DomainKeys Identified Mail, ou DKIM, est une norme technique qui aide à protéger les expéditeurs et les destinataires d'e-mails contre le spam, le spoofing et le phishing.  C'est une forme d'authentification par email qui permet à une organisation de revendiquer la responsabilité d'un message d'une manière qui peut être validée par le destinataire.

Spécifiquement, il utilise une approche appelée « cryptographie à clé publique » pour vérifier qu'un message électronique a été envoyé par un serveur de messagerie autorisé, afin de détecter la falsification et de prévenir la distribution de courriels nuisibles comme le spam. Il complète SMTP, le protocole de base utilisé pour envoyer des e-mails, car il n'inclut pas lui-même de mécanismes d'authentification.

Comment fonctionne-t-il ?

Il fonctionne en ajoutant une signature numérique aux en-têtes d'un message électronique. Cette signature peut être validée par rapport à une clé cryptographique publique dans les enregistrements du Système de Nom de Domaine (DNS) de l'organisation. En termes généraux, le processus fonctionne comme suit :

Un propriétaire de domaine publie une clé cryptographique publique comme un enregistrement TXT spécialement formaté dans les enregistrements DNS globaux du domaine.

Lorsqu'un message électronique est envoyé par un serveur de messagerie sortant, le serveur génère et attache un en-tête de signature DKIM unique au message. Cet en-tête comprend deux hachages cryptographiques, l'un des en-têtes spécifiés et l'autre du corps du message (ou d'une partie de celui-ci). L'en-tête contient des informations sur la façon dont la signature a été générée.

Lorsqu'un serveur de messagerie entrant reçoit un e-mail entrant, il recherche la clé DKIM publique de l'expéditeur dans le DNS. Le serveur entrant utilise cette clé pour décrypter la signature et la comparer à une version calculée récemment. Si les deux valeurs correspondent, le message peut être prouvé comme authentique et non altéré en transit.

Qu'est-ce qu'une signature DKIM ?

Une signature DKIM est un en-tête ajouté aux messages électroniques. L'en-tête contient des valeurs qui permettent à un serveur de messagerie récepteur de valider le message électronique en recherchant la clé DKIM de l'expéditeur et en l'utilisant pour vérifier la signature chiffrée. Cela ressemble à ceci :

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Un en-tête de signature DKIM emballe beaucoup d'informations, car il est destiné à un traitement automatisé. Comme vous pouvez le voir dans cet exemple, l'en-tête contient une liste de parties tag=value. Les balises notables incluent « d= » pour le domaine de signature, « b= » pour la signature numérique réelle, et « bh= » pour un hash qui peut être vérifié en recalculant en utilisant la clé publique de l'expéditeur.

Les signatures sont par définition uniques de message en message, mais ces éléments de base seront présents dans chaque en-tête de signature DKIM.

Comment est-il lié à SPF, DMARC ou à d'autres normes ?

DKIM, SPF et DMARC sont toutes des normes qui permettent différents aspects de l'authentification par e-mail. Ils abordent des problèmes complémentaires.

• SPF permet aux expéditeurs de définir quelles adresses IP sont autorisées à envoyer des courriels pour un domaine particulier.

• DKIM fournit une clé de chiffrement et une signature numérique qui vérifient qu'un message électronique n'a pas été falsifié ou modifié.

• DMARC unifie les mécanismes d'authentification SPF et DKIM dans un cadre commun et permet aux propriétaires de domaine de déclarer comment ils aimerait que les courriels de ce domaine soient traités s'ils échouent à un test d'autorisation.

Ai-je besoin de DKIM ?

Si vous êtes une entreprise envoyant des e-mails commerciaux ou transactionnels, vous avez absolument besoin de mettre en œuvre une ou plusieurs formes d'authentification par e-mail pour vérifier qu'un e-mail provient réellement de vous ou de votre entreprise. Configurer correctement les normes d'authentification des e-mails est l'une des étapes les plus importantes que vous puissiez prendre pour améliorer votre délivrabilité. Cependant, à lui seul cela ne va que jusqu'à un certain point; SparkPost et d'autres experts en messagerie recommandent également de mettre en œuvre SPF et DMARC pour définir une politique d'authentification par e-mail plus complète.