Retour à 'Significations'Qu'est-ce que DKIM2 ?
Dernière mise à jour:
La sécurité des emails continue d'évoluer, et c'est une bonne chose. Après presque 20 ans, DKIM reçoit une mise à jour majeure appelée DKIM2. Cette nouvelle norme de sécurité email aborde les problèmes apparus au fil des années et rend les emails encore plus sûrs. DKIM2 apporte des améliorations significatives, notamment pour les messages transférés et les listes de diffusion.
Nous avons précédemment écrit l'article 'Qu'est-ce que DKIM'. Nous y expliquons exactement ce qu'est DKIM1 actuel et ce qu'il fait pour la sécurité des emails. Nous recommandons de lire cet article d'abord pour faciliter la transition vers DKIM2.
Qu'est-ce que DKIM2
DKIM2 est la deuxième version de DomainKeys Identified Mail et est actuellement en développement.
Alors que DKIM (maintenant appelé DKIM1) prouve qu'un email provient d'un domaine spécifique, DKIM2 va plus loin. Il documente l'itinéraire complet qu'un email parcourt de l'expéditeur au destinataire. Chaque serveur de messagerie qui traite l'email ajoute sa propre signature. De cette façon, vous pouvez voir exactement quels systèmes ont traité l'email.
Exemple
Avec DKIM1, cela peut parfois créer de la confusion : lors du transfert, une ligne est automatiquement ajoutée comme "Transféré par Jean Dupont". Cette seule ligne supplémentaire brise légèrement la sécurité DKIM. L'email arrive généralement quand même, mais le serveur de messagerie du destinataire ne peut plus vérifier si le contenu est inchangé.
Avec DKIM2, cela fonctionne différemment. Lorsque votre serveur de messagerie envoie la confirmation de commande, il ajoute une signature DKIM2. Lorsque le client transfère l'email, son serveur de messagerie ajoute sa propre signature et enregistre quelle modification a été apportée (cette seule ligne "Transféré par..."). Le serveur de messagerie du comptable peut maintenant voir exactement :
- L'email provient vraiment de votre boutique en ligne (première signature)
- Le client a transféré l'email (deuxième signature)
- Aucune modification n'a été apportée à l'email original
De cette façon, le fournisseur de messagerie du destinataire peut voir que l'email original n'a pas été modifié.
Pourquoi DKIM2 arrive
En 2007, lorsque DKIM a été introduit, les emails étaient très différents. Nous envoyions principalement des emails directement à un seul destinataire. Aujourd'hui, vous recevez des confirmations de commande de boutiques en ligne, des newsletters d'entreprises et des emails de réinitialisation de mot de passe d'applications. En bref : nous utilisons les emails de bien plus de façons qu'auparavant.
Pendant ce temps, les cybercriminels ne sont pas restés inactifs non plus. Alors qu'ils envoyaient principalement des emails simples il y a 20 ans, ils utilisent maintenant des techniques avancées pour contourner les mesures de sécurité existantes comme DKIM.
Problèmes actuels avec DKIM1
DKIM1 fonctionne bien mais présente plusieurs points faibles qui causent des problèmes en pratique :
Emails transférés
Lorsqu'un email est transféré et que quelque chose change (comme une clause de non-responsabilité ou un lien de désinscription), la sécurité DKIM1 se brise. L'email arrive généralement quand même, mais les serveurs de messagerie ne peuvent plus vérifier si le contenu est inchangé. DKIM2 suit les modifications apportées, donc cela reste vérifiable.
Rejouer d'anciens emails (Replay Attack)
DKIM1 n'a pas d'horodatage. Cela signifie qu'un cybercriminel peut renvoyer un ancien email et les serveurs de messagerie l'accepteront parce que la sécurité est toujours valide. C'est ce qu'on appelle une Replay Attack.
Exemple : une boutique en ligne vous envoie un email avec un code de réduction. Un acteur malveillant peut renvoyer ce même email des mois plus tard à des milliers de personnes. DKIM2 ajoute un horodatage, permettant aux serveurs de messagerie de voir qu'un email est trop ancien pour être encore valide.
