Le DKIM (DomainKeys Identified Mail)
Tous les serveurs de messagerie tentent de bloquer les emails émis par de faux expéditeurs. Les fraudeurs falsifient les adresses d’expéditeurs dignes de confiance, connus du destinataire, pour introduire clandestinement un cheval de Troie sur son ordinateur ou inciter l’utilisateur à divulguer des données sensibles (hameçonnage).
L’une des méthodes permettant de vérifier l’authenticité de l’expéditeur est le DKIM, un concept qui permet de signer numériquement les emails. DKIM signifie « DomainKeys Identified Mail ».
Le DKIM utilisé aujourd’hui a été créé en 2004 dans le cadre de l’effort conjoint d’un consortium d’entreprises. Il intègre les concepts précédents de « DomainKeys » de Yahoo et d’« Identified Internet Mail » de Cisco. C’est d’ailleurs ce que signifie l’abréviation DKIM : DK = DomainKeys, IM = Identified Internet Mail.
Domaine Internet pas cher
Bien plus qu'un simple domaine !
Personnalisez votre présence en ligne avec un nom de domaine pertinent.
Le principe de fonctionnement de DKIM
Le DKIM est fondé sur la communication entre les serveurs de messagerie expéditeur et destinataire, l’utilisateur final ne remarque rien.
Pour faire simple, cela signifie que le serveur de messagerie expéditeur ajoute une signature numérique aux emails qu’il envoie. Cette signature est ensuite vérifiée par le serveur destinataire. Pour ce faire, ce dernier récupère la clé publique correspondant à la signature du serveur de messagerie déclaré comme expéditeur.
Dans certains cas, les motifs suivants peuvent expliquer une incohérence entre la clé publique et la signature numérique :
- L’email n’a pas été envoyé à partir du serveur de messagerie indiqué dans l’en-tête de l’email, mais à partir d’un serveur frauduleux inconnu.
- L’email a été modifié lors du transit entre le « vrai » serveur de messagerie et le destinataire. Ainsi, par exemple, un pirate informatique pourrait intercepter l’email, le modifier puis poursuivre son envoi vers le destinataire.
Les composantes techniques de DKIM
Pour comprendre le DKIM, il vaut la peine d’examiner les différents « composants » de son concept de base.
Hashing (hachage)
Suivant un algorithme défini, une chaîne de caractères est calculée à partir du contenu de l’email. On l’appelle la valeur de hachage. Elle est ajoutée à l’en-tête de l’email.
Le hachage répond au même principe que le chiffre de contrôle d’un bordereau de versement, sur lequel une valeur est calculée à partir des chiffres du numéro de référence, puis ajoutée en tant que dernier chiffre du numéro de référence.
Si le destinataire calcule la valeur de hachage de l’email reçu à partir du même algorithme, il devrait obtenir la même chaîne que celle ajoutée à l’en-tête. Si la valeur de hachage ne correspond pas, le destinataire peut avoir la certitude que l’email en question a été modifié.
Chiffrement asymétrique
Pour que le destinataire puisse s’assurer que la valeur de hachage provient bien de l’expéditeur d’origine, un autre élément est nécessaire : la signature numérique.
Le chiffrement asymétrique est utilisé pour l’authentification de l’expéditeur. Il se fonde sur une paire de clés : tout élément chiffré avec la clé A ne peut être déchiffré qu’avec la clé B. Une clé est gardée secrète (« clé privée »), l’autre est publiée (« clé publique »).
Pour des informations détaillées sur le chiffrement, veuillez vous référer à notre article présentant une vue d’ensemble des méthodes de chiffrement.
La procédure est la suivante :
- L’expéditeur chiffre la valeur de hachage calculée avec la clé privée.
- Il ajoute la valeur de hachage chiffrée à l’en-tête de l’email (« signature »).
- Le destinataire récupère la clé publique de l’expéditeur sur le serveur de noms de domaine et déchiffre la signature.
- Il recalcule ensuite la valeur de hachage déchiffrée : si la valeur de hachage calculée correspond à la valeur de hachage déchiffrée, l’email est sûr.
Enregistrement TXT sur le serveur de noms
Pour que les serveurs de messagerie destinataires puissent récupérer la clé publique de l’expéditeur, celle-ci doit être publiée sous la forme d’un enregistrement de ressources TXT dans la zone DNS du domaine.
L’enregistrement DKIM contient les éléments suivants :
- La version, souvent encodée avec v=DKIM1.
- L’algorithme de chiffrement ; il s’agit toujours de RSA (k=rsa).
- La clé publique (p=) ; il s’agit d’une longue chaîne de caractères.
- Le sélecteur ; celui-ci varie en fonction du fournisseur. Exemple : default._domainkey ou k1._domainkey
L’enregistrement DKIM ne peut généralement être consultée qu’au niveau de l’en-tête de l’email. En effet, il faut non seulement le nom de domaine, mais aussi le sélecteur pour pouvoir la retrouver. Celui-ci est généralement inconnu ou ne peut être déterminé qu’au terme de recherches approfondies.
Créer un enregistrement DKIM
Pour créer un enregistrement DKIM, vous devez générer une paire de clés RSA et la stocker au bon endroit sur le serveur. La plupart des fournisseurs de messagerie électronique le feront pour vous.
Pour mieux comprendre le fonctionnement de DKIM, vous pouvez créer manuellement un enregistrement. À cette fin, divers outils sont disponibles gratuitement sur Internet, par exemple le DKIM Record Generator de EasyDMARC. Saisissez un sélecteur au choix ci-dessus (exemple : k1) et un domaine quelconque à droite. Le générateur produit une clé privée et une clé publique. La clé privée (« private key ») doit être stockée sur le serveur de messagerie (seul votre fournisseur de messagerie peut le faire), la clé publique doit être saisie dans l’enregistrement DKIM.
Vérifier l’enregistrement DKIM
Vous pouvez vérifier si l’enregistrement DKIM est bien accessible au public à l’aide d’un vérificateur DKIM, par exemple avec le DKIM Record Lookup de EasyDMARC.
Toutefois, le plus simple est de vous envoyer un Email à vous-même et d’en consulter l’en-tête. Vous y trouverez l’entrée « Signature DKIM » :
Copiez l’en-tête dans un outil d’analyse d’en-tête pour obtenir des informations claires et détaillées à son sujet.
Archivage d'emails
Ne perdez plus aucun email ! Avec IONOS, vous pouvez activer l'archivage automatique de vos emails en seulement quelques clics.
Articles similaires
Générer des clés SSH pour votre connexion réseau
Une connexion réseau sécurisée via un protocole SSH est une solution appréciée pour administrer ou commander un serveur à distance. Le processus d’authentification sur le serveur se déroule de manière conventionnelle, à l’aide d’un identifiant et d’un mot de passe. Mais il existe des méthodes d’authentification alternatives pour une connexion SSH, comme par exemple l’authentification par clé…
Déceler les tentatives de phishing
Il arrive fréquemment aux internautes de se retrouver confronté à la réception d’Emails douteux, qui invitent à communiquer des données sensibles telles que les coordonnées bancaires. Ces tentatives de hameçonnage sont un véritable fléau sur le Web, et leurs dommages sont évalués chaque année à hauteur de plusieurs millions d’euros. Nous vous exposons comment déceler les tentatives de hameçonnage,…
Spear Phishing : des attaques ciblées sur vos données
Les internautes font souvent l’objet de cyberattaques. La plupart d’entre elles sont faciles à éviter. Cependant, une nouvelle variante s’est déjà révélée particulièrement dangereuse : le spear phishing n’est pas une chaîne de contenus sans queue ni tête ou bourrée de fautes d’orthographe. Ces messages trompeurs, taillés sur mesure, visent une victime spécifique et paraissent d’une réalité…
DMARC : détection des utilisations frauduleuses du nom de domaine de votre mail
Comment détecter les courriers électroniques frauduleux s'ils utilisent un nom d'expéditeur connu et prennent la forme de lettres d'information ou de courriers électroniques classiques ? Le mécanisme de protection DMARC, qui entraîne le déclenchement automatique de mesures de sécurité en cas de problème, propose une solution efficace. Voici comment utiliser la DMARC pour détecter précocement tout…
Créez une adresse personnalisée