Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

Utilisation de DKIM pour valider les messages sortants envoyés à partir de votre domaine personnalisé dans Office 365

Exchange Online
 

Dernière rubrique modifiée :2017-06-19

Résumé : Cet article décrit comment utiliser DKIM (DomainKeys Identified Mail) avec Office 365 pour vous assurer que les systèmes de messagerie de destination approuvent les messages envoyés à partir de votre domaine personnalisé.

Vous devez utiliser DKIM en plus de SPF et DMARC pour empêcher les usurpateurs d’envoyer des messages qui semblent provenir de votre domaine. DKIM vous permet d’ajouter une signature numérique aux messages électroniques dans l’en-tête du message. Cela peut paraître compliqué, mais ce n’est vraiment pas le cas. Lorsque vous configurez DKIM, vous autorisez votre domaine à associer son nom à un message électronique ou à le signer à l’aide d’une authentification de chiffrement. Les systèmes de messagerie qui reçoivent des messages électroniques de votre domaine peuvent utiliser cette signature numérique pour déterminer si le courrier entrant est légitime.

En bref, vous utilisez une clé privée pour chiffrer l’en-tête du message électronique sortant de votre domaine. Vous publiez une clé publique sur les enregistrements DNS de votre domaine que les serveurs de réception peuvent utiliser pour décoder la signature. Ils utilisent la clé publique pour vérifier que les messages sont réellement envoyés par vous et pas par une personne qui tente d’usurper votre domaine.

Office 365 configure automatiquement DKIM pour les domaines initiales. Le domaine initial est le domaine à Office 365 créés pour vous lorsque vous vous êtes inscrit avec le service, par exemple, contoso.onmicrosoft.com. Vous n’avez pas besoin de faire quoi que ce soit pour configurer DKIM pour votre domaine initial. Pour plus d’informations sur les domaines, reportez-vous à la section Forum aux questions de domaines.

Vous pouvez également choisir de n’effectuer aucun réglage DKIM pour votre domaine personnalisé. Si vous ne configurez pas DKIM, Office 365 crée une paire de clés privée et publique, active la signature DKIM et configure la stratégie par défaut d’Office 365 pour votre domaine personnalisé. Bien que cela soit suffisant pour la plupart des clients Office 365, vous devez configurer manuellement DKIM pour votre domaine personnalisé dans les circonstances suivantes :

  • Vous avez plusieurs domaines personnalisés dans Office 365

  • Vous envisagez de configurer DMARC également (recommandé)

  • Vous souhaitez contrôler votre clé privée

  • Vous souhaitez personnaliser vos enregistrements CNAME

  • Vous souhaitez configurer des clés DKIM pour les e-mails provenant d’un domaine tiers, par exemple, si vous utilisez un programme d’envoi de courrier en nombre tiers.

Contenu de cet article :

SPF ajoute des informations à une enveloppe de message, mais DKIM chiffre réellement une signature dans l’en-tête du message. Lorsque vous transférez un message, des parties de l’enveloppe de ce message peuvent être supprimées par le serveur de transfert. Étant donné que la signature numérique reste dans le message électronique, car elle fait partie de l’en-tête du message, DKIM fonctionne même lorsqu’un message a été transféré, comme illustré dans l’exemple suivant.

Diagramme illustrant l’authentification DKIM correcte d’un message envoyé lors de l’échec du contrôle SPF

Dans cet exemple, si vous aviez publié un seul enregistrement SPF TXT pour votre domaine, le serveur de messagerie du destinataire pourrait avoir marqué vos messages électroniques comme du courrier indésirable et généré un résultat faux positif. L’ajout de DKIM dans ce scénario réduit le signalement de courrier indésirable faux positif. Étant donné que DKIM repose à la fois sur le chiffrement de clé publique et les adresses IP pour l’authentification, DKIM représente une forme d’authentification beaucoup plus puissante que SPF. Nous vous recommandons d’utiliser à la fois SPF, DKIM et DMARC dans votre déploiement.

