SysFailure

Technique

Imprimer

DomainKeys, DKIM

. Publié dans Outils, protocoles et idées

Principe de l'authentification des messages

Nous avons tous reçu des spams provenant en apparence de personnes que nous connaissons, soit directement, soit indirectement. Il faut savoir que rien, dans le protocole SMTP, ne permet spontanément d'authentifier l'émetteur d'un message. Rien n'est donc plus facile que d'envoyer un message électronique semblant émaner de untel AT domaine.tld.

Bien sûr, les spammeurs exploitent au maximum cette possibilité. Non seulement nous recevons des messages semblant provenir d'adresses "que nous connaissons" (ou pas), mais parfois nous recevons des notices de non-acheminement ou de rejet de messages que nous n'avons pas expédiés. Dans le premier cas, un spammeur se fait passer pour xyz AT domaine.tld pour vous écrire. Dans le second, il émet des messages portant votre adresse électronique en tant qu'émetteur.

Le principe de DomainKeys (DK) et de son évolution DomainKeys Identified Mail (DKIM) est de produire (à l'émission) ou de vérifier (à la réception) une signature cryptographique attachée à un message électronique. D'une manière similaire à Sender Policy Framework (SPF), DK/DKIM vise à authentifier un message électronique, non pas tant par rapport à l'auteur réel du message mais par rapport au domaine auquel l'émetteur se rattache. Ces outils permettent d'être certain qu'un message semblant provenir d'un certain domaine a bel et bien été émis par un serveur de messagerie de ce domaine, ou par un serveur dûment autorisé à émettre un tel message. Nous avons fait une présentation de SPF/DK.

DKIM met en place une authentification de bout en bout des messages électroniques, indépendante du chemin suivi par le message (relayage, réémissions, etc.).

Utilisation de DK/DKIM

DK/DKIM peut être utilisé selon deux modes indépendants :

Il est donc possible de vérifier l'authenticité des messages que l'on reçoit (vérification des signatures) sans pour autant signer ceux que l'on émet (même si la logique et la complétude voudraient que l'on fasse les deux opérations).