Qu'est-ce qu'une signature DKIM ? La clé de l'authentification des emails

Qu’est-ce qu’une signature DKIM ?

Il existe plusieurs protocoles d’authentification des emails, mais un seul comporte une clé numérique cryptée top secrète. Une signature DKIM aide les fournisseurs de messagerie à vérifier votre identité en tant qu’expéditeur tout en luttant contre les attaques de spoofing par email. La clé de l’authentification des emails !

Essentiellement, DKIM vous aide à signer des lettres importantes avec de l’encre invisible et indique clairement que le message vient de vous et non de quelqu’un d’autre. Cependant, ce n’est pas tout à fait aussi simple.

Jetons un coup d’œil plus attentif au protocole DomainKeys Identified Mail (DKIM).

Pourquoi avons-nous besoin de signatures DKIM

Communiquer avec les gens par email est un atout précieux. Malheureusement, il existe des cybercriminels qui cherchent à profiter de la confiance que les marques ont gagnée auprès de leurs consommateurs et abonnés.

Les escrocs s’infiltrent dans les boîtes de réception en imitant les emails et les pages web de votre marque, trompant les gens pour qu’ils installent des logiciels malveillants ou divulguent des informations sensibles. Cela peut inclure des comptes bancaires, des numéros de carte de crédit, des numéros de sécurité sociale ou des informations de connexion pour les comptes en ligne. Le spoofing d’email conduit facilement au vol d’identité.

Améliorer la sécurité des boîtes de réception.

Although the Simple Mail Transfer Protocol (SMTP) is the industry standard for sending emails over the internet, it does not provide a mechanism for verifying the sender before the email is delivered. Ainsi, cela permet aux spammeurs et aux escrocs de remplir les boîtes de réception avec des courriers indésirables et de tenter de falsifier ou de dissimuler des marques de confiance.

Les protocoles d’authentification ont amélioré la sécurité des emails au cours des dernières décennies en reliant les informations des en-têtes des emails aux enregistrements publiés dans le serveur de noms de domaine (DNS) de l’expéditeur.

La signature DKIM est l’un de ces protocoles. Elle détecte les adresses d’expéditeur falsifiées en utilisant une clé cryptée.

DKIM est une combinaison de DomainKeys développé par Yahoo et Cisco’s Identified Internet Mail en 2004. La section DomainKeys est conçue pour vérifier le domaine DNS de l’expéditeur d’email, tandis que Identified Internet Mail représente la partie de la signature numérique de la spécification.

Les principaux fournisseurs de boîtes aux lettres tels que Google, Apple Mail et Outlook recherchent les signatures DKIM lors de l’authentification des emails.

Comment fonctionne une signature DKIM ?

DKIM permet aux expéditeurs d’associer des messages email à des domaines spécifiques, tout comme d’autres mécanismes d’authentification email. La légitimité de l’email est garantie par des entrées DNS. DKIM utilise quant à lui une signature numérique cryptée pour y parvenir.

Les DomainKeys de DKIM comprennent une clé publique diffusée dans l’enregistrement DNS et une clé privée incluse dans l’en-tête de l’email. La signature numérique cryptée est la clé privée, qui doit être unique à l’expéditeur et correspondre à ce qui est diffusé sur le DNS.

Une signature DKIM indique aux agents de transfert de messagerie (MTA) où accéder aux informations de clé publique, utilisées pour valider l’identité de l’expéditeur. Si les deux clés correspondent, l’email a plus de chances d’être envoyé dans la boîte de réception ; si elles ne correspondent pas ou si l’email ne comporte pas de signature DKIM, il a plus de chances d’être rejeté ou filtré comme spam.

DKIM ne filtre pas les emails, mais il aide le serveur récepteur à déterminer comment filtrer au mieux les messages entrants. Le score de spam d’un message est souvent réduit lorsque la vérification DKIM est réussie.

Comment lire un en-tête DKIM

Vous devrez générer un enregistrement DKIM et le placer sur votre DNS afin d’utiliser DKIM pour protéger votre marque du spoofing et vos abonnés des escrocs. Obtenir de l’aide de votre département informatique ou de votre fournisseur de services email (ESP) peut être nécessaire.

Voici un exemple de signature DKIM (enregistrée comme champ d’en-tête RFC2822) pour le message signé :

Décortiquons les en-têtes DKIM un par un. Chaque « tag » est attribué à une valeur qui contient des informations sur l’expéditeur.

Tags dans un en-tête DKIM

Étiqueter	Description
b	La signature numérique réelle du contenu (en-tête et corps) du message email
bh	le hachage du corps
d	le domaine de signature
s	le sélecteur
v	la version
a	l’algorithme de signature
c	l’algorithme de canonisation pour les en-têtes et le corps
q	la méthode de requête par défaut
I	la longueur de la partie canonisée du corps qui a été signée
t	la date et l’heure de la signature
x	l’heure d’expiration
h	la liste des champs d’en-tête signés est répétée pour les champs qui apparaissent plusieurs fois

Note : Les tags ci-dessus sont nécessaires. Une signature DKIM qui manque de ces tags générera une erreur lors de la validation.