Détail important : DKIM utilise une clé privée pour insérer une signature chiffrée dans les en-têtes du message. Le domaine qui fournit la signature, aussi appelé domaine sortant, est inséré en tant que valeur du champ d= dans l’en-tête. Le domaine qui réalise la vérification, aussi appelé domaine du destinataire, utilise ensuite le champ d= pour rechercher la clé publique du système DNS et authentifier le message. Si le message est vérifié, la vérification DKIM a réussi.

Pour configurer DKIM, suivez les étapes ci-dessous :

Pour chaque domaine auquel vous souhaitez ajouter une signature DKIM dans le système DNS, vous devez publier deux enregistrements CNAME. Un enregistrement CNAME est utilisé par le système DNS pour indiquer que le nom canonique d’un domaine est un alias d’un autre nom de domaine.

Office 365 effectue une rotation automatique des clés à l’aide des deux enregistrements que vous établissez. Si vous avez configuré des domaines personnalisés en plus du domaine initial dans Office 365, vous devez publier deux enregistrements CNAME pour chaque domaine supplémentaire. Par conséquent, si vous avez deux domaines, vous devez publier deux enregistrements CNAME supplémentaires, et ainsi de suite.

Utilisez le format suivant pour les enregistrements CNAME :

Host name:			selector1._domainkey.<domain>
Points to address or value:	selector1-<domainGUID>._domainkey.<initialDomain> 
TTL:				3600

Host name:			selector2._domainkey.<domain>
Points to address or value:	selector2-<domainGUID>._domainkey.<initialDomain> 
TTL:				3600

Où :

  • Pour Office 365, les sélecteurs seront toujours « selector1 » ou « selector2 ».

  • domainGUID est identique à domainGUID dans l’enregistrement MX personnalisé pour votre domaine personnalisé qui se trouve avant mail.protection.outlook.com. Par exemple, dans l’enregistrement MX suivant pour le domaine contoso.com, l’élément domainGUID est contoso-com :

    contoso.com.  3600  IN  MX   5 contoso-com.mail.protection.outlook.com
    
  • initialDomain est le domaine que vous avez utilisé lorsque vous vous abonnez à Office 365. Pour plus d’informations sur la détermination de votre domaine d’origine, reportez-vous à la section FAQ de domaines.

Par exemple, si vous avez un domaine initial cohovineyardandwinery.onmicrosoft.com, ainsi que deux domaines personnalisés cohovineyard.com et cohowinery.com, vous devez configurer deux enregistrements CNAME pour chaque domaine supplémentaire, soit un total de quatre enregistrements CNAME.

Host name:			selector1._domainkey.cohovineyard.com  
Points to address or value:	selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:				3600

Host name:			selector2._domainkey.cohovineyard.com  
Points to address or value:	selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:				3600

Host name:			selector1._domainkey.cohowinery.com
Points to address or value:	selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com 
TTL:				3600
 
Host name:			selector2._domainkey.cohowinery.com
Points to address or value:	selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com 
TTL:				3600

Une fois que vous avez publié les enregistrements CNAME dans le système DNS, vous êtes prêt à activer la signature DKIM par l’intermédiaire d’Office 365. Vous pouvez effectuer cette action par le biais du Centre d’administration Office 365 ou à l’aide de PowerShell.

  1. Connectez-vous à Office 365 avec votre compte professionnel ou scolaire.

  2. Sélectionnez l’icône du lanceur d’applications située en haut à gauche et choisissez Administrateur.

  3. Dans le volet de navigation en bas à gauche, développez Administrateur et choisissez Exchange.

  4. Accédez à Protection > dkim.

  5. Sélectionnez le domaine pour lequel vous souhaitez activer DKIM, puis pour Signer les messages pour ce domaine avec des signatures DKIM, choisissez Activer. Répétez cette étape pour chaque domaine personnalisé.

