DKIM expliqué — L'épine dorsale cryptographique de la confiance e-mail

Name: DMARC Analyzer Pro
Availability: InStock
Author: DMARC Analyzer Pro

March 2, 2025 · DMARC Analyzer Pro

DKIM utilise des signatures cryptographiques pour vérifier l'intégrité des e-mails et l'identité de l'expéditeur. Comprenez son fonctionnement et pourquoi il est essentiel pour DMARC.

DomainKeys Identified Mail (DKIM) ajoute une couche de confiance à l'e-mail que SPF seul ne peut fournir. Alors que SPF valide d'où un e-mail a été envoyé, DKIM valide que l'e-mail n'a pas été altéré en transit et qu'il a été autorisé par le propriétaire du domaine.

Comment fonctionne la signature DKIM

Lorsqu'un serveur compatible DKIM envoie un e-mail, il crée un hachage cryptographique d'en-têtes de message spécifiques et du contenu du corps. Ce hachage est ensuite chiffré à l'aide d'une clé privée que seul le domaine expéditeur contrôle. La signature résultante est attachée à l'e-mail sous forme d'en-tête `DKIM-Signature`.

Le serveur récepteur extrait la signature, récupère la clé publique correspondante dans les enregistrements DNS de l'expéditeur et l'utilise pour vérifier le hachage. Si le hachage correspond, le message est confirmé comme authentique et non modifié.

Pourquoi DKIM est important pour DMARC

Pour les besoins de DMARC, DKIM est souvent plus fiable que SPF. SPF casse lorsque les messages sont transférés — l'IP du serveur de transfert ne correspondra pas à l'enregistrement SPF de l'expéditeur original. DKIM, en revanche, survit au transfert car la signature voyage avec le message.

Cela rend DKIM particulièrement important pour les organisations dont les e-mails sont fréquemment transférés, auto-transférés ou traités via des listes de diffusion. Avec DKIM en place et correctement aligné, vos messages passeront DMARC même lorsque SPF échoue en raison du transfert.

Bonnes pratiques de gestion des clés

La sécurité DKIM dépend entièrement de la force et de la protection de votre clé privée. Utilisez une longueur de clé minimale de 2048 bits — les clés de 1024 bits sont de plus en plus vulnérables et peuvent être rejetées par certains destinataires. Faites tourner vos clés périodiquement, au moins une fois par an. Lors de la rotation, publiez la nouvelle clé publique dans le DNS, mettez à jour votre configuration de signature et ne supprimez l'ancienne clé qu'après un temps suffisant pour que les messages en cours de livraison soient délivrés.

Signature DKIM par des tiers

Pour les services tiers envoyant en votre nom, configurez-les pour signer avec votre domaine plutôt que le leur. La plupart des grandes plateformes prennent en charge la signature DKIM personnalisée — elles vous fourniront des enregistrements CNAME à publier dans votre DNS qui pointent vers leurs clés DKIM. Cela assure l'alignement avec votre domaine De, ce que DMARC exige.

Vérifiez régulièrement vos rapports DMARC pour confirmer que tous vos expéditeurs produisent des signatures DKIM valides et alignées. Tout défaut d'alignement apparaîtra clairement dans la section des résultats d'authentification de vos rapports agrégés.