L’authentification des courriers électroniques est très importante pour la sécurité de vos e-mails. Elle permet de vérifier que les courriers électroniques que vous envoyez sont bien légitimes et qu’ils n’ont pas été falsifiés ou altérés. Cela est particulièrement important pour les entreprises qui utilisent des services de courrier électronique tels que Microsoft 365 mais pas que !
Récemment nous avons parlé de l’importance du SPF, aujourd’hui nous verrons ensemble la configuration du DKIM (DomainKeys Identified Mail), la deuxième méthode d’authentification qui aide à vérifier que les courriers électroniques envoyés depuis votre messagerie sont légitimes. Ensemble avec SPF et DMARC, cela permet de prévenir les attaques de spoofing (usurpation d’identité).
Qu’est-ce que DKIM?
DKIM est une méthode d’authentification des courriers électroniques basée sur des signatures numériques. Elle permet de vérifier que le courrier électronique que vous avez envoyé est bien légitime et qu’il n’a pas été modifié en cours de route.
Lorsque vous envoyez un courrier électronique, le protocole DKIM signe le courrier avec une clé privée. Le serveur du destinataire vérifie ensuite la signature en utilisant la clé publique qui se trouve dans le DNS. Si la signature est valide, le courrier électronique est considéré comme légitime.
DKIM offre de nombreux avantages, notamment la réduction des faux positifs et des faux négatifs, l’amélioration de la délivrabilité des courriers électroniques, la réduction du risque de piratage, et l’amélioration de la réputation de l’expéditeur.
Configuration DKIM pour Microsoft 365
Si vous utilisez le domaine par défaut .onmicrosoft.com, vous n’avez pas besoin de configurer DKIM dans Microsoft 365 puisqu’il est déjà configuré. Si vous utilisez un domaine personnalisé, alors le DKIM doit être mis en place. Pour cela, il vous faudra avoir l’accès complet à votre DNS, en fonction de l’hébergeur du domaine, la propagation des DNS peut prendre jusqu’à 24H. Encore une fois, ici j’utilise Cloudflare pour la gestion de mes DNS, adaptez les étapes en fonction de votre hébergeur.
Création des clés DKIM
Il est maintenant nécessaire d’activer le DKIM depuis votre console Microsoft365 Defender.
Vous pouvez accéder directement ici aux paramètres d’authentification des e-mails, ou bien allez dans les menus suivants :
Microsoft365 Defender > Stratégies et règles > Stratégies de menace > Paramètres d’authentification des e-mails
Sélectionner le domaine depuis lequel vous comptez envoyer des emails
Copiez ensuite les clés
Rendez-vous maintenant sur votre hébergeur de nom de domaine (Registar). Dans mon cas, cloudflare. Cliquez sur Add Record pour ajouter un nouvel enregistrement DNS
Sélectionnez le type « CNAME », puis entrez le nom et la valeur de la clé DKIM précédemment copiés.
Si vous êtes chez Cloudflare comme moi, pensez à désactiver le proxy pour ces entrées.
Effectuez la même chose pour la seconde clé :
Vous devriez maintenant avoir deux nouvelles entrées DNS de type CNAME :
Activation du DKIM
Maintenant, en fonction de votre fournisseur, il faudra être plus ou moins patient. Chez Cloudflare, c’est justement l’un des avantages, c’est plutôt rapide. Retourner dans le centre de sécurité Microsoft 365 puis sélectionner votre domaine. Activer « signer les courriers pour ce domaine en utilisant des signatures DKIM« . Si la propagation DNS est terminée, alors cela s’activera sans problème, sinon, cela vous demandera de réessayer plus tard.
Si après plus de 24H, vous avez toujours une erreur lors de l’activation, alors vérifier vos champs DNS pour vérifier que vous avez bien créé les champs CNAME avec les bons paramètres.
Vérification du DKIM
Il y a plusieurs manières de vérifier la bonne implémentation de votre DKIM
Via Microsoft
Implémentez DKIM c’est bien, vérifiez qu’il est correctement configuré, c’est mieux ! Vous pouvez vérifier la validation de DKIM directement depuis le centre d’admin Microsoft 365.
- Ouvrir la page de test DKIM
- Entrez votre nom de domaine
- Cliquez sur Exécuter des tests
Via Toolbox
Comme pour le SPF, vous pouvez également utiliser Mxtoolbox.com pour vérifier la bonne configuration de votre DKIM.
MErci pour l’article, il y aurait un problème grammatical je pense certains mots mériteraient de finir en « ez » plutot qu’en « er »
BOnjour,
Merci pour ce tuto très bien renseigné. Je fouille depuis un moment sur le web pour arriver à activer tout ca…
Mon domaine de signature par défaut est mon tenant MS. Mes clés DKIM sont activées pour ce domaine sur MS.
Je souhaite activer donc DKIM pour mon domaine de mail mon-domaine.fr, j’ai créé mes enregistrements CNAME sur mon prestataire DNS.
Je me retrouve avec l’erreur d’activation DKIM parce que les CNAME n’existent pas alors qu’ils ont bien été créés.
Est ce coté gestionnaire DNS? ou MS?
Write-ErrorMessage : |Microsoft.Exchange.Management.Tasks.ValidationException|L’enregistrement CNAME n’existe pas pour
cette configuration. Publiez d’abord les deux enregistrements CNAME suivants.
Domain Name : mon-domaine.fr
Host Name : selector1._domainkey
Points to address or value: selector1-mondomaine-fr01e._domainkey.montenantMS.onmicrosoft.com
Host Name : selector2._domainkey
Points to address or value: selector2-mondomaine-fr01e._domainkey.montenantMS.onmicrosoft.com
.
Si vous avez déjà publié les enregistrements CNAME, la synchronisation prendra quelques minutes jusqu’à 4 jours en
fonction de votre DNS spécifique. Revenez et réessayez cette étape plus tard.
Le support de MS ne m’a été d’aucune utilité…
Avez vous une idée?