DomainKeys Identified Mail, ou DKIM, est une norme technique qui aide à protéger les expéditeurs et les destinataires d'emails contre le spam, l'usurpation d'identité et le phishing.  C'est une forme d'authentification des emails qui permet à une organisation de revendiquer la responsabilité d'un message d'une manière qui peut être validée par le destinataire.

Plus précisément, il utilise une approche appelée « cryptographie à clé publique » pour vérifier qu'un message email a été envoyé depuis un serveur de messagerie autorisé, afin de détecter la falsification et d'empêcher la livraison de courriels nuisibles comme le spam. Il complète SMTP, le protocole de base utilisé pour envoyer des emails, car il n'inclut pas lui-même de mécanismes d'authentification.

Comment cela fonctionne-t-il ?

Il fonctionne en ajoutant une signature numérique aux en-têtes d'un message email. Cette signature peut être validée par rapport à une clé cryptographique publique dans les enregistrements DNS (Domain Name System) de l'organisation. En termes généraux, le processus fonctionne comme suit :

Un propriétaire de domaine publie une clé publique cryptographique en tant qu'enregistrement TXT spécialement formaté dans les enregistrements DNS globaux du domaine.

Lorsqu'un message est envoyé par un serveur de messagerie sortant, le serveur génère et joint un en-tête de signature DKIM unique au message. Cet en-tête comprend deux hachages cryptographiques, l'un des en-têtes spécifiques et l'autre du corps du message (ou d'une partie de celui-ci). L'en-tête contient des informations sur la façon dont la signature a été générée.

Lorsqu'un serveur de messagerie entrant reçoit un email, il recherche la clé DKIM publique de l'expéditeur dans le DNS. Le serveur entrant utilise cette clé pour déchiffrer la signature et la comparer à une version nouvellement calculée. Si les deux valeurs correspondent, le message peut être prouvé authentique et inchangé en transit.

Qu'est-ce qu'une signature DKIM ?

Une signature DKIM est un en-tête ajouté aux messages email. L'en-tête contient des valeurs qui permettent à un serveur de messagerie récepteur de valider le message email en recherchant la clé DKIM de l'expéditeur et en l'utilisant pour vérifier la signature cryptée. Cela ressemble à ceci :

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Un en-tête de signature DKIM contient beaucoup d'informations, car il est destiné à être traité automatiquement. Comme vous pouvez le voir dans cet exemple, l'en-tête contient une liste de parties tag=valeur. Les balises notables incluent « d= » pour le domaine de signature, « b= » pour la signature numérique réelle, et « bh= » pour un hachage pouvant être vérifié en recalculant à l'aide de la clé publique de l'expéditeur.

Les signatures sont par définition uniques d'un message à l'autre, mais ces éléments de base seront présents dans chaque en-tête de signature DKIM.

Quelle est sa relation avec SPF, DMARC, ou d'autres normes ?

DKIM, SPF et DMARC sont toutes des normes qui permettent différents aspects de l'authentification des emails. Ils abordent des problèmes complémentaires.

• SPF permet aux expéditeurs de définir quelles adresses IP sont autorisées à envoyer des courriels pour un domaine particulier.

• DKIM fournit une clé de cryptage et une signature numérique qui vérifient qu'un message email n'a pas été falsifié ou modifié.

• DMARC unifie les mécanismes d'authentification SPF et DKIM dans un cadre commun et permet aux propriétaires de domaines de déclarer comment ils aimerait que les emails de ce domaine soient traités s'ils échouent à un test d'autorisation.

Ai-je besoin de DKIM ?

Si vous êtes une entreprise envoyant des emails commerciaux ou transactionnels, vous avez absolument besoin de mettre en œuvre une ou plusieurs formes d'authentification des emails pour vérifier qu'un email provient réellement de vous ou de votre entreprise. Configurer correctement les normes d'authentification des emails est l'une des étapes les plus importantes que vous pouvez prendre pour améliorer votre délivrabilité. Cependant, à lui seul, cela n'ira pas très loin ; SparkPost et d'autres experts en emails recommandent également de mettre en œuvre SPF et DMARC pour définir une politique d'authentification des emails plus complète.