Utilisation de DKIM pour valider les messages sortants envoyés à partir de votre domaine personnalisé

Notes

Vous voulez essayer Microsoft 365 Defender ? En savoir plus sur la façon dont vous pouvez évaluer et piloter Microsoft 365 Defender.

S’applique à

Cet article répertorie les étapes de l’utilisation de DomainKeys Identified Mail (DKIM) avec Microsoft 365 pour vous assurer que les systèmes d’e-mail de destination approuvent les messages sortants envoyés à partir de votre domaine personnalisé.

Contenu de cet article :

Notes

Microsoft 365 configure automatiquement DKIM pour les domaines initiaux 'onmicrosoft.com'. Cela signifie que vous n’avez rien à faire pour configurer DKIM pour les noms de domaine initial (par exemple, litware.onmicrosoft.com). Pour plus d'informations sur les domaines, consultez l'article Forum aux questions sur les domaines.

DKIM fait partie du trio de méthodes d'authentification (SPF, DKIM et DMARC) qui permet d'empêcher les attaquants d'envoyer des messages qui semblent provenir de votre domaine.

DKIM vous permet d'ajouter une signature numérique aux e-mails sortants dans l'en-tête du message. Lorsque vous configurez DKIM, vous autorisez votre domaine à associer son nom à un courrier ou à l’y signer à l'aide d'une authentification de chiffrement. Les systèmes de messagerie qui reçoivent des e-mails de votre domaine peuvent utiliser cette signature numérique pour déterminer si le courrier entrant est légitime.

À la base, une clé privée chiffre l’en-tête dans le courrier sortant d’un domaine. La clé publique est publiée dans les enregistrements DNS, et les serveurs de réception peuvent utiliser cette clé pour décoder la signature. La vérification DKIM permet aux serveurs de réception de confirmer que les courriers viennent vraiment de votre domaine et non d’une personne usurpant votre domaine.

Conseil

Vous pouvez également choisir de n'effectuer aucun réglage DKIM pour votre domaine personnalisé. Si vous ne configurez pas DKIM pour votre domaine personnalisé, Microsoft 365 crée une paire de clés privée et publique, active la signature DKIM, et configure la stratégie par défaut de Microsoft 365 pour votre domaine personnalisé.

La configuration DKIM intégrée de Microsoft 365 est une couverture suffisante pour la plupart des clients. Cependant, vous devez configurer manuellement DKIM pour votre domaine personnalisé dans ces circonstances :

  • Vous avez plusieurs domaines personnalisés dans Microsoft 365
  • Vous allez également configurer DMARC (recommandé)
  • Vous souhaitez contrôler votre clé privée
  • Vous souhaitez personnaliser vos enregistrements CNAME
  • Vous souhaitez configurer des clés DKIM pour les e-mails provenant d’un domaine tiers, par exemple, si vous utilisez un programme d’envoi de courrier en nombre tiers.

Pourquoi DKIM est plus efficace que SPF seul pour empêcher l’usurpation d’identité malveillante

SPF ajoute des informations à une enveloppe de message, mais DKIM chiffre une signature dans l’en-tête du message. Lorsque vous transférez un message, des parties de l’enveloppe de ce message peuvent être supprimées par le serveur de transfert. Étant donné que la signature numérique reste avec le message électronique, car elle fait partie de l’en-tête de l’e-mail, DKIM fonctionne même lorsqu’un message a été transféré, comme indiqué dans l’exemple suivant.

Diagramme illustrant l'authentification DKIM correcte d'un message transféré lors de l'échec du contrôle SPF

Dans cet exemple, si vous aviez publié un seul enregistrement SPF TXT pour votre domaine, le serveur de courrier destinataire pourrait avoir marqué vos e-mails comme courriers indésirables et généré un résultat faux positif. L’ajout de DKIM dans ce scénario réduit le signalement de courrier indésirable faux positif. Étant donné que DKIM repose à la fois sur le chiffrement de la clé publique et non les adresses IP uniquement pour l’authentification, DKIM représente une forme d’authentification beaucoup plus puissante que SPF. Nous vous recommandons d’utiliser à la fois SPF et DKIM, ainsi que DMARC dans votre déploiement.

Conseil

DKIM utilise une clé privée pour insérer une signature chiffrée dans les en-têtes de message. Le domaine de signature, ou domaine sortant, est inséré comme valeur du champ d= dans l’en-tête. Le domaine de vérification ou le domaine du destinataire utilise ensuite le champ d= pour rechercher la clé publique à partir du DNS et authentifier le message. Si le message est vérifié, la vérification DKIM réussit.

Étapes de création, d’activation et de désactivation de DKIM à partir du Portail Microsoft 365 Defender

Tous les domaines acceptés de votre locataire s’affichent dans le portail Microsoft 365 Defender sous la page DKIM. Si vous ne le voyez pas, ajoutez votre domaine accepté à partir de la page domaines. Une fois votre domaine ajouté, suivez les étapes ci-dessous pour configurer DKIM.

Étape 1 : cliquer sur le domaine sur lequel vous souhaitez configurer DKIM sur la page DKIM (https://security.microsoft.com/dkimv2 ou https://protection.office.com/dkimv2)).

Page DKIM dans le portail Microsoft 365 Defender avec un domaine sélectionné

Étape 2 : faites glisser le bouton bascule pour Activer. Vous verrez une fenêtre contextuelle indiquant que vous devez ajouter des enregistrements CNAME.

Menu volant Détails du domaine avec le bouton Créer des clés DKIM

Étape 3 : copier le CNAMES affiché dans la fenêtre contextuelle

Fenêtre contextuelle Publier les noms de cluster qui contient les deux enregistrements CNAME à copier

Étape 4 : publier les enregistrements CNAME copiés sur votre fournisseur de services DNS.

Sur le site web de votre fournisseur DNS, ajoutez des enregistrements CNAME pour DKIM que vous souhaitez activer. Dans le nouvel enregistrement, vérifiez que chacun des champs sont définis par les valeurs suivantes :

Record Type: CNAME (Alias)
> Host: Paste the values you copy from DKIM page.
Points to address: Copy the value from DKIM page.
TTL: 3600 (or your provider default)

Étape 5 : revenir à la page DKIM pour activer DKIM.

Bouton bascule pour activer DKIM

Si vous voyez l'erreur L’enregistrement CNAME n'existe pas, cela peut être dû à :

  1. Synchronisation avec le serveur DNS, ce qui peut prendre quelques secondes à quelques heures, si le problème persiste répétez les étapes
  2. Recherchez les erreurs de copier-coller, telles que l’espace supplémentaire ou les onglets, etc.

Si vous souhaitez désactiver DKIM, basculez vers le mode Désactiver

Mise à niveau manuelle de vos clés 1024 bits vers les clés de chiffrement DKIM 2048 bits

Notes

Microsoft 365 configure automatiquement DKIM pour les domaines onmicrosoft.com. Aucune étape n’est nécessaire pour utiliser DKIM pour les noms de domaine initiaux (par exemple, litware.onmicrosoft.com). Pour plus d'informations sur les domaines, consultez l'article Forum aux questions sur les domaines.

Étant donné que le nombre de bits 1024 et 2048 sont pris en charge pour les clés DKIM, ces instructions vous indiquent comment mettre à niveau votre clé 1024 bits vers 2048 dans Exchange Online PowerShell. Les étapes ci-dessous concernent deux cas d’utilisation ; veuillez choisir celui qui correspond le mieux à votre configuration.

  • Lorsque vous avez déjà configuré DKIM, vous pouvez faire pivoter le nombre de bits en exécutant la commande suivante :

    Rotate-DkimSigningConfig -KeySize 2048 -Identity <DkimSigningConfigIdParameter>
    

    ou

  • Pour une nouvelle implémentation de la fonctionnalité DKIM, exécutez la commande suivante :

    New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true
    

Restez connecté à Exchange Online PowerShell pour vérifier la configuration en exécutant la commande suivante :

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Conseil

Cette nouvelle clé 2048 bits prend effet sur RotateOnDate et envoie des e-mails avec la clé 1024 bits au niveau intermédiaire. Après quatre jours, vous pouvez à nouveau effectuer un test à l’aide de la touche 2048 bits (autrement dit, une fois que la rotation prend effet sur le deuxième sélecteur).

Si vous souhaitez faire pivoter vers le deuxième sélecteur, après quatre jours et confirmer que le nombre de bits 2048 est en cours d’utilisation, faites pivoter manuellement la deuxième clé de sélecteur à l’aide de l’applet de commande appropriée répertoriée ci-dessus.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez les articles suivants : Rotate-DkimSigningConfig, New-DkimSigningConfiget Get-DkimSigningConfig.

Étapes de la configuration manuelle de DKIM

Pour configurer DKIM, suivez les étapes ci-dessous :

Publication de deux enregistrements CNAME pour votre domaine dans le système DNS

Pour chaque domaine auquel vous souhaitez ajouter une signature DKIM dans le système DNS, vous devez publier deux enregistrements CNAME.

