Skip to main content
Sélecteurs DKIM

Sélecteurs DKIM

- 27 mars 2024
DéploiementConseils techniques

Cet article se penche sur les sélecteurs DKIM en particulier et les explique :

  • Ce que sont les sélecteurs DKIM
  • Où trouver votre propre sélecteur DKIM
  • Fournisseurs tiers et signature DKIM

Comment fonctionne DKIM ?

DKIM (DomainKeys Identified Mail) est une méthode d'authentification des courriels qui permet à un destinataire de vérifier qu'un courriel prétendant provenir d'un domaine spécifique a bien été autorisé par le propriétaire de ce domaine et reçu sans aucune modification non autorisée de son contenu pendant le transit. Ce résultat est obtenu par l'utilisation d'une authentification cryptographique à l'aide d'une paire de clés cryptographiques - une clé privée et une clé publique.

La mécanique de DKIM

  1. Création d'une signature numérique: Lorsqu'un courriel est envoyé, le serveur de messagerie d'origine génère une signature numérique unique pour le message. Cette signature est basée sur le contenu du courriel lui-même, y compris les en-têtes et le corps du message, ce qui permet de détecter toute altération du courriel pendant son acheminement. La signature est créée à l'aide d'une clé privée connue uniquement du domaine de l'expéditeur.

  2. Ajout de la signature: La signature numérique est ensuite ajoutée au courrier électronique sous la forme d'un en-tête, connu sous le nom d'en-tête DKIM-Signature. Cet en-tête contient plusieurs informations essentielles pour le processus de vérification, telles que la version DKIM, le domaine qui revendique la responsabilité du courrier électronique (balise d=) et la signature proprement dite (balise b=).

  3. Transmission et réception du courrier électronique: Une fois le courrier électronique envoyé, il transite par l'internet pour atteindre le serveur de courrier électronique du destinataire. En cours de route, il peut passer par des serveurs intermédiaires, dont chacun a la possibilité d'inspecter la signature DKIM s'il est configuré à cet effet. Il est courant que les courriers électroniques soient relayés par plusieurs serveurs. Par exemple, une organisation peut envoyer un courriel à partir de son compte Microsoft 365, relayé par une passerelle de sécurité tierce avant d'être remis au destinataire prévu. Les courriels transférés automatiquement sont également relayés, comme lorsqu'une personne disposant d'une adresse électronique universitaire configure sa boîte aux lettres pour transférer tous les courriels entrants vers son compte Gmail privé.

  4. Processus de vérification: Lors de la réception du courrier électronique, le serveur du destinataire extrait l'en-tête DKIM-Signature et utilise les informations qu'il contient pour effectuer une requête DNS. Cette requête recherche la clé publique publiée dans les enregistrements DNS de l'expéditeur sous le sélecteur DKIM spécifique. La clé publique est ensuite utilisée pour vérifier la signature numérique ajoutée au courrier électronique.

  5. Vérification de l'authentification: Si la signature correspond au contenu du courrier électronique, elle permet non seulement de vérifier l'authenticité du courrier électronique, mais aussi d'en assurer l'intégrité pendant son acheminement. Toutefois, pour que la signature DKIM soit pleinement pertinente pour affirmer la légitimité de l'expéditeur, le domaine de signature spécifié dans l'en-tête DKIM-Signature (la balise d=) doit correspondre au domaine figurant dans l'en-tête "From" du courrier électronique. Cette concordance est essentielle car elle garantit que l'entité qui revendique la responsabilité du courrier électronique par l'intermédiaire de DKIM est la même que celle indiquée dans l'adresse "From". Sans cette correspondance, il serait possible à quiconque d'usurper l'en-tête "From" tout en signant le courrier électronique avec son propre domaine, ce qui compromettrait le mécanisme de confiance prévu par la norme DKIM.

Que sont les sélecteurs DKIM ?

Les sélecteurs DKIM permettent au serveur de messagerie destinataire de localiser et de valider la clé publique de l'expéditeur. Un sélecteur DKIM est essentiellement une méthode utilisée pour faire la distinction entre plusieurs clés publiées dans les enregistrements DNS d'un même domaine. Ceci est particulièrement utile pour les organisations qui envoient des courriels à partir de plusieurs serveurs ou services, permettant à chacun d'entre eux d'avoir sa propre signature DKIM.

Comment trouver mon sélecteur DKIM ?

La découverte de votre sélecteur DKIM est un processus simple qui consiste à inspecter les en-têtes d'un courriel envoyé à partir de votre domaine. Voici comment afficher ces en-têtes dans deux clients de messagerie populaires, Gmail et Outlook. Gardez à l'esprit que ces étapes peuvent varier en fonction de la version de vos clients de messagerie, et que les étapes seront différentes d'un fournisseur à l'autre.

Recherche du sélecteur DKIM dans Gmail

  1. Ouvrez l'e-mail en question.
  2. Cliquez sur les trois points dans le coin supérieur droit de la fenêtre du courrier électronique pour ouvrir le menu.
  3. Sélectionnez "Afficher l'original" dans le menu déroulant.
  4. Un nouvel onglet ou une nouvelle fenêtre s'ouvrira, affichant les en-têtes complets et le message original. Faites défiler la page ou utilisez la fonction de recherche (Ctrl+F ou Cmd+F) pour trouver la section "DKIM-Signature".
Sélecteur DKIM de gmail

Trouver votre sélecteur DKIM dans Outlook

  1. Double-cliquez sur l'e-mail pour l'ouvrir dans une nouvelle fenêtre.
  2. Allez dans le menu "Fichier" et sélectionnez "Propriétés".
  3. Dans la section "En-têtes Internet" de la fenêtre Propriétés, vous trouverez les en-têtes du courrier électronique. Faites défiler la page jusqu'à la ligne "DKIM-Signature".
Sélecteur Outlook DKIM

Exemple d'en-tête de signature DKIM
Supposons que vous ayez envoyé un courrier électronique à partir de l'adresse example.com et que vous examiniez les en-têtes de ce courrier. Vous trouverez peut-être un en-tête DKIM-Signature qui ressemble à ceci :

DKIM-Signature : v=1 ; a=rsa-sha256 ; d=example.com ; s=dkim1 ; c=relaxed/relaxed ; ...