  1. Connexion à Exchange Online à l’aide de Remote PowerShell.

  2. Exécutez la cmdlet suivante :

    New-DkimSigningConfig -DomainName <domain> -Enabled $true
    

    domain est le nom du domaine personnalisé pour lequel vous souhaitez activer la signature DKIM.

    Par exemple, pour le domaine contoso.com :

    New-DkimSigningConfig -DomainName contoso.com -Enabled $true
    

Patientez quelques minutes avant de suivre ces étapes permettant de confirmer que vous avez correctement configuré DKIM. Cela donne le temps aux informations DKIM relatives au domaine de se propager dans l’ensemble du réseau.

  • Envoyez un message à partir d’un compte au sein de votre domaine Office 365 compatible avec DKIM à un autre compte de messagerie, tel qu’outlook.com ou Hotmail.com.

  • N’utilisez pas un compte aol.com à des fins de test. Il est possible qu’AOL ignore la vérification DKIM si la vérification SPF aboutit. Cela annule votre test.

  • Ouvrez le message et examinez l’en-tête. Les instructions pour afficher l’en-tête du message varient en fonction de votre client de messagerie. Pour obtenir des instructions sur l’affichage des en-têtes de messages dans Outlook, consultez l’article Afficher des en-têtes de messages électroniques.

    Le message signé par DKIM contient le domaine et le nom d’hôte que vous avez définis lorsque vous avez publié les entrées CNAME. Le message se présente un peu comme cet exemple :

    From: Example User <example@contoso.com> 
    DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; 
        s=selector1; d=contoso.com; t=1429912795; 
        h=From:To:Message-ID:Subject:MIME-Version:Content-Type; 
        bh=<body hash>; 
        b=<signed field>;
    
    
  • Recherchez l’en-tête des résultats de l’authentification. Bien que chaque service de réception utilise un format légèrement différent pour apposer un cachet sur le courrier entrant, le résultat doit inclure un élément qui ressemble à DKIM=test ou DKIM=OK.

Si un jour vous décidez d’ajouter un autre domaine personnalisé et que vous souhaitez activer DKIM pour ce nouveau domaine, vous devez effectuer les étapes décrites dans cet article pour chaque domaine. Plus spécifiquement, réalisez toutes les étapes indiquées dans la section Configuration manuelle de DKIM dans Office 365.

La désactivation de la stratégie de signature ne désactive pas complètement DKIM. Après un certain temps, Office 365 applique automatiquement la stratégie Office 365 par défaut pour votre domaine. Pour plus d’informations, voir Comportement par défaut pour Exchange Online Protection (EOP) et Office 365.

Désactivation de la stratégie de signature DKIM à l’aide de Windows PowerShell
  1. Connexion à Exchange Online à l’aide de Remote PowerShell.

  2. Exécutez l’une des commandes suivantes pour chaque domaine pour lequel vous souhaitez désactiver la signature DKIM.

    $p=Get-DkimSigningConfig -identity <domain>
    $p[0] | set-DkimSigningConfig -enabled $false
    
    

    Par exemple :

    $p=Get-DkimSigningConfig -identity contoso.com
    $p[0] | set-DkimSigningConfig -enabled $false
    

    Ou

    Set-DkimSigningConfig -identity $p[<number>].identity -enabled $false
    
    

    number est l’index de la stratégie. Par exemple :

    Set-DkimSigningConfig -identity $p[0].identity -enabled $false
    

Si vous n’activez pas DKIM, Office 365 crée automatiquement une clé publique DKIM 1 024 bits pour votre domaine personnalisé et une clé privée associée que nous stockons en interne dans notre centre de données. Par défaut, Office 365 utilise une configuration de signature par défaut pour les domaines ne disposant d’aucune stratégie définie. Cela signifie que si vous ne configurez pas DKIM vous-même, Office 365 utilise sa stratégie par défaut et les clés qu’il crée pour activer DKIM sur votre domaine.

