DomainKeys Identified Mail, ou DKIM, est une norme technique qui aide à protéger les expéditeurs et les destinataires de courrier électronique contre le spam, l'usurpation d'identité et le phishing. C'est une forme d'authentification de courriel qui permet à une organisation de revendiquer la responsabilité d'un message d'une manière qui peut être validée par le destinataire.

Spécifiquement, elle utilise une approche appelée « cryptographie à clé publique » pour vérifier qu'un message électronique a été envoyé par un serveur de courrier autorisé, afin de détecter la falsification et d'éviter la livraison de courriels nuisibles comme le spam. Elle complète SMTP, le protocole de base utilisé pour envoyer des courriels, car il n'inclut pas lui-même de mécanismes d'authentification.

Comment cela fonctionne-t-il ?

Il fonctionne en ajoutant une signature numérique aux en-têtes d'un message électronique. Cette signature peut être validée grâce à une clé cryptographique publique dans les enregistrements du Système de Noms de Domaine (DNS) de l'organisation. En termes généraux, le processus fonctionne ainsi :

Un propriétaire de domaine publie une clé publique cryptographique comme un enregistrement TXT spécialement formaté dans les enregistrements DNS globaux du domaine.

Lorsqu'un message est envoyé par un serveur de courrier sortant, le serveur génère et attache un en-tête de signature DKIM unique au message. Cet en-tête inclut deux hachages cryptographiques, l'un des en-têtes spécifiés, et l'autre du corps du message (ou d'une partie de celui-ci). L'en-tête contient des informations sur la façon dont la signature a été générée.

Lorsqu'un serveur de courrier entrant reçoit un courriel entrant, il recherche la clé DKIM publique de l'expéditeur dans le DNS. Le serveur entrant utilise cette clé pour décrypter la signature et la comparer à une version nouvellement calculée. Si les deux valeurs correspondent, le message peut être prouvé comme authentique et non altéré en transit.

Qu'est-ce qu'une signature DKIM ?

Une signature DKIM est un en-tête ajouté aux messages électroniques. L'en-tête contient des valeurs qui permettent à un serveur de courrier récepteur de valider le message électronique en recherchant la clé DKIM de l'expéditeur et en l'utilisant pour vérifier la signature chiffrée. Elle ressemble à ceci :

DKIM-Signature: v=1; 
  a=rsa-sha256; 
  c=relaxed/relaxed; 
  d=sparkpost.com; 
  s=google; 
  h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; 
  bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; 
  b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Un en-tête de signature DKIM contient une multitude d'informations, car il est destiné à un traitement automatisé. Comme vous pouvez le voir dans cet exemple, l'en-tête contient une liste de parties tag=value. Les balises notables incluent « d= » pour le domaine signataire, « b= » pour la signature numérique réelle, et « bh= » pour un hachage qui peut être vérifié en recalculant à l'aide de la clé publique de l'expéditeur.

Les signatures sont par définition uniques d'un message à l'autre, mais ces éléments de base seront présents dans chaque en-tête de signature DKIM.

Comment est-ce lié à SPF, DMARC ou d'autres standards ?

DKIM, SPF et DMARC sont toutes des normes qui permettent différents aspects de l'authentification de courriel. Ils abordent des problèmes complémentaires.

• SPF permet aux expéditeurs de définir quelles adresses IP sont autorisées à envoyer des courriels pour un domaine particulier.

• DKIM fournit une clé de chiffrement et une signature numérique qui vérifient qu'un message électronique n'a pas été falsifié ou altéré.

• DMARC unifie les mécanismes d'authentification SPF et DKIM dans un cadre commun et permet aux propriétaires de domaines de déclarer comment ils souhaiteraient que les courriels de ce domaine soient traités s'ils échouent à un test d'autorisation.

Ai-je besoin de DKIM ?

Si vous êtes une entreprise envoyant des courriels commerciaux ou transactionnels, vous avez absolument besoin de mettre en œuvre une ou plusieurs formes d'authentification de courriel pour vérifier qu'un courriel provient effectivement de vous ou de votre entreprise. Configurer correctement les normes d'authentification de courriel est l'une des étapes les plus importantes que vous pouvez entreprendre pour améliorer votre délivrabilité. Cependant, à elle seule, elle n'ira qu'à un certain point ; SparkPost et d'autres experts en courriel recommandent également de mettre en œuvre SPF et DMARC pour définir une politique d'authentification de courriel plus complète.