Qu’est-ce que le DKIM (DomainKeys Identified Mail) ?

DKIM (DomainKeys Identified Mail) est un protocole qui permet à une organisation d’assumer la responsabilité de la transmission d’un message en le signant d’une manière que les fournisseurs de boîtes aux lettres peuvent vérifier.

La vérification des enregistrements DKIM est rendue possible par l’authentification cryptographique.

La mise en œuvre d’une technologie d’authentification des emails comme DKIM est l’un des meilleurs moyens de protéger vos employés et vos clients contre les attaques ciblées par email.

Le processus de signature DKIM comporte trois étapes principales.

Étape 1 : Tout d’abord, l’expéditeur détermine les champs qu’il souhaite inclure dans la signature de son enregistrement DKIM. Ces champs comprennent l’adresse « from », le corps du message, l’objet et bien d’autres encore. Ces champs doivent rester inchangés en transit, faute de quoi l’authentification DKIM échouera.

Étape 2 : Ensuite, la plateforme de messagerie de l’expéditeur crée un hachage des champs de texte inclus dans la signature DKIM. Il s’agit des champs de texte suivants

De : Jane Doe <jane.doe@proofpoint.com>

Objet : Mise à jour

par exemple, correspondront à cette chaîne de hachage :

3303baf8986f910720abcfa607d81f53

Une fois la chaîne de hachage générée, elle est chiffrée à l’aide d’une clé privée, accessible uniquement à l’expéditeur.

Étape 3 : Enfin, après l’envoi du courrier électronique, c’est à la passerelle de courrier électronique ou au fournisseur de la boîte aux lettres du consommateur de valider la signature DKIM en trouvant la clé publique qui correspond parfaitement à la clé privée. La signature DKIM est alors décryptée et ramenée à sa chaîne de hachage d’origine.

Ensuite, le destinataire génère son propre hachage des champs inclus dans la signature DKIM et le compare à la chaîne de hachage qui vient d’être décryptée.

S’il y a concordance, nous savons deux choses : D’une part, les champs de la signature DKIM n’ont pas été modifiés en cours de route et, d’autre part, le signataire de l’email est véritablement le propriétaire de l’email.

La signature DKIM est la principale caractéristique de la validation. La signature est un hachage créé par divers éléments du message. L’expéditeur peut utiliser le domaine, le corps du message et d’autres parties du message pour créer une signature. Ces éléments sont déterminés au moment de l’envoi du message, de sorte qu’ils ne peuvent être modifiés ultérieurement.

Pour créer la signature, l’expéditeur utilise la clé privée du domaine pour chiffrer le message et créer un hachage. Le serveur d’email du destinataire utilise ensuite la clé publique de l’expéditeur pour chiffrer les mêmes éléments du message.

Le destinataire prend le résultat chiffré, une chaîne de hachage, et le compare au hachage déchiffré de l’expéditeur. Si les deux chaînes sont identiques, la validation DKIM est réussie. Même si un seul caractère du message a changé, le hachage obtenu en le chiffrant à l’aide de la clé publique ne sera pas identique à celui envoyé par le serveur d’email de l’expéditeur.

Un échec du processus de validation de la signature DKIM indique qu’un pirate a pu altérer le message.

La signature DKIM et le processus de chiffrement garantissent l’intégrité du message afin que les destinataires ne soient pas victimes d’attaques de phishing ou de malware à partir de messages interceptés.

Le serveur DNS du domaine héberge l’entrée TXT DKIM, mais le serveur d’email du destinataire doit pouvoir la localiser parmi d’autres entrées TXT.

Le sélecteur DKIM indique où le serveur d’email du destinataire peut trouver la clé publique du domaine. La clé publique est utilisée pour créer un hachage et le vérifier par rapport au même hachage créé avec la clé privée, c’est donc un élément nécessaire à la validation DKIM.

Chaque email envoyé avec une configuration DKIM comprend un en-tête DKIM-Signature avec le sélecteur inclus avec d’autres informations. Voici un exemple de signature DKIM :

DKIM-Signature : v=1 ; a=rsa ; c=relaxed/relaxed ; d=mydomain.com ; s=s837fhs ;

La valeur située dans la balise « s » est le sélecteur DKIM. Ce sélecteur est généré lorsque vous créez votre paire de clés privée/publique. Vous pouvez trouver votre propre sélecteur DKIM après avoir configuré DKIM sur votre serveur email et envoyé un message à vous-même.

Affichez les en-têtes du message email et trouvez la section DKIM-Signature des en-têtes. La valeur de la balise « s » dans les en-têtes est votre propre sélecteur DKIM.

DKIM et SPF travaillent ensemble pour sécuriser les emails, empêcher l’écoute et la falsification des données.

Ils font tous deux partie de DMARC (Domain-based Message Authentication Reporting and Conformance), mais ils ont des objectifs différents. DKIM est utilisé pour vérifier qu’aucun tiers n’a altéré les données d’un email. SPF, quant à lui, empêche les messages usurpés d’utiliser le domaine de l’expéditeur.

Avec un enregistrement SPF, le propriétaire du domaine enregistre un enregistrement TXT sur ses serveurs DNS, de la même manière qu’un enregistrement DKIM héberge des informations clés. Les informations TXT répertorient tous les serveurs d’email autorisés à envoyer des emails au nom du domaine.

Si un pirate utilise des en-têtes de message usurpés, l’enregistrement SPF permet au serveur de messagerie du destinataire de détecter les messages frauduleux et de les empêcher d’atteindre la boîte de réception de la victime.