En outre, si vous désactivez la signature DKIM, après un certain temps, Office 365 applique automatiquement sa stratégie par défaut pour votre domaine.

Dans l’exemple suivant, supposons que DKIM pour fabrikam.com a été activé par Office 365 et pas par l’administrateur du domaine. Cela signifie que les enregistrements CNAME requis n’existent pas dans le système DNS. Les signatures DKIM pour les courriers électroniques provenant de ce domaine se présenteront comme suit :

From: Second Example <second.example@fabrikam.com> 
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; 
    s=selector1-fabrikam-com; d=contoso.onmicrosoft.com; t=1429912795; 
    h=From:To:Message-ID:Subject:MIME-Version:Content-Type; 
    bh=<body hash>; 
    b=<signed field>;

Dans cet exemple, le nom d’hôte et de domaine contiennent les valeurs auxquelles l’enregistrement CNAME pointerait si la signature DKIM pour fabrikam.com avait été activée par l’administrateur de domaine. Par la suite, chaque message envoyé à partir d’Office 365 sera la signature DKIM. Si vous activez DKIM vous-même, le domaine sera le même que le domaine dans le champ de : adresse, dans ce cas fabrikam.com. Si vous ne le faites pas, il ne sera pas aligner et utilisera à la place du domaine initial de votre organisation. Pour plus d’informations sur la détermination de votre domaine d’origine, reportez-vous à la section FAQ de domaines.

Certains fournisseurs de services de messagerie en masse ou de services SaaS vous permettent de configurer des clés DKIM pour les courriers électroniques qui proviennent de leur service. Cela requiert une coordination entre vous-même et le tiers pour configurer les enregistrements DNS nécessaires. Aucune organisation ne le fait exactement de la même manière que les autres. Ainsi, le processus dépend entièrement de l’organisation.

Un exemple de message montrant un élément DKIM configuré correctement pour contoso.com et bulkemailprovider.com peut se présenter comme suit :

Return-Path: <communication@bulkemailprovider.com>
 From: <sender@contoso.com>
 DKIM-Signature: s=s1024; d=contoso.com
 Subject: Here is a message from Bulk Email Provider's infrastructure, but with a DKIM signature authorized by contoso.com

Dans cet exemple, pour obtenir ce résultat :

  1. Le fournisseur de messagerie en masse a attribué à Contoso une clé DKIM publique.

  2. Contoso a publié la clé DKIM sur son enregistrement DNS.

  3. Lorsque de l’envoi de courrier électronique, le fournisseur de messagerie en masse signe la clé avec la clé privée correspondante. Ainsi, le fournisseur de messagerie en masse joint la signature DKIM à l’en-tête du message.

  4. Les systèmes de messagerie de réception effectuent une vérification DKIM en authentifiant la valeur d=<domaine> de l’option DKIM-Signature, en la comparant au domaine indiqué dans l’adresse From: (5322.From) du message. Dans cet exemple, les valeurs sont les mêmes :

    sender@contoso.com

    d=contoso.com

Bien que DKIM soit conçu pour éviter l’usurpation, il fonctionne mieux avec SPF et DMARC. Une fois que vous avez configuré DKIM, vous devez également configurer SPF, si vous ne l’avez pas encore fait. Pour obtenir une brève présentation de SPF et réussir à le configurer rapidement, voir Configurer SPF dans Office 365 pour empêcher l’usurpation. Pour comprendre comment Office 365 utilise SPF ou pour résoudre des problèmes relatifs à des déploiements non standard, tels que des déploiements hybrides, commencez par Comment Office 365 utilise SPF (Sender Policy Framework) pour éviter l’usurpation. Ensuite, consultez la rubrique Utiliser DMARC pour valider les e-mails dans Office 365. En-têtes de messages anti-courrier indésirable comprend la syntaxe et les champs d’en-tête utilisés par Office 365 pour les vérifications DKIM.

 
Afficher: