DKIM

Authentifier les e-mails avec DKIM

Certains spammeurs parviennent à falsifier l'adresse de l'expéditeur dans leurs messages, qui semblent ainsi venir d'un utilisateur de votre domaine. Pour vous aider à prévenir ce genre d'utilisation abusive, Google Apps vous permet d'ajouter une "signature" numérique à l'en-tête des messages envoyés à partir de votre domaine. Les destinataires peuvent ainsi s'assurer que les messages viennent effectivement de votre domaine, et qu'ils n'ont pas été modifiés en cours de route (si votre domaine est associé à un enregistrement SPF, les destinataires peuvent également vérifier que les messages proviennent d'un serveur de messagerie autorisé).

Google Apps utilise une signature numérique respectant la norme DKIM (DomainKeys Identified Mail). Pour ajouter une signature numérique au courrier sortant, générez une clé de domaine de 1024 bits que Google Apps utilisera pour créer des en-têtes de message signés spécifiques à votre domaine. Ajoutez ensuite la clé publique aux enregistrements DNS (Domain Name System) de votre domaine. Les destinataires peuvent alors récupérer votre clé publique et l'utiliser pour contrôler votre signature, et ainsi vérifier la provenance d'un e-mail.

Si vous utilisez une passerelle de messagerie sortante qui modifie les messages envoyés (ajout d'un pied de page de conformité par Postini Services, par exemple), la signature DKIM est invalidée. Dans ce cas, vous devez empêcher le serveur passerelle de modifier les messages ou désactiver l'authentification DKIM.

Si vous avez déjà créé une clé DKIM pour votre domaine (pour activer la signature du courrier sortant sur votre ancien serveur de messagerie, par exemple), vous devez générer une clé distincte, réservée à Google Apps. La clé de domaine Google Apps se distingue des autres clés par une chaîne appelée préfixe sélecteur. Par défaut, le préfixe sélecteur de la clé de domaine Google Apps est "google", mais vous pouvez en saisir un autre lorsque vous générez la clé.

L'ajout d'une signature DKIM au courrier sortant s'effectue en trois étapes principales :

Si vous avez acheté votre domaine auprès de l'un de nos partenaires d'enregistrement lors de votre inscription à Google Apps, passez directement à la troisième étape. Dans ce cas, Google génère automatiquement la clé de domaine et ajoute l'enregistrement DNS requis lorsque vous activez l'authentification.

Si votre compte Google Apps est associé à plusieurs domaines, vous devez répéter cette procédure pour chacun d'eux.

Pour découvrir les autres mesures antispoofing disponibles via Google, reportez-vous aux sections Enregistrements SPF et Fonctionnement de DMARC.