Nous voyons cela particulièrement autour du Black Friday et des fêtes chargées lorsque les boutiques en ligne envoient massivement des codes de réduction. Les cybercriminels collectent ces emails et les renvoient plus tard.
Messages d'erreur à la mauvaise personne (Backscatter)
Lorsqu'un email ne peut pas être livré, l'expéditeur reçoit normalement une notification de bounce. Les cybercriminels exploitent cela en utilisant votre adresse email comme expéditeur de spam. Tous les messages d'erreur vous parviennent alors, alors que vous n'avez jamais envoyé ces emails. C'est ce qu' on appelle le backscatter.
DKIM2 résout cela en renvoyant les messages d'erreur au serveur de messagerie qui a réellement envoyé l'email, au lieu de l'adresse email indiquée comme expéditeur.
La différence entre DKIM et DKIM2
DKIM2 s'appuie sur DKIM1 mais résout plusieurs problèmes importants. Le tableau ci-dessous montre les principales différences :
| Fonctionnalité | DKIM1 | DKIM2 |
|---|---|---|
| Signature de base (expéditeur) | Oui | Oui |
| Horodatage | Non | Oui |
| Informations sur le destinataire | Non | Oui |
| Suivi des modifications | Non | Oui |
| Signatures multiples | Oui, mais limité | Oui, complet |
| Protection Backscatter | Non | Oui |
| Protection Replay Attack | Non | Oui |
Par signatures, nous entendons des codes de sécurité numériques qui sont automatiquement ajoutés par les serveurs de messagerie. Cela n'a rien à voir avec la signature que vous ajoutez vous-même au bas de vos emails.
Quand DKIM2 sera-t-il disponible ?
DKIM2 est actuellement encore en développement à l'IETF (Internet Engineering Task Force). C'est l' organisation qui établit les normes Internet. Les spécifications sont actuellement élaborées et testées.
Il n'y a pas encore de date définitive pour le déploiement. Les nouvelles normes email prennent souvent des années avant d'être largement supportées. Pensez à DMARC : cette norme a été introduite en 2012, mais n'a été vraiment largement utilisée par les grands fournisseurs de messagerie que des années plus tard.
DKIM2 devrait être déployé progressivement. Les grands fournisseurs de messagerie comme Gmail, Outlook et Yahoo ajouteront probablement le support en premier. Ensuite, les fournisseurs de services email comme Lettermint suivront. Pour les utilisateurs, peu changera : la transition se fera en grande partie automatiquement.
Comment cela me profitera-t-il ?
DKIM2 apporte des avantages pour tous ceux qui utilisent les emails. Que vous envoyiez ou receviez des emails, la sécurité améliorée signifie moins de problèmes.
Pour les expéditeurs
Vos emails arrivent comme prévu, même lorsque les destinataires les transfèrent. Cela s'applique également aux emails provenant de différents sous-domaines. Les cybercriminels ne peuvent plus renvoyer d'anciens emails de votre domaine ou abuser de votre adresse sans que cela soit remarqué.
Pour les destinataires
Vous êtes mieux protégé contre les faux emails. Les serveurs de messagerie peuvent voir exactement quel itinéraire un email a emprunté et si quelque chose a été modifié en cours de route. Les anciens emails qui sont renvoyés sont également automatiquement reconnus.
Conclusion
DKIM2 est la prochaine étape dans la sécurité des emails. Alors que DKIM1 prouve principalement qu'un email provient de votre domaine, DKIM2 documente l'itinéraire complet qu'un email parcourt. Les messages transférés restent fiables, les anciens emails ne peuvent pas être renvoyés, et les cybercriminels ne peuvent plus abuser de votre domaine aussi facilement.
DKIM2 est actuellement encore en développement. Chez Lettermint, nous suivons de près ces développements et mettrons en œuvre la nouvelle norme dès qu'elle sera disponible.
Ce que vous pouvez faire maintenant : assurez-vous que vos DKIM, SPF et DMARC sont correctement configurés. Vous serez alors prêt lorsque DKIM2 sera disponible.