DomainKeys Identified Mail, ou DKIM, est une norme technique qui aide à protéger les expéditeurs et les destinataires d'emails contre le spam, l'usurpation d'identité et le phishing.  C'est une forme d'authentification des emails qui permet à une organisation de revendiquer la responsabilité d'un message d'une manière qui peut être validée par le destinataire.

Spécifiquement, il utilise une approche appelée « cryptographie à clé publique » pour vérifier qu'un message email a été envoyé depuis un serveur de messagerie autorisé, afin de détecter la falsification et d'empêcher la livraison de courriers électroniques nuisibles comme le spam. Il complète SMTP, le protocole de base utilisé pour envoyer des emails, car il n'inclut pas lui-même de mécanismes d'authentification.

Comment cela fonctionne-t-il?

Il fonctionne en ajoutant une signature numérique aux en-têtes d'un message email. Cette signature peut être validée par rapport à une clé cryptographique publique dans les enregistrements DNS (Domain Name System) de l’organisation. En termes généraux, le processus fonctionne comme suit :

Un propriétaire de domaine publie une clé publique cryptographique en tant qu'enregistrement TXT spécialement formaté dans les enregistrements DNS globaux du domaine.

Lorsqu'un message de messagerie est envoyé par un serveur de messagerie sortant, le serveur génère et attache un en-tête de signature DKIM unique au message.  Cet en-tête comprend deux hachages cryptographiques, un des en-têtes spécifiés, et un du corps du message (ou d'une partie de celui-ci). L'en-tête contient des informations sur la manière dont la signature a été générée.

Lorsqu'un serveur de messagerie entrant reçoit un email entrant, il recherche la clé publique DKIM de l'expéditeur dans le DNS. Le serveur entrant utilise cette clé pour déchiffrer la signature et la comparer à une version nouvellement calculée. Si les deux valeurs correspondent, le message peut être prouvé comme étant authentique et non altéré lors du transit.

Qu'est-ce qu'une signature DKIM ?

Une signature DKIM est un en-tête ajouté aux messages email. L'en-tête contient des valeurs qui permettent à un serveur de messagerie récepteur de valider le message email en recherchant la clé DKIM de l'expéditeur et en l'utilisant pour vérifier la signature chiffrée. Cela ressemble à ceci :

DKIM-Signature : v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Un en-tête de signature DKIM contient beaucoup d'informations, car il est destiné au traitement automatisé. Comme vous pouvez le voir dans cet exemple, l'en-tête contient une liste de parties tag=value. Les tags notables incluent « d= » pour le domaine signataire, « b= » pour la signature numérique réelle, et « bh= » pour un hachage qui peut être vérifié par recalcul à l'aide de la clé publique de l'expéditeur.

Les signatures sont par définition uniques d'un message à l'autre, mais ces éléments de base seront présents dans chaque en-tête de signature DKIM.

Comment cela est-il lié à SPF, DMARC, ou d'autres normes ?

DKIM, SPF et DMARC sont toutes des normes qui permettent différents aspects de l'authentification des emails. Elles abordent des problèmes complémentaires.

• SPF permet aux expéditeurs de définir quelles adresses IP sont autorisées à envoyer des emails pour un domaine particulier.

• DKIM fournit une clé de chiffrement et une signature numérique qui permettent de vérifier qu'un message email n'a pas été falsifié ou modifié.

• DMARC unifie les mécanismes d'authentification SPF et DKIM dans un cadre commun et permet aux propriétaires de domaine de déclarer comment ils aimerraient que les emails de ce domaine soient traités s'ils échouent à un test d'autorisation.

Ai-je besoin de DKIM ?

Si vous êtes une entreprise envoyant des emails commerciaux ou transactionnels, vous avez assurément besoin de mettre en œuvre une ou plusieurs formes d'authentification des emails pour vérifier qu'un email provient effectivement de vous ou de votre entreprise. Configurer correctement les normes d'authentification des emails est l'une des étapes les plus importantes que vous pouvez entreprendre pour améliorer votre capacité de délivrance des emails. Cependant, à lui seul, cela ne va que jusqu'à un certain point; SparkPost et d'autres experts en email recommandent également de mettre en œuvre SPF et DMARC afin de définir une politique d'authentification des emails plus complète.