Notes

Si vous n’avez pas lu l’intégralité de l’article, il est possible que vous ayez manqué les informations de connexion PowerShell qui vous ont été utiles : Connectez-vous à Exchange Online PowerShell.

Exécutez les commandes suivantes dans Exchange Online PowerShell pour créer les enregistrements du sélecteur :

New-DkimSigningConfig -DomainName <domain> -Enabled $false
Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME

Si vous avez configuré des domaines personnalisés en plus du domaine initial dans Microsoft 365, vous devez publier deux enregistrements CNAME pour chaque domaine supplémentaire. Par conséquent, si vous avez deux domaines, vous devez publier deux enregistrements CNAME supplémentaires, et ainsi de suite.

Utilisez le format suivant pour les enregistrements CNAME.

Important

Si vous êtes l’un de nos clients GCC High, nous calculons customDomainIdentifier différemment ! Au lieu de chercher l’enregistrement MX de votre initialDomain pour calculer customDomainIdentifier, nous le calculons directement à partir du domaine personnalisé. Par exemple, si votre domaine personnalisé est « contoso.com » votre customDomainIdentifier devient « contoso-com », tous les points sont remplacés par un tiret. Ainsi, quel que soit l’enregistrement MX vers lequel pointe votre initialDomain, vous utiliserez toujours la méthode ci-dessus pour calculer la customDomainIdentifier à utiliser dans vos enregistrements CNAME.

Host name:            selector1._domainkey
Points to address or value:    selector1-<customDomainIdentifier>._domainkey.<initialDomain>
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-<customDomainIdentifier>._domainkey.<initialDomain>
TTL:                3600

Où :

  • Pour Microsoft 365, les sélecteurs seront toujours « selector1 » ou « selector2 ».

  • customDomainIdentifier est identique au customDomainIdentifier dans l’enregistrement MX personnalisé de votre domaine personnalisé qui apparaît avant mail.protection.outlook.com. Par exemple, dans l’enregistrement MX suivant pour le contoso.com de domaine, le customDomainIdentifier est contoso-com :

    contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.com

  • initialDomain est le domaine que vous avez utilisé lorsque vous vous êtes inscrit à Microsoft 365. Les domaines initiaux se terminent toujours par onmicrosoft.com. Pour plus d'informations sur la façon de déterminer votre domaine initial, consultez FAQ sur les domaines.

Par exemple, si vous avez un domaine initial cohovineyardandwinery.onmicrosoft.com, ainsi que deux domaines personnalisés cohovineyard.com et cohowinery.com, vous devez configurer deux enregistrements CNAME pour chaque domaine supplémentaire, soit un total de quatre enregistrements CNAME.

Host name:            selector1._domainkey
Points to address or value:    selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector1._domainkey
Points to address or value:    selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Notes

Il est important de créer le deuxième enregistrement, mais il est possible qu’un seul sélecteur soit disponible au moment de la création. Par essence, le deuxième sélecteur peut pointer vers une adresse qui n’a pas encore été créée. Nous vous recommandons de créer le deuxième enregistrement CNAME, car la rotation de votre clé sera transparente.

Étapes d’activation de la signature DKIM pour votre domaine personnalisé

Une fois que vous avez publié les enregistrements CNAME dans le système DNS, vous pouvez activer la signature DKIM par l'intermédiaire de Microsoft 365. Vous pouvez effectuer cette action par le biais du centre d'administration Microsoft 365 ou à l'aide de PowerShell.

Pour activer la signature DKIM pour votre domaine personnalisé dans le portail Microsoft 365 Defender

  1. Dans le portail Microsoft 365 Defender à https://security.microsoft.com, accédez à E-mail et Collaboration>Stratégies et règles>Stratégies de menace>DKIM dans la section Règles. Pour accéder directement à la page DKIM, utilisez https://security.microsoft.com/dkimv2.

  2. Dans la page DKIM, sélectionnez le domaine en cliquant sur le nom.

  3. Dans le menu volant des détails qui s’affiche, changez le paramètre Signer les messages pour ce domaine avec des signatures DKIM à Activé (Basculer sur.)

    Lorsque vous avez terminé, cliquez sur Rotation des clés DKIM.

  4. Répétez ces étapes pour chaque domaine personnalisé.

  5. Si vous configurez DKIM pour la première fois et que vous voyez l’erreur « Aucune clé DKIM enregistrée pour ce domaine », vous devez utiliser Windows PowerShell pour activer la signature DKIM, comme expliqué à l’étape suivante.

