Le DKIM (DomainKeys Identified Mail)

Tous les serveurs de messagerie tentent de bloquer les emails émis par de faux expéditeurs. Les fraudeurs falsifient les adresses d’expéditeurs dignes de confiance, connus du destinataire, pour introduire clandestinement un cheval de Troie sur son ordinateur ou inciter l’utilisateur à divulguer des données sensibles (hameçonnage).

L’une des méthodes permettant de vérifier l’authenticité de l’expéditeur est le DKIM, un concept qui permet de signer numériquement les emails. DKIM signifie « DomainKeys Identified Mail ».

Le DKIM utilisé aujourd’hui a été créé en 2004 dans le cadre de l’effort conjoint d’un consortium d’entreprises. Il intègre les concepts précédents de « DomainKeys » de Yahoo et d’« Identified Internet Mail » de Cisco. C’est d’ailleurs ce que signifie l’abréviation DKIM : DK = DomainKeys, IM = Identified Internet Mail.

Domaine Internet pas cher

Bien plus qu'un simple domaine !

Personnalisez votre présence en ligne avec un nom de domaine pertinent.

Email
Certificat SSL
Assistance 24/7

Le principe de fonctionnement de DKIM

Le DKIM est fondé sur la communication entre les serveurs de messagerie expéditeur et destinataire, l’utilisateur final ne remarque rien.

Pour faire simple, cela signifie que le serveur de messagerie expéditeur ajoute une signature numérique aux emails qu’il envoie. Cette signature est ensuite vérifiée par le serveur destinataire. Pour ce faire, ce dernier récupère la clé publique correspondant à la signature du serveur de messagerie déclaré comme expéditeur.

Dans certains cas, les motifs suivants peuvent expliquer une incohérence entre la clé publique et la signature numérique :

  • L’email n’a pas été envoyé à partir du serveur de messagerie indiqué dans l’en-tête de l’email, mais à partir d’un serveur frauduleux inconnu.
  • L’email a été modifié lors du transit entre le « vrai » serveur de messagerie et le destinataire. Ainsi, par exemple, un pirate informatique pourrait intercepter l’email, le modifier puis poursuivre son envoi vers le destinataire.

Les composantes techniques de DKIM

Pour comprendre le DKIM, il vaut la peine d’examiner les différents « composants » de son concept de base.

Hashing (hachage)

Suivant un algorithme défini, une chaîne de caractères est calculée à partir du contenu de l’email. On l’appelle la valeur de hachage. Elle est ajoutée à l’en-tête de l’email.

Note

Le hachage répond au même principe que le chiffre de contrôle d’un bordereau de versement, sur lequel une valeur est calculée à partir des chiffres du numéro de référence, puis ajoutée en tant que dernier chiffre du numéro de référence.

Si le destinataire calcule la valeur de hachage de l’email reçu à partir du même algorithme, il devrait obtenir la même chaîne que celle ajoutée à l’en-tête. Si la valeur de hachage ne correspond pas, le destinataire peut avoir la certitude que l’email en question a été modifié.

Chiffrement asymétrique

Pour que le destinataire puisse s’assurer que la valeur de hachage provient bien de l’expéditeur d’origine, un autre élément est nécessaire : la signature numérique.

Le chiffrement asymétrique est utilisé pour l’authentification de l’expéditeur. Il se fonde sur une paire de clés : tout élément chiffré avec la clé A ne peut être déchiffré qu’avec la clé B. Une clé est gardée secrète (« clé privée »), l’autre est publiée (« clé publique »).

Conseil

Pour des informations détaillées sur le chiffrement, veuillez vous référer à notre article présentant une vue d’ensemble des méthodes de chiffrement.

La procédure est la suivante :

  1. L’expéditeur chiffre la valeur de hachage calculée avec la clé privée.
  2. Il ajoute la valeur de hachage chiffrée à l’en-tête de l’email (« signature »).
  3. Le destinataire récupère la clé publique de l’expéditeur sur le serveur de noms de domaine et déchiffre la signature.
  4. Il recalcule ensuite la valeur de hachage déchiffrée : si la valeur de hachage calculée correspond à la valeur de hachage déchiffrée, l’email est sûr.

Enregistrement TXT sur le serveur de noms

Pour que les serveurs de messagerie destinataires puissent récupérer la clé publique de l’expéditeur, celle-ci doit être publiée sous la forme d’un enregistrement de ressources TXT dans la zone DNS du domaine.

L’enregistrement DKIM contient les éléments suivants :

  • La version, souvent encodée avec v=DKIM1.
  • L’algorithme de chiffrement ; il s’agit toujours de RSA (k=rsa).
  • La clé publique (p=) ; il s’agit d’une longue chaîne de caractères.
  • Le sélecteur ; celui-ci varie en fonction du fournisseur. Exemple : default._domainkey ou k1._domainkey

L’enregistrement DKIM ne peut généralement être consultée qu’au niveau de l’en-tête de l’email. En effet, il faut non seulement le nom de domaine, mais aussi le sélecteur pour pouvoir la retrouver. Celui-ci est généralement inconnu ou ne peut être déterminé qu’au terme de recherches approfondies.

Créer un enregistrement DKIM

Pour créer un enregistrement DKIM, vous devez générer une paire de clés RSA et la stocker au bon endroit sur le serveur. La plupart des fournisseurs de messagerie électronique le feront pour vous.

Pour mieux comprendre le fonctionnement de DKIM, vous pouvez créer manuellement un enregistrement. À cette fin, divers outils sont disponibles gratuitement sur Internet, par exemple le DKIM Record Generator de EasyDMARC. Saisissez un sélecteur au choix ci-dessus (exemple : k1) et un domaine quelconque à droite. Le générateur produit une clé privée et une clé publique. La clé privée (« private key ») doit être stockée sur le serveur de messagerie (seul votre fournisseur de messagerie peut le faire), la clé publique doit être saisie dans l’enregistrement DKIM.

Vérifier l’enregistrement DKIM

Vous pouvez vérifier si l’enregistrement DKIM est bien accessible au public à l’aide d’un vérificateur DKIM, par exemple avec le DKIM Record Lookup de EasyDMARC.

Toutefois, le plus simple est de vous envoyer un Email à vous-même et d’en consulter l’en-tête. Vous y trouverez l’entrée « Signature DKIM » :

Conseil

Copiez l’en-tête dans un outil d’analyse d’en-tête pour obtenir des informations claires et détaillées à son sujet.

Archivage d'emails

Ne perdez plus aucun email ! Avec IONOS, vous pouvez activer l'archivage automatique de vos emails en seulement quelques clics. 

Archivage automatique
Data centers européens
Protection maximale