Comment utiliser DKIM pour empêcher l'usurpation de domaine

Dans les années 1980, lorsque le courrier électronique et SMTP (protocole simple de transfert de courrier) ont été développés, il n'y avait pas besoin de vérification et de validation des messages. Pour la plupart, les seules organisations utilisant le courrier électronique à l'époque étaient les grandes entreprises et les établissements d'enseignement.

Malheureusement, à mesure que le courrier électronique se développait, les acteurs malveillants ont découvert qu'ils pouvaient exploiter les destinataires en envoyant des messages malveillants, en usurpant des domaines et en envoyant du spam. Par exemple, quelqu'un pourrait agir comme s'il envoyait au nom d'une marque ou d'un expéditeur de confiance et essayer d'amener les destinataires à répondre et à fournir des informations personnelles et sensibles. D'autres expéditeurs ont utilisé le courrier électronique pour envoyer des messages indésirables à n'importe quelle adresse sur laquelle ils pouvaient mettre la main, une pratique qui a abouti à la loi CAN-SPAM.

Astuce : L'usurpation d'e-mail se produit lorsqu'un acteur malveillant crée et envoie des e-mails aux destinataires à partir d'une adresse e-mail falsifiée. En savoir plus sur les raisons pour lesquelles vous ne devriez jamais envoyer d'e-mails à partir de domaines que vous ne contrôlez pas dans notre article de blog N'envoyez pas d'e-mails à partir de domaines que vous ne contrôlez pas

Des pratiques d'authentification des e-mails telles que SPF, DKIM et DMARC ont été développées afin d'empêcher ces types d'e-mails malveillants d'atteindre les boîtes de réception des destinataires.

Qu'est-ce que DKIM ?

DKIM (DomainKeys Identified Mail) est une technologie cryptographique créée par Cisco et Yahoo que les expéditeurs peuvent utiliser pour « signer » leurs messages. DKIM permet au destinataire d'un e-mail de vérifier si ce message a été autorisé et envoyé par l'expéditeur responsable du domaine. Lorsque les messages ne sont pas signés avec DKIM, les fournisseurs de boîtes de réception tels que Gmail et Microsoft peuvent bloquer les messages et empêcher leur remise aux destinataires.

Comment fonctionne DKIM ?

DKIM est une forme relativement simple d'authentification des e-mails car sa seule fonction est de vérifier que l'expéditeur d'un e-mail est responsable du domaine à partir duquel l'e-mail est envoyé et qu'il est responsable du contenu de l'e-mail. Les deux étapes pour DKIM sont :

1. Un expéditeur ajoute une clé privée sur ses serveurs de messagerie et signe le message.
2. Le serveur de réception vérifie la clé publique stockée dans l'enregistrement txt de dkimselector._domainkey.domain.com pour valider la clé privée ajoutée par l'expéditeur.

Comment DKIM empêche-t-il l'usurpation de domaine ?

En tant que marque, si vous implémentez DKIM, vous signez essentiellement votre e-mail et dites aux fournisseurs de boîte de réception que le courrier qu'ils reçoivent provient de votre domaine et que vous en assumez la responsabilité. Cela signifie que les mauvais acteurs ne peuvent pas envoyer de courrier à partir d'adresses telles que @votreentreprise.com.

Pourquoi DKIM est-il important ?

DKIM est important car c'est l'un des moyens par lesquels les fournisseurs de boîtes de réception peuvent vérifier l'identité de l'expéditeur. Sans implémenter correctement DKIM, de nombreux fournisseurs de boîtes de réception bloqueront votre courrier électronique, empêchant vos messages d'atteindre leur destination prévue. Bien que cela puisse ne pas sembler extrêmement important, si seulement un petit nombre de vos messages sont bloqués, cela peut avoir des conséquences importantes pour votre entreprise.

Comment implémenter DKIM dans SendGrid ?

Une fois que vous avez créé un compte SendGrid, vous aurez la possibilité d'implémenter une sécurité manuelle ou automatisée. En choisissant de mettre en œuvre une sécurité automatisée, SendGrid gérera pour vous vos enregistrements SPF et DKIM. En faisant cela, si jamais vous apportez une modification à votre compte qui affecte la délivrabilité des e-mails (comme l'ajout d'une nouvelle adresse IP), SendGrid mettra à jour vos paramètres DKIM et DNS en votre nom.

Comment puis-je tester DKIM ?