Activation de la signature DKIM pour votre domaine personnalisé à l’aide de PowerShell

Important

Aucune clé DKIM enregistrée pour cette erreur de domaine Si vous configurez DKIM pour la première fois et que vous voyez l’erreur « Aucune clé DKIM enregistrée pour ce domaine », exécutez la commande à l’étape 2 ci-dessous (par exemple, Set-DkimSigningConfig -Identity contoso.com -Enabled $true) pour afficher la clé.

  1. Connectez-vous à Exchange Online PowerShell.

  2. Utilisez la syntaxe suivante :

    Set-DkimSigningConfig -Identity <Domain> -Enabled $true
    

    <Domain> est le nom du domaine personnalisé pour lequel vous souhaitez activer la signature DKIM.

    Cet exemple permet d’activer la signature DKIM pour le domaine contoso.com :

    Set-DkimSigningConfig -Identity contoso.com -Enabled $true
    

Confirmation du fait que la signature DKIM est correctement configurée pour Microsoft 365

Patientez quelques minutes avant de suivre ces étapes permettant de confirmer que vous avez correctement configuré DKIM. Cela donne le temps aux informations DKIM relatives au domaine de se propager dans l’ensemble du réseau.

  • Envoyez un message à partir d’un compte au sein de votre domaine Microsoft 365 compatible avec DKIM à un autre compte de messagerie, tel qu’outlook.com ou Hotmail.com.

  • N’utilisez pas un compte aol.com à des fins de test. Il est possible qu’AOL ignore la vérification DKIM si la vérification SPF aboutit. Cela annule votre test.

  • Ouvrez le message et examinez l’en-tête. Les instructions pour afficher l’en-tête du message varient en fonction de votre client de messagerie. Pour obtenir des instructions sur l’affichage des en-têtes de messages dans Outlook, consultez l’article Afficher des en-têtes de messages Internet dans Outlook.

    Le message signé par DKIM contient le domaine et le nom d’hôte que vous avez définis lorsque vous avez publié les entrées CNAME. Le message se présente un peu comme cet exemple :

      From: Example User <example@contoso.com>
      DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
          s=selector1; d=contoso.com; t=1429912795;
          h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
          bh=<body hash>;
          b=<signed field>;
    
  • Recherchez l’en-tête des résultats de l’authentification. Bien que chaque service de réception utilise un format légèrement différent pour apposer un cachet sur le courrier entrant, le résultat doit inclure un élément qui ressemble à DKIM=test ou DKIM=OK.

Configuration de DKIM pour plusieurs domaines personnalisés

Si un jour vous décidez d’ajouter un autre domaine personnalisé et que vous souhaitez activer DKIM pour ce nouveau domaine, vous devez effectuer les étapes décrites dans cet article pour chaque domaine. Plus spécifiquement, réalisez toutes les étapes indiquées dans la section Configuration manuelle de DKIM.

Désactivation de la stratégie de signature DKIM pour un domaine personnalisé

La désactivation de la stratégie de signature ne désactive pas complètement DKIM. Au bout d’un certain temps, Microsoft 365 applique automatiquement la stratégie par défaut pour votre domaine, si la stratégie par défaut est toujours dans l’état activé. Si vous souhaitez désactiver complètement DKIM, vous devez désactiver DKIM sur les domaines personnalisés et par défaut. Pour plus d'informations, voir Comportement par défaut pour DKIM et Microsoft 365.

Pour désactiver la stratégie de signature DKIM à l’aide de Windows PowerShell

  1. Connectez-vous à Exchange Online PowerShell.

  2. Exécutez l’une des commandes suivantes pour chaque domaine pour lequel vous souhaitez désactiver la signature DKIM.

    $p = Get-DkimSigningConfig -Identity <Domain>
    $p[0] | Set-DkimSigningConfig -Enabled $false
    

    Par exemple :

    $p = Get-DkimSigningConfig -Identity contoso.com
    $p[0] | Set-DkimSigningConfig -Enabled $false
    

    Ou

    Set-DkimSigningConfig -Identity $p[<number>].Identity -Enabled $false
    

    Où le nombre est l'index de la stratégie. Par exemple :

    Set-DkimSigningConfig -Identity $p[0].Identity -Enabled $false
    

Comportement par défaut pour DKIM et Microsoft 365

Si vous n’activez pas DKIM, Microsoft 365 crée automatiquement une clé publique DKIM 2048 bits pour votre adresse MOERA (Microsoft Online Email Routing Address)/domaine initial et la clé privée associée que nous stockons en interne dans notre centre de données. Par défaut, Microsoft 365 utilise une configuration de signature par défaut pour les domaines qui n’ont pas de stratégie en place. Cela signifie que si vous ne configurez pas DKIM vous-même, Microsoft 365 utilisera sa stratégie par défaut et les clés qu’il crée pour activer DKIM pour votre domaine.

