Exemple
La clef publique DKIM du domaine yahoo.com au format 1024 bits est stockée dans le champ TXT de l’entrée « s1024._domainkey.yahoo.com »: « k=rsa; t=y; p=MIGADCBiQKBgQD(…)B; n=A 1024 bit key;« .Cette clef permet de vérifier l’authenticité de la signature présente dans l’email (générée grâce à la clef privée installée sur le serveur émetteur). Exemple de signature présente dans un email : « DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.com; h=X-YMail-OSG:Received:Date:From:Subject:To:Message-ID; b=cuXRK(…)vazo=; ». De cette manière, on s’assure que le mail provient bien du serveur émetteur annoncé et que le domaine émetteur n’est pas usurpé.
Applications
Un email correctement signé provenant d’un serveur utilisant la technologie DKIM a peu de risques d’être un spam. Cela donne donc une indication positive sur le type de mail reçu. Cependant, il n’est pas impossible de voir un spammeur utiliser cette technologie pour diffuser ses spams. Pour compléter cette norme, les serveurs de messagerie vont ajouter les signatures DMARC et SPF aux messages envoyés.
– SPF : indique les serveurs et domaines autorisés à envoyer des messages pour une organisation.
– DMARC : vérifie la cohérence des autres indicateurs SPF et DKIM. DMARC permet de vérifier la correspondance entre le domaine de l’expéditeur et son serveur de messagerie officiel. Cela permet de vérifier qu’il n’y a pas de tentative d’usurpation d’identité, de hameçonnage ou de phishing. Cette norme permet de rendre la signature des emails from fiable.
Comment utiliser le DKIM ?
Le DKIM fonctionne avec deux clefs : la clé publique de l’enregistrement DNS et la clé privée du serveur de messagerie. Lorsque toto@toto.com envoie des mails, son serveur de messagerie génère une en tête de signature DKIM avec la clé privée.
Lorsque le serveur de messagerie du destinataire reçoit un mail, il vérifie l’enregistrement DKIM grâce à la clef publique de l’enregistrement DNS du domaine toto.com. Si les informations de la clef publique et celles de la signature DKIM du mail correspondent, alors il est considéré comme légitime. Sinon il est considéré comme spam car il y a un risque que l’email ait été modifié.
Comment configurer DKIM ?
La configuration du DKIM se fait avec une entrée TXT dans la zone DNS composé du « selecteur._domainkey.domain.tld ». Vous pouvez générer votre clé DKIM sur ce site : https://nstools.fr/tools/dkim_generator . Dans le cas d’Altospam, nous vous invitons à vous rendre sur votre interface d’administration, partie « MailOut », « SPF/DKIM » pour copier-coller les informations utiles dans vos zones DNS. Une fois l’information mise à jour sur vos DNS, vous pourrez activer la signature DKIM automatique, en cochant simplement la case correspondante : « Activer la signature DKIM ».