DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) est une norme d'authentification des e-mails qui permet au serveur de messagerie expéditeur d'attacher une signature numérique cryptographique aux messages sortants. Le serveur destinataire récupère la clé publique correspondante dans les enregistrements DNS de l'expéditeur et l'utilise pour vérifier la signature. Si la signature est valide, le destinataire sait que l'e-mail provient réellement du domaine déclaré et qu'il n'a pas été altéré pendant le transit. DKIM fonctionne aux côtés de [SPF](/glossary/spf) (Sender Policy Framework) et de [DMARC](/glossary/dmarc) (Domain-based Message Authentication, Reporting & Conformance) pour former un cadre complet d'authentification des e-mails qui protège à la fois les expéditeurs et les destinataires.

L'e-mail reste un canal principal pour partager des publications numériques, envoyer des notifications de capture de prospects et délivrer des messages transactionnels. Sans DKIM, les e-mails risquent davantage d'être marqués comme spam ou rejetés entièrement par les serveurs de messagerie des destinataires. Les grands fournisseurs comme Gmail, Outlook et Yahoo exigent désormais DKIM pour les expéditeurs de masse, et les messages sans signature valide font face à un filtrage de plus en plus agressif. Une configuration DKIM correcte améliore la délivrabilité, protège ta marque contre l'usurpation (où des attaquants envoient des e-mails en se faisant passer pour ton domaine) et renforce la confiance avec les fournisseurs de messagerie. Pour les éditeurs qui dépendent de l'e-mail pour distribuer des flipbooks et collecter des prospects, DKIM détermine directement si ton audience voit réellement tes messages.

FlipLink envoie des e-mails en ton nom pour les notifications de capture de prospects, les liens de publications partagées et les [modèles d'e-mail](/features/email-templates). Ces e-mails sont envoyés via une infrastructure où DKIM est configuré, ce qui signifie que chaque message sortant porte une signature cryptographique valide. Si tu utilises un [domaine personnalisé](/features/custom-domains) pour tes publications et que tu souhaites envoyer des e-mails de partage depuis ce domaine, tu configures des enregistrements DNS DKIM pour autoriser les serveurs de messagerie de FlipLink à envoyer en ton nom. Cela garantit que les destinataires voient ton domaine comme expéditeur vérifié, ce qui maximise le placement en boîte de réception et préserve la crédibilité de ta marque.

La configuration de DKIM implique à la fois la configuration DNS et la coordination avec le serveur de messagerie. Voici à quoi ressemble généralement le processus : 1. **Générer une paire de clés.** Ton service de messagerie ou ta plateforme (comme FlipLink) génère une clé privée (conservée sur le serveur expéditeur) et une clé publique (publiée dans le DNS). 2. **Ajouter l'enregistrement DNS TXT.** Crée un enregistrement TXT à `selector._domainkey.tondomaine.com` contenant la clé publique. Le sélecteur est une étiquette (comme `fl1` ou `mail`) qui identifie quelle clé utiliser. 3. **Vérifier la propagation de l'enregistrement.** Les modifications DNS peuvent prendre jusqu'à 48 heures, même si la plupart se propagent en une heure. Utilise un outil de recherche DKIM pour confirmer que l'enregistrement est visible. 4. **Envoyer un e-mail de test.** Envoie un e-mail depuis le domaine configuré et vérifie les en-têtes à la recherche de `dkim=pass` dans l'en-tête Authentication-Results. 5. **Surveiller en continu.** Mets en place les rapports [DMARC](/glossary/dmarc) pour recevoir des alertes si la validation DKIM commence à échouer, ce qui pourrait indiquer une mauvaise configuration DNS ou des expéditeurs non autorisés.

DKIM protège contre deux menaces spécifiques : **l'usurpation d'adresse e-mail** (quelqu'un qui envoie des e-mails qui semblent provenir de ton domaine) et **l'altération des messages** (quelqu'un qui modifie le contenu de l'e-mail après son départ de ton serveur). Cependant, DKIM seul n'est pas une solution de sécurité complète. **Ce que DKIM protège :** - Vérifie que l'e-mail a été envoyé par un serveur autorisé pour ce domaine - Confirme que les en-têtes et le corps signés n'ont pas été altérés pendant le transit - Fournit une base pour l'application de la politique DMARC **Ce que DKIM ne protège pas :** - Il ne chiffre pas le contenu de l'e-mail (utilise TLS pour cela) - Il ne vérifie pas l'identité de l'expéditeur individuel, seulement le domaine - Il n'empêche pas ton domaine de recevoir du spam — il aide seulement à ce que ton courrier sortant soit digne de confiance **La rotation des clés** est une pratique importante mais souvent négligée. Si ta clé privée DKIM est compromise, un attaquant peut signer des e-mails au nom de ton domaine. Effectue une rotation de tes clés DKIM périodiquement (tous les 6 à 12 mois) et mets à jour l'enregistrement DNS avec la nouvelle clé publique avant de retirer l'ancienne.

Une signature DKIM est ajoutée sous forme d'en-tête `DKIM-Signature` à chaque e-mail sortant. Cet en-tête contient plusieurs champs : - **v** — Version (toujours `1`) - **a** — Algorithme de signature (généralement `rsa-sha256`) - **d** — Le domaine signataire - **s** — Le sélecteur utilisé pour rechercher la clé publique dans le DNS - **h** — Liste des en-têtes inclus dans la signature (par ex. `from:to:subject:date`) - **bh** — Hachage du corps de l'e-mail - **b** — La signature cryptographique réelle Le serveur destinataire extrait les valeurs `d` et `s`, interroge le DNS pour `s._domainkey.d`, récupère la clé publique et vérifie la signature par rapport aux en-têtes signés et au hachage du corps. Si tout correspond, la vérification DKIM réussit. DKIM prend en charge des longueurs de clé de 1024 bits et 2048 bits. Bien que les clés de 1024 bits soient encore courantes, les clés de 2048 bits sont recommandées pour une sécurité renforcée. Certains fournisseurs DNS ont une limite de 255 caractères pour les enregistrements TXT, ce qui oblige à diviser les clés 2048 bits plus longues en plusieurs chaînes au sein d'un même enregistrement TXT.