Pourquoi le protocole DKIM seul n'est pas suffisamment sûr
Le protocole DKIM (DomainKeys Identified Mail) est un pilier de la sécurité des e-mails. Grâce à une signature cryptographique, il garantit qu'un e-mail n'a pas été altéré pendant son acheminement et qu'il provient bien du domaine qu'il prétend représenter.
Qu'est-ce que DKIM ?
Normes ouvertes d'authentification des e-mails, le protocole DKIM est publié dans le DNS d'un domaine. Créé en 2005, le protocole DKIM est l'un des deux moyens utilisés par DMARC pour associer un e-mail à un domaine d'origine.
Pour utiliser le protocole DKIM, les serveurs de messagerie sont configurés de manière à ajouter des signatures DKIM spécifiques aux e-mails qu’ils envoient. On peut considérer ces signatures comme des « sceaux » cryptés du domaine, qui protègent un e-mail contre toute altération pendant son acheminement. Ces signatures accompagnent les e-mails et sont vérifiées tout au long du parcours par chaque serveur de messagerie qui achemine les e-mails vers leur destination finale.
Comment fonctionne DKIM ?
Lorsqu'un serveur de messagerie entrant reçoit un message, il recherche la signature DKIM et vérifie la clé publique DKIM de l'expéditeur dans le DNS. Le sélecteur DKIM fourni dans la signature DKIM sert à déterminer où rechercher cette clé. Si la clé est trouvée, elle est utilisée pour déchiffrer la signature DKIM. Celle-ci est ensuite comparée aux valeurs extraites du message reçu. Si elles correspondent, la signature DKIM est valide.
Risques liés au recours exclusif au protocole DKIM pour la sécurité des e-mails
Compte tenu de l'évolution des techniques de hameçonnage, notamment des systèmes d'IA sophistiqués et des modèles économiques criminels de type « Phishing-as-a-Service », se fier uniquement au protocole DKIM revient à s'engager sur une pente glissante. Bien qu'il permette de vérifier l'intégrité du message et des services de transfert, le protocole DKIM n'empêche pas les attaquants de se faire passer pour un domaine légitime. Le protocole DKIM doit s'inscrire dans une stratégie plus large de sécurité des e-mails, qui inclut les protocoles SPF et DKIM comme fondement du DMARC.
Le protocole DKIM vérifie l'intégrité, et non l'identité
Le protocole DKIM permet de vérifier que le corps du message et certains en-têtes (comme « De ») n'ont pas été modifiés par un tiers. Cependant, il n'empêche pas un pirate de générer une signature valide pour un e-mail malveillant envoyé depuis un domaine qu'il contrôle.
Manque d'alignement avec l'en-tête « Visible From »
La principale faiblesse du protocole DKIM, utilisé seul, réside dans le fait qu'il n'impose pas que le domaine validé par la signature (balise« d= ») corresponde à l'adresse « De » visible par l'utilisateur.
DKIM ne contrôle pas ce qui se passe en cas d'échec de l'authentification
Le protocole DKIM permet à un serveur de vérifier un message, mais il n’indique pas au serveur destinataire comment réagir en cas d’échec de la vérification. Un e-mail dépourvu de signature DKIM peut tout de même être acheminé vers la boîte de réception, ou une signature invalide peut n’entraîner qu’une légère pénalité sur le score de spam du message. Seule la politique DMARC indique au serveur destinataire la mesure à prendre.
Pourquoi ces trois piliers de l'authentification des e-mails sont-ils indispensables ?
Le DKIM n'est pas une solution autonome ; il s'agit d'un élément d'un cadre intégré d'authentification des e-mails. Pour une protection optimale contre le phishing, utilisez les mesures suivantes :
- SPF : Vérifie quelles adresses IP sont autorisées à envoyer des e-mails au nom de votre domaine.
- DKIM : garantit l'intégrité du contenu des messages.
- DMARC : authentifie les e-mails en combinant les mécanismes SPF et DKIM, et permet au propriétaire du domaine de mettre en quarantaine ou de rejeter les messages qui ne satisfont pas aux critères de validité.
DMARC exige que le domaine utilisé pour la validation DKIM corresponde au domaine figurant dans l'en-tête « From ».
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité e-mail et une mission visant à rendre l'e-mail et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
