EMAIL GUIDE

DKIM Lookup : La Signature Numérique des E-mails Expliquée

Comment DKIM protège l'intégrité de vos e-mails grâce à la cryptographie asymétrique, comment vérifier l'enregistrement et résoudre les problèmes les plus courants.

DKIM : l'empreinte numérique de vos e-mails

DomainKeys Identified Mail (DKIM) est un protocole d'authentification e-mail qui utilise la cryptographie à clé publique pour garantir qu'un e-mail n'a pas été altéré pendant le transit. Contrairement à SPF qui ne vérifie que l'IP du serveur expéditeur, DKIM signe cryptographiquement le contenu de l'e-mail, permettant au destinataire de vérifier son intégrité et son authenticité. Chaque e-mail signé avec DKIM contient un en-tête DKIM-Signature avec la signature numérique calculée sur le corps du message et certains en-têtes sélectionnés.

Le mécanisme fonctionne avec deux clés : une clé privée (conservée par le serveur de messagerie expéditeur) et une clé publique (publiée dans le DNS du domaine). Lorsque le serveur envoie un e-mail, il calcule un hash du contenu et le chiffre avec la clé privée. Le serveur récepteur récupère la clé publique depuis le DNS, déchiffre la signature et compare le hash avec celui calculé localement. S'ils correspondent, le message est authentique et intègre.

Comment fonctionne le sélecteur DKIM

Chaque enregistrement DKIM est identifié par un sélecteur, un préfixe qui permet d'avoir plusieurs clés DKIM pour le même domaine. L'enregistrement se trouve à l'adresse sélecteur._domainkey.domaine.com. Par exemple, si Google Workspace utilise le sélecteur "google", la clé publique se trouve dans google._domainkey.exemple.com. Ce système permet d'utiliser des clés différentes pour différents services : une pour le serveur d'entreprise, une pour la plateforme marketing, une pour le système de tickets.

Enregistrement DKIM dans le DNS
# Record DKIM per Google Workspace (selector: google)
google._domainkey.esempio.com. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki...chiave_pubblica_base64..."

# Header DKIM-Signature in un'email
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=esempio.com; s=google;
  h=from:to:subject:date:message-id;
  bh=hash_del_body;
  b=firma_digitale_base64

Dans l'en-tête DKIM-Signature, les paramètres clés sont : d= (domaine signataire), s= (sélecteur), h= (en-têtes inclus dans la signature), bh= (hash du corps), b= (la signature proprement dite). Le paramètre a= spécifie l'algorithme (rsa-sha256 est le standard actuel). Le paramètre c= spécifie la canonicalisation : relaxed est plus tolérant envers les modifications mineures des espaces, strict exige une correspondance exacte.

Diagnostic et dépannage DKIM

Le problème DKIM le plus courant est une signature qui échoue à la vérification. Les causes principales sont : une clé publique manquante ou incorrecte dans le DNS (vérifiez-la avec notre DKIM Lookup), des modifications du message pendant le transit (listes de diffusion qui altèrent le sujet ou le corps), une clé privée ne correspondant pas à la clé publique, et des enregistrements DNS avec des erreurs de formatage. Les listes de diffusion sont particulièrement problématiques car elles ajoutent souvent des pieds de page ou modifient l'en-tête Subject, invalidant la signature DKIM originale.

Pour diagnostiquer les problèmes DKIM, analysez les en-têtes de l'e-mail reçu avec l'Analyseur d'en-têtes d'e-mail. Cherchez le champ Authentication-Results qui affiche le résultat de la vérification DKIM : dkim=pass signifie que la signature est valide, dkim=fail indique un problème. L'en-tête DKIM-Signature de l'e-mail contient le sélecteur (s=) et le domaine (d=) nécessaires à la vérification manuelle.

Taille de la clé et rotation

La taille de la clé DKIM est un aspect crucial pour la sécurité. Les clés de 1024 bits, autrefois le standard, sont désormais considérées comme vulnérables aux attaques de factorisation avec du matériel moderne. La recommandation actuelle est d'utiliser des clés de 2048 bits, qui offrent un niveau de sécurité adéquat pour les années à venir. Certains fournisseurs prennent en charge les clés de 4096 bits, mais celles-ci peuvent poser des problèmes avec les limites de taille des enregistrements TXT DNS (255 caractères par chaîne).

La rotation périodique des clés DKIM est une bonne pratique souvent négligée. Elle consiste à générer une nouvelle paire de clés, publier la nouvelle clé publique avec un nouveau sélecteur, configurer le serveur pour signer avec la nouvelle clé privée, puis après une période de transition, supprimer l'ancienne clé publique du DNS. Une rotation tous les 6 à 12 mois est recommandée pour limiter l'exposition en cas de compromission de la clé privée.

DKIM dans le contexte de l'authentification e-mail

DKIM est le deuxième pilier de l'authentification e-mail, entre SPF et DMARC. Tandis que SPF vérifie qui envoie (l'IP du serveur), DKIM vérifie ce qui est envoyé (l'intégrité du message). DMARC combine ensuite les résultats des deux en vérifiant l'alignement du domaine : le domaine dans l'en-tête From doit correspondre au domaine authentifié par SPF (envelope from) ou DKIM (domaine de signature). Sans DKIM, DMARC ne s'appuie que sur SPF, ce qui réduit considérablement la protection.

Pour une vérification complète de votre configuration DKIM, utilisez notre DKIM Lookup en spécifiant le domaine et le sélecteur. L'outil affiche la clé publique, la taille en bits, l'algorithme et signale d'éventuels problèmes. Combinez le résultat avec les vérifications SPF Lookup et DMARC Lookup pour un panorama complet de votre authentification e-mail.

Essayer DKIM Lookup gratuitement
Vérifie l'enregistrement DKIM pour la signature numérique des emails
Utiliser DKIM Lookup >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →