DMARC pour surveiller les tentatives d’usurpation d’identité. Ces rapports vous fourniront des informations détaillées sur les emails qui échouent aux vérifications DKIM ou SPF et permettront de détecter des attaques potentielles. 

Utiliser des outils de surveillance

Des outils comme DKIM Core ou MXToolbox peuvent être utilisés pour vérifier régulièrement si DKIM est correctement configuré et si des anomalies apparaissent dans les en-têtes des emails envoyés par votre domaine. 

Analyser les journaux de messagerie

Consultez les journaux de votre serveur de messagerie pour repérer les tentatives d’envoi d’emails non signés ou mal signés, provenant de serveurs non autorisés. 

Réagir en cas de compromission

Si une attaque est détectée, il est crucial de révoquer la clé DKIM compromise immédiatement. Remplacez-la par une nouvelle paire de clés et mettez à jour les enregistrements DNS. En parallèle, réévaluez vos politiques DMARC pour renforcer la sécurité. 

Exemple

Incident : emails légitimes marqués comme spam : 

  • Problème : Les emails envoyés par une entreprise étaient marqués comme spam chez plusieurs destinataires. 
  • Résolution : Après une analyse des rapports DMARC, il a été constaté que les enregistrements DKIM étaient mal configurés. En corrigeant les enregistrements DNS et en activant une politique stricte DMARC, la délivrabilité des emails a été rétablie. 

Incident : tentative d’usurpation d’identité : 

  • Problème : Une entreprise a remarqué une tentative d’usurpation d’identité, où des attaquants envoyaient de faux emails en se faisant passer pour la société. 
  • Résolution : En activant DMARC avec une politique de rejet (p=reject), tous les emails non authentifiés ont été bloqués, empêchant les messages frauduleux d’atteindre les destinataires. 

Incident : clé DKIM compromise : 

  • Problème : Une clé DKIM privée a été compromise, permettant à un attaquant de signer des emails frauduleux en provenance du domaine. 
  • Résolution : La clé a été rapidement révoquée, et une nouvelle paire de clés a été générée. Le sélecteur DKIM a été mis à jour et le domaine a renforcé ses mesures de sécurité, y compris le suivi des rapports DMARC. 

Quelles sont les meilleures pratiques pour maximiser l’efficacité de DKIM ?

  • Utiliser des clés de longueur adéquate : Il est recommandé d’utiliser des clés de 2048 bits pour DKIM afin d’assurer un niveau de sécurité suffisant. Les clés plus courtes, comme celles de 1024 bits, sont plus vulnérables aux attaques. 
  • Mettre à jour régulièrement les clés : Pour renforcer la sécurité, il est conseillé de renouveler les clés DKIM périodiquement, par exemple une fois par an. 
  • Surveiller les rapports DMARC : Activez et analysez régulièrement les rapports DMARC pour identifier les éventuels problèmes d’authentification DKIM et SPF. 
  • Combiner DKIM avec SPF et DMARC : DKIM est plus efficace lorsqu’il est utilisé avec SPF et DMARC. Cela permet de couvrir différents aspects de la sécurité des emails (authentification de l’expéditeur, signature numérique et gestion des politiques de vérification). 
  • Assurer la bonne propagation DNS : Après avoir ajouté ou modifié un enregistrement DKIM, vérifiez que l’enregistrement DNS a bien propagé dans les serveurs DNS et que l’authentification fonctionne correctement. 

SPF, DKIM et DMARC protègent vos messages. U-Cyber 360 protège votre entreprise.

Demander une démo
Articles similaires
En savoir plus
Juliette Pierre
En savoir plus
Juliette Pierre
Cybersécurité
22.01.2025

Qu’est-ce que le Zero Trust ?

En savoir plus
Juliette Pierre
En savoir plus
Juliette Pierre
Cybersécurité
16.12.2024

Qu'est-ce qu'un cheval de Troie ?

En savoir plus
Juliette Pierre