DKIM
Qu'est-ce que DKIM ?
DKIMStandard d'authentification d'e-mail (RFC 6376) permettant à un domaine expéditeur d'apposer une signature cryptographique aux messages sortants, pour que les destinataires vérifient que l'en-tête et le corps n'ont pas été altérés.
DKIM (DomainKeys Identified Mail) est spécifié par le RFC 6376. Le MTA expéditeur calcule une signature RSA ou Ed25519 sur des en-têtes sélectionnés (typiquement From, Subject, Date) et le corps, puis ajoute un en-tête DKIM-Signature précisant le domaine signataire (d=) et le sélecteur (s=). Le récepteur récupère la clé publique via selector._domainkey.d.example.com (TXT) et valide la signature. DKIM survit à la plupart des transferts et fournit l'identifiant cryptographique qu'utilise DMARC pour l'alignement. L'hygiène des clés est cruciale : utiliser des clés RSA 2048 bits ou Ed25519, faire tourner les sélecteurs, retirer les anciennes clés et protéger les clés privées dans des HSM/KMS, faute de quoi un attaquant peut forger des e-mails.
● Exemples
- 01
Un serveur sortant signe les e-mails marketing avec le sélecteur s1 et d=example.com, autorisant l'alignement DMARC.
- 02
Rotation d'une clé DKIM en publiant un nouveau sélecteur avant de retirer l'ancien pour éviter les ruptures de validation.
● Questions fréquentes
Qu'est-ce que DKIM ?
Standard d'authentification d'e-mail (RFC 6376) permettant à un domaine expéditeur d'apposer une signature cryptographique aux messages sortants, pour que les destinataires vérifient que l'en-tête et le corps n'ont pas été altérés. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie DKIM ?
Standard d'authentification d'e-mail (RFC 6376) permettant à un domaine expéditeur d'apposer une signature cryptographique aux messages sortants, pour que les destinataires vérifient que l'en-tête et le corps n'ont pas été altérés.
Comment fonctionne DKIM ?
DKIM (DomainKeys Identified Mail) est spécifié par le RFC 6376. Le MTA expéditeur calcule une signature RSA ou Ed25519 sur des en-têtes sélectionnés (typiquement From, Subject, Date) et le corps, puis ajoute un en-tête DKIM-Signature précisant le domaine signataire (d=) et le sélecteur (s=). Le récepteur récupère la clé publique via selector._domainkey.d.example.com (TXT) et valide la signature. DKIM survit à la plupart des transferts et fournit l'identifiant cryptographique qu'utilise DMARC pour l'alignement. L'hygiène des clés est cruciale : utiliser des clés RSA 2048 bits ou Ed25519, faire tourner les sélecteurs, retirer les anciennes clés et protéger les clés privées dans des HSM/KMS, faute de quoi un attaquant peut forger des e-mails.
Comment se défendre contre DKIM ?
Les défenses contre DKIM combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de DKIM ?
Noms alternatifs courants : DomainKeys Identified Mail.
● Termes liés
- network-security№ 333
DMARC
Standard d'authentification d'e-mail défini par le RFC 7489 qui permet au propriétaire d'un domaine de publier une politique indiquant aux récepteurs que faire des messages échouant SPF/DKIM et l'alignement.
- network-security№ 1076
SPF (Sender Policy Framework)
Mécanisme d'authentification d'e-mail du RFC 7208 permettant à un domaine de publier dans le DNS quelles adresses IP ou quels hôtes sont autorisés à émettre du courrier avec son domaine dans le MAIL FROM d'enveloppe.
- network-security№ 095
BIMI
Standard de messagerie qui permet d'afficher un logo de marque vérifié à côté des messages authentifiés dans les clients compatibles, à condition que le domaine applique une politique DMARC en quarantine ou reject.
- attacks№ 375
Usurpation d'e-mail
Falsification des en-têtes d'un e-mail pour qu'il semble provenir d'un expéditeur de confiance, généralement à des fins de phishing, fraude ou diffusion de malware.
- network-security№ 955
S/MIME
Norme IETF pour signer et chiffrer de bout en bout des e-mails MIME à l'aide de certificats X.509 délivrés par une AC publique ou d'entreprise.
- network-security№ 984
Passerelle de messagerie sécurisée
Service périmétrique ou cloud filtrant le courrier entrant et sortant à la recherche de spam, phishing, malware, fuites de données et violations de politique avant arrivée dans les boîtes.
● Voir aussi
- № 058ARC (Authenticated Received Chain)
- № 819PGP
- № 446GnuPG (GPG)
- № 452Greylisting
- № 336DNSBL (liste noire DNS)