Résolution des échecs de vérification de la signature DKIM dus à des problèmes de canonisation
DomainKeys Identified Mail (DKIM) est une norme de sécurité du courrier électronique conçue pour empêcher l'usurpation d'identité. Elle ajoute un sceau "inviolable" aux messages électroniques, garantissant ainsi leur authenticité et leur intégrité. Cependant, il arrive que des courriels légitimes échouent à la vérification de la signature DKIM en raison de problèmes de canonisation, ce qui entraîne des problèmes d'acheminement des courriels. Cet article explique comment résoudre ces problèmes en ajustant les paramètres de canonisation DKIM sur vos systèmes de passerelle de messagerie.
Vous trouverez ci-dessous une représentation du fonctionnement de DKIM dans une infrastructure de courrier électronique :
Voici une brève présentation de DKIM pour vous aider à comprendre son rôle dans l'authentification des messages électroniques et dans DMARC.
Comprendre la canonisation DKIM
La canonisation dans DKIM fait référence à la méthode utilisée pour préparer l'en-tête et le corps d'un courriel en vue de sa signature. Selon la section 3.4 du RFC 6376, il existe deux algorithmes de canonisation pour l'en-tête et le corps : simple et relaxé. Le choix de l'un ou l'autre de ces paramètres influe sur la rigueur avec laquelle le contenu du courriel doit correspondre à l'expéditeur et au destinataire pour que la signature DKIM soit considérée comme valide.
- Canonisation simple: Imaginez que chaque élément d'un courrier électronique corresponde exactement, comme deux puzzles identiques. Toute modification mineure, comme une pièce de puzzle déplacée, pourrait entraîner une non-concordance. Cette rigueur peut entraîner des erreurs de vérification dues à de petites modifications, souvent inoffensives, dans le parcours du courrier électronique jusqu'à sa destination.
- Canonisation assouplie: Pensez-y comme si vous assembliez un puzzle dont les pièces varient légèrement en taille. Tant que les pièces s'emboîtent suffisamment bien pour compléter l'image globale, des variations mineures dans la façon dont chaque pièce est coupée ou s'emboîte sont acceptables. Cela réduit le risque de problèmes de vérification DKIM dans un environnement de messagerie électronique pour des modifications mineures du format de la messagerie.
Problème
Un problème courant d'échec de la vérification de la signature DKIM peut provenir de l'utilisation d'une simple canonisation. Lorsqu'un courriel passe par diverses passerelles de messagerie, son contenu peut être reformaté (par exemple, modification des sauts de ligne, des espaces blancs). Si le profil de signature DKIM est défini sur une canonisation simple/simple, même des modifications mineures peuvent faire en sorte que la signature DKIM ne corresponde pas, ce qui entraîne des échecs de vérification.
Solution
Le passage d'une canonisation simple de l'en-tête à une canonisation détendue, tout en conservant une canonisation simple du corps du message, peut atténuer ce problème. Ce changement permet de modifier légèrement les espaces blancs et le formatage des lignes sans invalider la signature DKIM.
Étapes de la mise en œuvre
- Examinez votre configuration actuelle: Identifiez les profils de signature DKIM actuels de votre passerelle de messagerie et vérifiez s'ils sont configurés pour utiliser la canonisation simple/simple pour les en-têtes et les corps.
- Ajustez les paramètres de canonisation: Modifiez les paramètres de canonisation de l'en-tête de simple à souple. Ensuite, évaluez si vous souhaitez également modifier la canonisation du corps du texte.
- Testez la configuration: Avant d'appliquer le changement à grande échelle, testez la nouvelle configuration avec un petit groupe d'utilisateurs ou de flux de courriels pour vous assurer qu'elle résout le problème de vérification de la signature sans introduire de nouveaux problèmes.
- Contrôle et validation: après avoir appliqué les nouveaux paramètres, contrôlez les taux de distribution de votre courrier électronique et vérifiez si des problèmes de vérification DKIM ont été signalés. Vérifiez que la modification n'affecte pas la délivrabilité et l'intégrité globales du courrier électronique.
Une leçon du passé
Il y a quelque temps, une grande banque a choisi la canonisation simple pour sa configuration DKIM, une décision motivée par l'évaluation des options par l'équipe de sécurité. L'équipe a jugé que la canonisation détendue était inacceptable sur la base de ses normes. En réalité, l'équipe de sécurité n'avait pas une compréhension approfondie de ce choix et a simplifié sa décision en se basant sur la sémantique : Le terme "relaxed" ne semblait tout simplement pas bon pour leur posture de sécurité.
Rétrospectivement, l'équipe de sécurité aurait pu éviter de tels malentendus en qualifiant les options d'option 1 et d'option 2. D'un point de vue pratique, une canonisation plus souple s'avère souvent plus avantageuse pour augmenter les chances de réussite de la vérification des courriels. Cela montre que les détails techniques sont plus importants que les noms que nous leur donnons.
Le passage à une canonisation assouplie pour les en-têtes (et éventuellement les corps) peut résoudre les problèmes d'échec de la vérification de la signature DKIM dus à des modifications mineures de la mise en forme des courriels pendant le transit. Cet ajustement peut améliorer le taux d'acceptation des courriels par les serveurs de réception sans compromettre leur sécurité ou leur intégrité.
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.
Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.