Dans cet exemple fictif, la partie d=example.com spécifie le domaine responsable du courrier électronique, et s=dkim1 est le sélecteur. Le sélecteur dkim1 indique où se trouve la clé publique dans les enregistrements DNS de example.com, en particulier dans un enregistrement à l'adresse dkim1._domainkey.example.com.

Trouver le sélecteur
Dans l'en-tête DKIM-Signature, la balise s= suit directement le domaine (balise d=) et précède les autres paramètres. La valeur associée à cette balise est votre sélecteur DKIM. Dans notre exemple, dkim1 est le sélecteur que vous recherchez.

Prochaines étapes
Une fois que vous avez identifié votre sélecteur DKIM, vous pouvez l'utiliser pour vérifier vos enregistrements DKIM et le rechercher dans vos données DMARC afin de mesurer son utilisation et de confirmer qu'il fonctionne comme prévu. Des outils tels que l'inspecteur DKIM ou le validateur DKIM peuvent vous aider à vérifier que votre clé publique est correctement publiée dans votre DNS et accessible à des fins de vérification du courrier électronique, ou à vérifier que l'enregistrement de clé publique que vous êtes sur le point de publier dans le DNS est syntaxiquement exact.

Fournisseurs tiers et signature DKIM : Enregistrements TXT ou CNAME

Lors de l'intégration de la signature DKIM par le biais d'un fournisseur de services de messagerie tiers, tel que Microsoft Exchange Online ou Salesforce.com, le fournisseur peut vous demander d'ajouter un enregistrement TXT ou un enregistrement CNAME aux paramètres DNS de votre domaine. Cet ajout est nécessaire pour vérifier les courriels envoyés au nom de votre domaine à l'aide de la signature DKIM du fournisseur.

Voici un aperçu des raisons pour lesquelles chaque type d'enregistrement peut être utilisé et des exemples de ce à quoi ils peuvent ressembler :

Enregistrement TXT pour DKIM

Pourquoi: Un enregistrement TXT est utilisé pour stocker directement la clé publique DKIM dans le DNS de votre domaine. Il permet aux serveurs de messagerie qui reçoivent vos messages de trouver et d'utiliser cette clé publique pour vérifier la signature DKIM des courriels envoyés depuis votre domaine.

Exemple: Si votre fournisseur tiers vous fournit un enregistrement TXT pour DKIM, il pourrait ressembler à ceci :

dkim1._domainkey.example.com. IN TXT "v=DKIM1 ; h=sha256 ; k=rsa ; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQD....

Ici, dkim1 est le sélecteur DKIM et la partie p= contient la clé publique.

Enregistrement CNAME pour DKIM

Pourquoi: Certains fournisseurs utilisent un enregistrement CNAME pour référencer une clé publique DKIM hébergée sur leur infrastructure. Cette approche permet au fournisseur d'assurer la rotation des clés DKIM sans avoir à modifier le DNS du client. Elle délègue effectivement la recherche de la clé DKIM au domaine du fournisseur.

Exemple: Si votre fournisseur recommande l'utilisation d'un enregistrement CNAME, cela pourrait ressembler à ceci :

dkim1._domainkey.example.com. IN CNAME dkim1.exampleprovider.com.

Dans ce cas, l'interrogation de dkim1._domainkey.example.com dans le DNS renverra un enregistrement CNAME pointant vers dkim1.exampleprovider.com, où est hébergé l'enregistrement TXT contenant la clé publique DKIM.

Choix entre les enregistrements TXT et CNAME
Le choix entre les enregistrements TXT et CNAME pour la DKIM dépend de l'infrastructure de votre fournisseur et de sa politique de gestion des clés DKIM. Les enregistrements CNAME offrent une plus grande souplesse pour la gestion des clés, en particulier pour les fournisseurs qui gèrent la rotation des clés pour le compte de leurs clients. Toutefois, les enregistrements TXT permettent aux propriétaires de domaines de contrôler directement leurs clés DKIM dans leur DNS.

Mise en œuvre des enregistrements DKIM du fournisseur
Suivez attentivement les instructions de votre fournisseur lorsque vous ajoutez des enregistrements DKIM à votre DNS. Assurez-vous que les enregistrements sont correctement formatés et publiés, et vérifiez leur propagation à l'aide d'outils de recherche DNS. Un fournisseur de services disposera souvent de son propre outil, voire exigera que l'enregistrement soit vérifié dans son application ou par son équipe d'assistance avant d'autoriser l'utilisation de la clé.

N'oubliez pas de mettre à jour ces enregistrements selon les conseils de votre fournisseur, en particulier s'il utilise des enregistrements TXT pour DKIM et procède périodiquement à la rotation des clés.

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.

Commencez avec notre essai gratuit de 14 jours

Vous voulez poursuivre la conversation ? Rendez-vous sur le forum dmarcien.

DKIM

Postes connexes