Blog

Protéger votre marque contre le phishing – Création d’un enregistrement DKIM

Return Path | 21 mai, 2013

Contrairement aux idées reçues, les entreprises victimes d’attaques de spam et/ou de phishingne sont pas toujours conscientes des problèmes induits par ces attaques ; elles comptent même souvent sur leurs abonnés pour les en informer… En implémentant le protocole DMARC, annonceurs-expéditeurs, FAI et routeurs peuvent adopter une approche plus proactive dans leur lutte commune visant à endiguer le fléau que représentent les attaques malveillantes qui prennent la messagerie électronique pour cible.

Pour tirer parti du protocole DMARC, vous devez signer vos emails avec les méthodes d’authentification SPF et DKIM. Dans notre précédent billet, nous sommes revenus sur les différentes étapes nécessaires à la création d’un enregistrement SPF. Intéresserons-nous aujourd’hui à la création et à la publication d’un enregistrement DKIM.

DKIM (DomainKeys Identified Mail) est une méthode cryptographique d’authentification des emails. Elle a notamment été développée pour pallier certaines lacunes de la norme SPF, par exemple en ce qui concerne les emails transférés.

Pour authentifier vos messages avec DKIM, il vous faut procéder comme suit :

1–Faites l’inventaire de tous vos domaines d’envoi

De nombreuses sociétés font appel à différents fournisseurs pour la distribution de leurs différents emails (messages à caractère marketing, messages du service clientèle, communications corporate, etc.). Pourtant, le suivi de tous les domaines utilisés pour envoyer des messages est souvent négligé…

Nous ne saurions que trop vous recommander d’utiliser les solutions Reputation Monitor ou encore Sender Score de Return Path pour vérifier que vous n’omettez aucun domaine. Si vous utilisez Sender Score, indiquez votre domaine puis rendez-vous dans la rubrique “Related Sending Domains” (Domaines d’envoi connexes) pour disposer de renseignements précis sur les domaines qui envoient, à votre insu, des emails sous le couvert de votre domaine/marque.

Enfin, il est prudent de vérifier également auprès des responsables de votre service clients, de votre administrateur de messagerie interne et, bien entendu, de votre routeur qu’ils signent bien vos emails avec DKIM.

2–Installez et configurez DKIM sur votre serveur de messagerie

Comme tous les messages sortants doivent être signés, vous devrez installer un package DKIM conçu pour votre serveur de messagerie. Pour vérifier s’il existe un logiciel DKIM adapté à votre plate-forme, consultez le site DKIM.org ou renseignez-vous auprès de votre fournisseur.

Si vous faites appel à un routeur, vous devrez collaborer avec lui pour configurer votre enregistrement DKIM. Vous pouvez également nous contacter si vous avez besoin d’une assistance à l’installation.

3–Créez une paire de clés publique et privée

DKIM propose de multiples assistants mais nous retiendrons ici le guide d’installation de DKIM proposé par port25 ; il est en effet d’une telle simplicité qu’il est à la portée de tout un chacun.

Si vous n’êtes pas fan des assistants et autres guides à l’installation en ligne, vous pouvez générer votre propre paire de clés à l’aide du protocole openssl. Indiquez ensuite le domaine expéditeur (From:) que vous authentifiez.

Précisez le nom du sélecteur. Il est conseillé de choisir un nom représentatif du type d’emails que vous envoyez, par exemple “marketing” ou “newsletter“. Par ailleurs, assurez-vous d’utiliser une clé de 1 024 bits ou plus. La convention d’appellation du sélecteur n’est qu’une recommandation. Vous pouvez utiliser le nom de votre choix et de nombreux administrateurs l’appellent simplement “selector“. Pour toute question sur la meilleure configuration à adopter à des fins de segmentation par exemple, n’hésitez pas à entrer directement en contact avec nous pour bénéficier de conseils personnalisés.

4–Publiez votre clé publique

L’assistant à la création d’un enregistrement DKIM doit avoir généré lors de l’étape précédente un enregistrement de sélecteur. Cet enregistrement inclut le sous-domaine DKIM qui stockera la clé publique, lequel est une combinaison du domaine et du nom du sélecteur. Par exemple, “domaine.com” avec un sélecteur appelé “marketing” stockera la clé publique dansmarketing._domainkey.domaine.com. Vous placerez votre clé publique dans la partie TXT de ce domaine. La plupart d’entre vous devront faire appel à leur administrateur système pour la publication de cet enregistrement. Si vous utilisez une solution hébergée, vous devriez pouvoir configurer le tout dans son interface.

5–Stockez votre clé privée

Votre clé privée sera également générée par l’assistant DKIM et devra être enregistrée dans l’emplacement prévu par votre package DKIM.

6–Configurez votre serveur de messagerie

Une configuration supplémentaire de votre système est nécessaire. Pour ce faire, consultez les instructions d’installation de votre serveur ou adressez-vous directement à votre fournisseur.

7–Testez l’enregistrement

Si vous avez correctement configuré votre système, il ne vous reste plus qu’à le tester. Envoyez un email depuis votre serveur de messagerie à l’adresse “checkmyauth@auth.returnpath.net“. Vous recevrez un email en retour vous informant de l’échec ou de la réussite du test DKIM par votre enregistrement, y compris un avertissement si votre clé n’est pas suffisamment sécurisée.

Dans la plupart des cas, la mise en œuvre de l’authentification DKIM exige une planification approfondie et d’importantes ressources. En cas de besoin, nous pouvons vous aider à implémenter l’authentification DKIM, à planifier et à appliquer ses règles, ainsi qu’à tester votre enregistrement.

Your browser is out of date.
For a better Return Path experience, click a link below to get the latest version.