DKIM - DomainKeys Identified Mail
DKIM est une méthode d'authentification qui utilise le chiffrement des e-mails avec des clés publiques et privées, afin de vérifier si les e-mails sont générés à partir de serveurs autorisés, reconnus et configurés par les administrateurs des domaines expéditeurs. Cette méthode d'authentification permet de sécuriser la communication par e-mail et d'éviter les spams.
Pourquoi configurer DKIM ?
Les spammeurs envoient souvent des e-mails qui semblent être issus d'expéditeurs authentiques. Ces e-mails sont principalement envoyés afin que les destinataires consultent les e-mails, ou parfois pour recueillir des informations sensibles (mots de passe, adresses e-mail etc.) auprès des destinataires, en se faisant passer pour un expéditeur légitime. Deux méthodes sont couramment utilisées par les spammers : usurpation et rétrodiffusion d'e-mails.
Usurpation d'e-mails :
L'usurpation d'e-mails est une méthode frauduleuse utilisée par les spammeurs pour que les e-mails semblent être envoyés depuis une adresse e-mail / un domaine légitime, qui ne leur appartient pas. Pour ce faire, ils falsifient les en-têtes des e-mails pour leur donner une apparence légitime afin que les destinataires aient confiance et ouvrent les e-mails.
Les spammeurs suivent cette approche, car elle permet d'atteindre plus de destinataires : l'expéditeur semble être authentique. Mais, parfois, cela peut entraîner de graves conséquences s'ils tentent de récupérer les informations sensibles de l'utilisateur. Les e-mails frauduleux peuvent être détectés et évités en configurant SPF et DKIM. Si la méthode DKIM est configurée, l'identité du nom de domaine associé à chaque message est validée.
Si cette validation DKIM échoue, les e-mails sont mis en quarantaine ou rejetés en fonction des conditions que vous avez fixées en cas d'échec de la validation DKIM.
Rétrodiffusion des e-mails :
Les spammeurs usurpent un nom de domaine et envoient des e-mails en utilisant l'adresse e-mail falsifiée. Si le domaine du destinataire refuse l'e-mail, il enverra des messages de retour au domaine qui a été usurpé. Ces messages de retour qu'un utilisateur reçoit pour des e-mails qu'il n'a jamais envoyés sont appelés Rétrodiffusion des e-mails.
Imaginez qu'un spammeur a usurpé votre adresse e-mail et envoyé des spams vers un autre domaine. Si ces spams sont envoyés vers des adresses e-mail non valides, le domaine du destinataire envoie un bounce au domaine usurpé. Ce bounce, au lieu d'être envoyé au spammeur, sera envoyé au domaine usurpé depuis lequel l'utilisateur prétend envoyer l'e-mail. Le domaine usurpé sera également bloqué par le domaine du destinataire. Si la méthode DKIM est configurée, l'authenticité de votre domaine peut être validée et il ne sera pas bloqué. Si vous êtes la cible de ces spams, DKIM peut aider à détecter l'authenticité des e-mails, et les e-mails qui ne sont pas authentiques ne seront pas distribués vers votre messagerie.
L'usurpation et la rétrodiffusion d'e-mails, deux méthodes couramment utilisées par les spammeurs, peuvent être évitées dans une certaine mesure en configurant SPF et DKIM pour votre domaine.
Comment fonctionne DKIM
Dans les processus DKIM, une clé publique est publiée en tant qu'enregistrement TXT pour le gestionnaire DNS du domaine (bureau d'enregistrement du domaine ou fournisseur DNS). Tous les e-mails sortants comprennent une signature unique générée à l'aide de la clé privée du domaine particulier. Le serveur qui reçoit les e-mails utilise cette combinaison de clé privée-publique pour valider la source de l'e-mail. En cas d'échec de validation, le serveur destinataire peut rejeter l'e-mail ou le classer comme spam / e-mail falsifié en fonction du comportement du serveur.
Activer et utiliser DKIM pour votre domaine garantit que les e-mails valides envoyés à l'aide de Zoho ne sont pas considérés comme des spams par l'extrémité réceptrice.
Sélecteur DKIM
Le sélecteur est utilisé pour identifier les détails de la clé DKIM publique du domaine. Il s'agit d'un attribut de la signature DKIM et il est inclus dans l'en-tête DKIM de l'e-mail. Vous pouvez utiliser plusieurs sélecteurs pour un seul domaine si vous avez besoin de fournir des commandes de signature spéciales aux différents ensembles d'utilisateurs.
Après avoir ajouté un sélecteur et l'avoir vérifié, vous devez le définir comme paramètre par défaut et l'activer pour le domaine. Une fois le sélecteur activé, tous les e-mails sortants basés sur le domaine seront signés par le sélecteur par défaut, sauf si les utilisateurs ont été associés à un autre sélecteur dans la section Users.
Étapes pour ajouter la signature DKIM à votre domaine :
Vous pouvez activer DKIM pour votre domaine depuis le panneau de configuration Zoho Mail, après avoir créé l'enregistrement de texte requis dans le gestionnaire DNS de votre domaine. La configuration DKIM comporte trois étapes principales :
- Générer une valeur de clé DKIM publique unique à l'aide d'un sélecteur de valeur par défaut dans Zoho Mail.
- Créer l'enregistrement TXT dans le gestionnaire DNS de votre domaine (bureau d'enregistrement /fournisseur DNS).
- Valider le sélecteur et activer DKIM dans Zoho Mail.
I. Générer une clé de domaine unique dans Zoho Mail.
- Connectez-vous au panneau de configuration depuis https://mailadmin.zoho.com en tant qu'administrateur ou super administrateur.
- Accédez à Domains dans le menu de gauche et choisissez le domaine pour lequel vous souhaitez configurer DKIM.
- Dans l'onglet Configuration de l'e-mail, sélectionnez DKIM.
- Cliquez sur Add pour ajouter un nouveau sélecteur pour le domaine.
- Indiquez le nom du sélecteur pour le domaine à utiliser avec Zoho Mail. Ex : ZOHO
- Cliquez sur Add. Le sélecteur est ajouté et un enregistrement TXT est généré et affiché dans le sélecteur ajouté.
- Vous pouvez copier le texte dans le champ TXT value.
- Vous devez créer un enregistrement TXT avec cette valeur dans le gestionnaire DNS avant de cliquer sur Verify.
II. Créer un enregistrement TXT dans le gestionnaire DNS.
- Connectez-vous au gestionnaire DNS du domaine vers lequel pointe le serveur de noms de votre domaine.
- Créez un enregistrement TXT dans votre DNS en définissant le titre sur <selector>._domainkey.<yourdomainname.com>
Ex : zoho._domainkey.zylker.org devrait être le nom de l'enregistrement TXT si le sélecteur que vous choisissez est zoho et que le nom de domaine est zylker.org. Remplacez le texte par vos valeurs personnalisées sans les crochets.
Si votre DNS est hébergé par GoDaddy / WIX / Squarespace / Namecheap etc., fournissez le nom d'enregistrement TXT en tant que zoho._domainkey (ces fournisseurs ajoutent le nom de domaine automatiquement). - Dans le champ « TXT record value », collez l'ensemble du contenu copié depuis la zone de texte « TXT record value » dans Zoho.
- Sauvegardez l'enregistrement TXT dans le gestionnaire DNS.
- Vous pouvez vérifier la validité de la méthode DKIM à l'aide de ce vérificateur DKIM.
Remarque :
Le processus permettant de créer un enregistrement TXT varie selon le fournisseur / gestionnaire DNS que vous utilisez.
Certains fournisseurs DNS (comme GoDaddy, Wix, Squarespace, Namecheap, etc.) ajoutent le nom de domaine automatiquement. Dans ce cas, vous pouvez simplement indiquer <selector>._domainkey en tant que nom d'enregistrement TXT.
Certains fournisseurs DNS s'attendent à ce que le sous-domaine soit créé au lieu d'un enregistrement TXT.
Étapes pour ajouter un enregistrement TXT dans le gestionnaire de domaines GoDaddy :
- Connectez-vous à votre gestionnaire DNS GoDaddy. Sélectionnez le menu My Account et choisissez Domains.
- Agrandissez les domaines et cliquez sur le bouton Gérer DNS du domaine que vous souhaitez vérifier.
- La page Gestionnaire DNS s'ouvre et affiche des informations sur les enregistrements DNS existants.
- Faites défiler jusqu'à la section Records et cliquez sur le bouton Add pour ajouter un enregistrement DNS.
- Sélectionnez TXT dans le menu déroulant Record Type.
- Dans le champ Host, saisissez <selector>._domainkey.
- Dans le champ TXT Value , entrez la valeur d'enregistrement TXT générée dans votre panneau de configuration de Zoho Mail.
- Cliquez sur Finish.
III. Activer DKIM pour le domaine.
- Si la validation de la méthode DKIM est réussie sur le site tiers, connectez-vous au panneau de configuration de Zoho Mail.
- Cliquez sur Verify dans le sélecteur spécifique. L'enregistrement de texte sera modifié et défini sur le statut vérifié.
- Une fois vérifié, un message vous invitant à activer la méthode DKIM immédiatement ou plus tard s'affichera. Vous pouvez activer la méthode DKIM immédiatement afin d'activer les signatures DKIM pour les e-mails de votre domaine.
- Après l'activation, les signatures DKIM seront ajoutées à tous les e-mails générés depuis le domaine.
Plusieurs sélecteurs DKIM :
Vous pouvez utiliser plusieurs sélecteurs pour un domaine unique afin de fournir des signatures DKIM distinctes pour plusieurs bureaux à différents endroits ou fournir des signatures DKIM distinctes pour un ensemble de comptes.
Exemple :
- ukoffice._domainkey.zylker.com
- usoffice._domainkey.zylker.com
- hrteam._domainkey.zylker.com
- marketing._domainkey.zylker.com
Vous pouvez ajouter d'autres sélecteurs pour les clés DKIM spécifiques pour plusieurs ensembles d'utilisateurs ou plusieurs emplacements de bureaux.
Sélecteurs de domaine basés sur l'utilisateur :
Si vous disposez de plusieurs sélecteurs, vous pouvez associer les différents ensembles d'utilisateurs aux sélecteurs en fonction de vos besoins. Par défaut, le sélecteur s'applique automatiquement à tous les utilisateurs et, par conséquent, il ne sera pas répertorié dans la liste déroulante.
Après avoir ajouté un sélecteur supplémentaire, vous pouvez associer un ensemble spécifique d'utilisateurs depuis la section User List.
Résoudre les problèmes SPF / DKIM
TTL plus long
TTL (Time To Live) est le temps spécifié dans votre DNS pour que chaque changement dans votre DNS soit effectif. Si vous disposez d'une valeur TTL élevée (24 h / 48 h), alors la propagation des enregistrements TX / SPF peut prendre un certain temps. 12 à 24 heures peuvent être nécessaires pour que les changements DNS prennent effet, en fonction du TTL défini.
Valeurs erronées
La façon dont les enregistrements SPF doivent être ajoutés varie souvent en fonction des différents fournisseurs DNS.
Fautes de frappe / d'orthographe
Vérifiez que vous avez correctement copié et collé les informations depuis les pages de configuration Zoho. Concernant DKIM, vous devez copier l'ensemble de la clé affichée et l'indiquer en tant que valeur de l'enregistrement TXT. Le nom de l'enregistrement TXT doit respecter les conventions de dénomination suggérées.
Remarque :
Toute modification apportée au contenu de l'e-mail par les serveurs de messagerie servant d'intermédiaire pour les e-mails pourrait modifier la signature et entraîner l'invalidité du DKIM lors de la vérification par l'extrémité réceptrice.
En ce moment, la méthode DKIM est prise en charge uniquement pour les e-mails générés dans Zoho et distribués directement vers des serveurs externes. Pour les domaines configurés avec le routage des e-mails et les passerelles sortantes, où les e-mails ne sont pas distribués directement ou générés à partir d'autres serveurs, DKIM n'est pas pris en charge.