Un enregistrement SPF garantit uniquement que des emails usurpés ne peuvent pas être envoyés aux destinataires, mais il ne garantit pas qu’un pirate n’a pas altéré le message. Sans DKIM, un pirate pourrait détourner des messages et envoyer un message modifié au destinataire. DKIM travaille avec SPF pour garantir que l’expéditeur est légitime et que le message n’a pas été modifié pendant la transmission.

Ensemble, DKIM et SPF renforcent la sécurité du système d’email, un outil de communication essentiel sur l’internet. L’email a longtemps été un moyen pour les attaquants de voler les identités et les identifiants des utilisateurs, car la plupart des utilisateurs ne pouvaient pas détecter les messages usurpés. Ces deux stratégies sont ensuite appliquées aux règles DMARC. DMARC détermine ce qu’il advient du message s’il échoue à la validation.

Pour les grandes entreprises, les règles DMARC peuvent mettre les messages en quarantaine afin qu’ils soient examinés par un administrateur. Les messages mis en quarantaine n’atteignent pas le destinataire prévu, à moins que l’administrateur ne les transfère dans sa boîte de réception.

Les messages faussement positifs peuvent être transmis au destinataire prévu, de sorte qu’aucun message important ne soit abandonné ou supprimé par erreur. Une fois que la sécurité a été testée de manière approfondie, vous pouvez configurer DMARC de manière à ce que les messages qui échouent à la validation DKIM et SPF soient automatiquement abandonnés et supprimés.

DKIM, SPF et DMARC sont souvent utilisés de manière interchangeable ; il s’agit pourtant de trois stratégies distinctes qui travaillent ensemble pour sécuriser les emails. DMARC désigne les règles de sécurité qui déterminent ce qu’il convient de faire d’un message lorsque les validations DKIM et SPF ne sont pas satisfaisantes.

DMARC propose trois options en cas d’échec de la validation DKIM : quarantaine, rejet et aucune. Le processus de sécurité DMARC détermine laquelle de ces trois phases sera appliquée au message. C’est l’administrateur du serveur d’email qui définit les paramètres DMARC, de sorte que le sort réservé aux messages ayant échoué dépend des préférences de l’administrateur.

Le paramètre « aucun » signifie qu’il ne se passe rien et que les messages continuent d’arriver dans la boîte de réception du destinataire. Ce paramètre est destiné aux destinataires qui doivent recevoir des messages qui ont été usurpés ou qui contiennent un contenu malveillant. Il peut s’agir d’un administrateur ou d’un employé chargé de la sécurité qui doit enquêter sur des messages suspects.

Le statut « quarantaine » est utilisé par de nombreux administrateurs pour examiner les messages qui n’ont pas été validés. Le système d’email place ces messages dans un endroit sûr où les utilisateurs ne peuvent pas accéder mais où un administrateur peut les examiner ultérieurement.

En examinant les messages envoyés en quarantaine, un administrateur peut déterminer si l’organisation est la cible d’une campagne de phishing. Les messages en quarantaine peuvent également être utilisés pour vérifier si les paramètres SPF ou DKIM sont mal configurés. Certains systèmes de sécurité des emails fonctionnent avec l’intelligence artificielle (IA), de sorte que l’administrateur peut signaler un faux positif pour mieux « former » le système.

Si un message échoue à la validation DKIM et que DMARC est configuré pour rejeter les messages, le serveur d’email abandonne complètement le message et ne l’envoie nulle part. Ce paramètre est courant sur les serveurs d’email publics tels que Gmail. Google rejette purement et simplement des millions de messages qui n’ont pas été validés par DKIM et SPF, afin que ses clients ne soient pas victimes de phishing, de piratage et d’autres campagnes d’usurpation d’identité.

Configurer DKIM est essentiel pour protéger l’authenticité et l’intégrité de vos e-mails.

Voici un aperçu des étapes en fonction de la plateforme :

• Avec Gmail (Google Workspace) : Accédez à la console d’administration, générez une clé DKIM (2048 bits recommandée), ajoutez l’enregistrement DNS (TXT) via votre hébergeur, puis activez DKIM dans Gmail. Vérifiez la configuration avec des outils comme MXToolbox.
• Avec Office 365 : Depuis le centre d’administration Exchange, générez deux sélecteurs (ex. selector1 et selector2). Ajoutez des enregistrements CNAME dans le DNS de votre domaine, activez DKIM dans Office 365, et testez la configuration à l’aide de DKIM Core.
• Sur un serveur privé (Postfix, Exim, etc.) : Installez un service de configuration DKIM, générez une paire de clés (privée et publique), ajoutez la clé publique dans les enregistrements DNS (TXT), configurez le logiciel pour intégrer les en-têtes de messagerie, et redémarrez les services pour appliquer les modifications.

L’enregistrement DKIM est utile aux destinataires, car il les informe des emails susceptibles de contenir des éléments malveillants ou du spam. Il valide également que les données incluses dans la signature DKIM n’ont pas été modifiées en cours de route. Mais comme la mise en œuvre de la DKIM est plus difficile, les expéditeurs sont moins nombreux à l’avoir adoptée.

En outre, DKIM n’empêche pas les cybercriminels d’usurper les parties visibles du champ « from » d’un mail, notamment l’adresse électronique, le nom d’affichage et le domaine. À l’instar de SPF, DKIM n’est donc pas suffisant pour protéger une organisation contre les attaques de phishing sophistiquées.

Combinant le meilleur de SPF et de DKIM, la norme d’authentification DMARC (Domain-based Message Authentication Reporting and Conformance) est la seule technologie capable de valider la légitimité des messages utilisant le domaine « from » de l’en-tête d’une entreprise.