Nous pouvons voir à partir de cet en-tête DKIM que :

La signature numérique est**dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZVoG4ZHRNiYzR.**

Cette signature est comparée à celle du domaine de l’expéditeur.

Le hachage du corps n’est pas répertorié.
Le domaine de signature est example.com. C’est le domaine qui a envoyé (et signé) le message.
Le sélecteur est jun2005.eng.
La version n’est pas répertoriée.
L’algorithme de signature estrsa-sha1.Il génère la signature.
L’algorithme de canonisation pour l’en-tête et le corps est relâché/simple.
La méthode de requête par défaut est DNS. Elle est utilisée pour rechercher la clé sur le domaine de signature.
La longueur de la partie canonisée du corps qui a été signée n’est pas répertoriée.. Le domaine de signature peut créer une clé à partir de tout le corps ou seulement d’une partie de celui-ci. Cette section aurait été incluse.
L’horodatage de la signature est 1117574938. C’est quand elle a été signée.
L’heure d’expiration est 1118006938. C’est parce qu’un email déjà signé peut être réutilisé pour « fausser » la signature, les signatures sont configurées pour expirer.
La liste des champs d’en-tête signés comprend from:to:subject:date. C’est la liste des champs qui ont été « signés » pour vérifier qu’ils n’ont pas été modifiés.

Nous sommes conscients que cela représente beaucoup d’informations techniques. Heureusement, il existe des outils disponibles pour les spécialistes du marketing par email pour créer des enregistrements DKIM.

Comment vérifier une signature DKIM

Les enregistrements DNS et les signatures DKIM peuvent être difficiles à comprendre. Il existe des outils internet qui peuvent vous aider à vérifier que vos mécanismes d’authentification email sont configurés correctement.

Utilisez l’outil gratuit Vérification des dossiers Skysnag DKIMpour vérifier DKIM.

Envoyer un email à un compte Gmail est une autre façon de tester DKIM.. Ouvrez l’email dans l’application web Gmail, cliquez sur la flèche vers le bas à côté du bouton « répondre » (en haut à droite de l’email), et sélectionnez « afficher l’original ». Si vous voyez « signed-by: votre nom de domaine » dans l’original, votre signature DKIM est valide. Cependant, gardez à l’esprit que vous ne verrez la signature DKIM que si vous avez accès à l’email que vous envoyez.

Améliorez la délivrabilité avant d’appuyer sur envoyer.

Il y a de nombreuses raisons convaincantes d’utiliser des protocoles d’authentification email. Améliorer la délivrabilité est en tête de liste. Si vous n’utilisez pas l’authentification email, les fournisseurs de boîtes aux lettres sont plus susceptibles de filtrer vos messages dans les dossiers de courrier indésirable et de spam.

Pour mieux comprendre cela :

DKIM utilise une clé privée pour authentifier les emails.

1- Le service d’envoi publie sa clé publique dans l’enregistrement DNS

2- Le service d’envoi utilisera la clé privée pour signer le message afin de générer l’en-tête de signature DKIM et l’attacher à l’email envoyé

3- « d tag » = domaine de l’expéditeur / « s tag » = sous-domaine

4- le service récepteur (Gmail) interrogera L’EXEMPLE DNS: s.domainkey.domain.com pour obtenir la clé publique

5- le service récepteur (Gmail) validera ensuite la signature DKIM attachée à l’email avec la clé publique obtenue si la signature est valide-> DKIM est validé

Conclusion

Skysnag automatise DMARC, SPF et DKIM pour améliorer la délivrabilité des emails. Évitez les attaques de spoofing d’email avec le logiciel automatisé de Skysnag qui vous permet de confirmer la validité des emails. Inscrivez-vous dès aujourd’hui via ce lien pour bénéficier d’un essai gratuit et assurez-vous que la signature DKIM de votre organisation est configurée correctement.

You might be interested in reading:

How to Set Up SPF for Clever Elements_ (53)

19 mythes DMARC démystifiés par les experts octobre 11, 2023

"Learn about email spoofing, a cyber attack where attackers forge sender addresses to deceive recipients. Discover how email spoofing works and how to protect against it."

Qu'est-ce que l'usurpation d'adresse e-mail? octobre 11, 2023

"Learn about phishing, a cyber scam where attackers impersonate trusted entities to steal personal information. Discover how phishing works and ways to protect against online security threats."

Qu'est-ce que le phishing ? octobre 11, 2023

How to Set Up SPF for Clever Elements_ (60)

Qu'est-ce qu'un serveur SMTP et comment fonctionne-t-il ? octobre 11, 2023

Monitor

Comply

Protect

Certify

Validate

Blog

Salle de presse