Il existe une variété d'outils de test DKIM disponibles pour une utilisation en ligne. L'utilisation de quelque chose comme un analyseur DKIM ou un vérificateur DKIM vous aidera à déterminer si vous avez correctement publié votre enregistrement DKIM. En général, il est fortement recommandé de tester toutes les modifications que vous apportez à vos enregistrements SPF ou DKIM avant de les mettre en œuvre.

Conseil : DKIM peut être utilisé à la fois sur des adresses IP dédiées et sur des pools d'adresses IP partagées afin d'améliorer la délivrabilité de vos e-mails, quel que soit le type de compte SendGrid dont vous disposez.

Qu'est-ce que DKIM NE FAIT PAS ?

Bien que DKIM fournisse aux expéditeurs un moyen de signer leurs messages afin que les fournisseurs de boîtes de réception sachent qu'ils sont responsables du contenu du message et du domaine à partir duquel il est envoyé, il y a certaines choses que DKIM ne fait pas :

• DKIM ne dit pas aux fournisseurs de boîtes de réception comment gérer le message. Contrairement à une technologie d'authentification des e-mails telle que DMARC, DKIM ne dit pas quoi faire si un message échoue ou réussit la vérification.
• DKIM ne tient pas compte de l'expéditeur des messages. Même si un message passe la vérification DKIM, l'expéditeur responsable du message peut toujours être un mauvais acteur envoyant un e-mail malveillant.
• DKIM n'empêche pas les messages d'être renvoyés. Si un e-mail malveillant est ouvert et transféré par un destinataire, le message peut toujours être ouvert et nuisible aux destinataires suivants.

En quoi SPF est-il différent de DKIM et sont-ils tous les deux nécessaires ?

SPF permet aux expéditeurs d'indiquer aux FAI quelles adresses IP peuvent envoyer en leur nom. DKIM permet aux FAI de vérifier que le contenu envoyé correspond à l'intention de l'expéditeur d'origine. Pour plus d'informations sur la façon de faire livrer correctement votre e-mail, consultez notre Guide de délivrabilité des e-mails 2019 .

Ni SPF ni DKIM ne sécurisent entièrement un e-mail. Il manque à chacun une pièce importante. SPF ne vérifie pas le message et DKIM ne dispose pas d'un moyen de vérifier d'où provient le message. Les deux sont nécessaires pour être un expéditeur de courrier électronique sécurisé.

Quels sont les meilleurs conseils DKIM ?

• DKIM doit être la dernière chose ajoutée au message avant son envoi. Si une signature, un espace vide, un autre en-tête - n'importe quoi - est ajouté après, cela échouera.
• L'en-tête, ou l'en-tête et le corps peuvent être signés. Gmail vous recommande de signer les deux.
• La boucle de rétroaction Yahoo est basée sur la signature DKIM des expéditeurs, ils utilisent des parties de la signature pour faire correspondre un expéditeur avec une plainte. Si vous n'utilisez pas DKIM (ou Domain Keys), vous ne pouvez pas utiliser la boucle de rétroaction Yahoo.
• La plupart des clients SendGrid verront notre DKIM standard inséré automatiquement dans l'en-tête.

Existe-t-il des ressources que je peux utiliser pour en savoir plus sur DKIM ?

Bien sûr, consultez : http://dkimcore.org/tools/keycheck.html et http://www.dkim.org.
Pour en savoir plus sur la mise en œuvre de DKIM, SPF ou DMARC avec votre compte et vos messages SendGrid, vous pouvez consulter la documentation de SendGrid.

Aidez les fournisseurs de boîte de réception en authentifiant votre adresse e-mail

Pour vous assurer que les clients continuent de répondre à vos messages, vous devez aider les FAI à protéger votre marque. En signant tous vos domaines avec DKIM en utilisant le d=, vous dites aux FAI de bloquer tout domaine qui ne figure pas sur la "liste de résultats". Assurez-vous donc de signer tous les domaines à partir desquels vous envoyez vos e-mails promotionnels et transactionnels. (Cela inclut vos sous-domaines, alors assurez-vous de faire un inventaire complet.)

N'oubliez pas que DKIM répond à deux questions clés : l'e-mail a-t-il une signature valide et quel domaine l'a signé. Cela ne garantira pas la délivrabilité des e-mails, mais cela contribuera certainement à l'améliorer. De plus, cela aidera à prévenir toutes les retombées secondaires qui se produisent lorsque les marques sont piratées. Prendre le temps de mettre en place des mesures préventives peut aider à protéger votre réputation et votre marque.

Pour en savoir plus sur l'authentification des e-mails et les stratégies permettant d'assurer la délivrabilité des e-mails, téléchargez gratuitement notre Guide d' infrastructure de messagerie SendGrid .