Authentifier les e-mails avec DKIM

À propos de DKIM

Lutter contre l'usurpation d'identité lors de l'envoi de messages

Utilisez la norme DKIM (DomainKeys Identified Mail) pour lutter contre l'usurpation d'identité lors de l'envoi de messages.

L'usurpation d'identité, ou spoofing, est la falsification du contenu d'un e-mail pour faire croire que le message provient d'une personne ou d'un endroit autre que la source réelle. Le spoofing est une pratique illégale courante. Certains serveurs de messagerie requièrent donc la mise en œuvre de la norme DKIM pour lutter contre cette pratique.

DKIM ajoute une signature chiffrée à l'en-tête de tous les messages sortants. Les serveurs de messagerie qui reçoivent ces messages utilisent DKIM pour déchiffrer l'en-tête du message et vérifier que le message n'a pas été modifié après son envoi. 

Utiliser DKIM avec SPF et DMARC

Parallèlement à DKIM, nous vous recommandons de configurer SPF (Sender Policy Framework) et DMARC (Domain-based Message Authentication, Reporting & Conformance). DKIM vérifie que le contenu du message est authentique et qu'il n'a pas été modifié. SPF spécifie les domaines autorisés à envoyer des messages pour votre organisation. DMARC spécifie la manière dont votre domaine traite les e-mails suspects.

Si vous ne configurez pas DKIM, Gmail utilise la norme DKIM par défaut

La signature DKIM renforce la sécurité des e-mails et permet d'éviter toute usurpation. Nous vous recommandons d'utiliser votre propre clé DKIM pour tous les messages sortants.

Si vous n'activez pas la signature des e-mails avec votre propre clé DKIM de domaine, Gmail signe tous les messages sortants avec la clé de domaine DKIM par défaut d=*.gappssmtp.com. Les e-mails envoyés à partir de serveurs autres que mail.google.com ne seront pas signés avec cette clé DKIM par défaut.

Procédure de configuration de DKIM

  1. Générez la clé de votre domaine.
  2. Ajoutez la clé publique aux enregistrements DNS de votre domaine. Cette clé permet aux serveurs de messagerie de lire les en-têtes DKIM des messages.
  3. Activez la signature DKIM pour commencer à l'ajouter à tous les messages sortants.
Commencer

Questions fréquentes sur DKIM

Comment fonctionne DKIM ?

DKIM valide les messages à l'aide d'une paire de clés, l'une privée et l'autre publique.

Une clé de domaine privée ajoute un en-tête chiffré à tous les messages sortants envoyés depuis votre domaine Gmail.

Une clé publique correspondante est ajoutée à l'enregistrement DNS (Domain Name System) de votre domaine Gmail. Les serveurs de messagerie qui reçoivent des messages de votre domaine utilisent la clé publique pour déchiffrer les en-têtes de message et valider la source du message.

Lorsque vous activez l'authentification des e-mails dans Gmail, DKIM commence à chiffrer les en-têtes des messages sortants.

Que se passe-t-il si mon domaine dispose déjà d'une clé DKIM ?

Si vous utilisez déjà DKIM dans votre domaine avec un autre système de messagerie, vous devez générer une nouvelle clé de domaine unique pour l'utiliser avec Gmail. 

Les clés de domaine comprennent une chaîne de texte appelée préfixe sélecteur, que vous pouvez modifier lorsque vous générez la clé. Le préfixe sélecteur par défaut pour la clé de domaine G Suite est google. Lorsque vous générez la clé, vous pouvez remplacer google par le texte de votre choix.

Comment configurer DKIM pour un serveur qui modifie le contenu des e-mails sortants ?

Si vous utilisez une passerelle de messagerie sortante qui modifie les messages sortants, la signature DKIM est invalidée. C'est le cas par exemple des serveurs de messagerie qui ajoutent un pied de page à chaque message sortant. Pour contourner ce problème, effectuez l'une des actions suivantes :

  • Configurez la passerelle de sorte qu'elle ne modifie pas les messages sortants.
  • Configurez-la de sorte qu'elle modifie le message en premier, puis ajoutez ensuite la signature DKIM.
Que se passe-t-il si les e-mails de mon domaine sont rejetés, car ils ne répondent pas à la norme DKIM ?

Si les messages de votre domaine sont rejetés, contactez l'administrateur du serveur de messagerie à l'origine du rejet. Les serveurs de messagerie ne doivent pas rejeter les messages en raison de signatures DKIM manquantes ou invérifiables (RFC 4871).

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?