En outre, si vous désactivez la signature DKIM sur votre domaine personnalisé après l’avoir activé, au bout d’un certain temps, Microsoft 365 applique automatiquement la stratégie de domaine MOERA/initiale pour votre domaine personnalisé.

Dans l’exemple suivant, supposons que DKIM pour fabrikam.com a été activé par Microsoft 365, et pas par l’administrateur du domaine. Cela signifie que les enregistrements CNAME requis n’existent pas dans le système DNS. Les signatures DKIM pour les e-mails provenant de ce domaine se présenteront comme suit :

From: Second Example <second.example@fabrikam.com>
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
    s=selector1-fabrikam-com; d=contoso.onmicrosoft.com; t=1429912795;
    h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
    bh=<body hash>;
    b=<signed field>;

Dans cet exemple, le nom d’hôte et le domaine contiennent les valeurs vers lesquelles le CNAME pointe si la signature DKIM pour fabrikam.com a été activée par l’administrateur de domaine. Au final, chaque message envoyé à partir de Microsoft 365 sera signé par DKIM. Si vous activez DKIM vous-même, le domaine sera identique au domaine dans l’adresse De : , dans ce cas fabrikam.com. Si ce n’est pas le cas, il ne s’alignera pas et utilisera à la place le domaine initial de votre organisation. Pour plus d’informations sur la détermination de votre domaine initial, consultez FAQ sur les domaines.

Configurer DKIM de sorte qu’un service tiers puisse envoyer du courrier au nom de votre domaine personnalisé

Certains fournisseurs de services de messagerie en masse ou de services SaaS vous permettent de configurer des clés DKIM pour les courriers électroniques qui proviennent de leur service. Cela requiert une coordination entre vous-même et le tiers pour configurer les enregistrements DNS nécessaires. Aucune organisation ne le fait exactement de la même manière que les autres. Ainsi, le processus dépend entièrement de l’organisation.

Un exemple de message montrant un élément DKIM configuré correctement pour contoso.com et bulkemailprovider.com peut se présenter comme suit :

Return-Path: <communication@bulkemailprovider.com>
 From: <sender@contoso.com>
 DKIM-Signature: s=s1024; d=contoso.com
 Subject: Here is a message from Bulk Email Provider's infrastructure, but with a DKIM signature authorized by contoso.com

Dans cet exemple, pour obtenir ce résultat :

  1. Le fournisseur de messagerie en masse a attribué à Contoso une clé DKIM publique.

  2. Contoso a publié la clé DKIM sur son enregistrement DNS.

  3. Lorsque de l’envoi de courrier électronique, le fournisseur de messagerie en masse signe la clé avec la clé privée correspondante. Ainsi, le fournisseur de messagerie en masse joint la signature DKIM à l’en-tête du message.

  4. Les systèmes de messagerie de réception effectuent une vérification DKIM en authentifiant la valeur DKIM-Signature d=<domain> sur le domaine dans l’adresse De : (5322.From) du message. Dans cet exemple, les valeurs correspondent :

    sender@contoso.com

    d=contoso.com

Identifier les domaines qui n’envoient pas de courrier électronique

Les organisations doivent indiquer de façon explicite si un domaine n’envoie pas de courrier électronique en spécifiant v=DKIM1; p= dans l’enregistrement DKIM de ces domaines. Cela indique aux serveurs de messagerie qu’il n’existe pas de clé publique valide pour le domaine, et que les courriers électroniques provenant de ce domaine doivent être rejetés. Vous devez procéder de la sorte pour chaque domaine et sous-domaine à l’aide d’un DKIM avec caractère générique.

Par exemple, l’enregistrement DKIM se présente comme suit :

*._domainkey.SubDomainThatShouldntSendMail.contoso.com. TXT "v=DKIM1; p="

Étapes suivantes : après avoir configuré DKIM pour Microsoft 365

Bien que DKIM soit conçu pour éviter l’usurpation, DKIM fonctionne mieux avec SPF et DMARC.

Une fois que vous avez configuré DKIM, si vous n'avez pas encore configuré SPF, vous devez le faire. Pour une introduction rapide à SPF et pour le configurer rapidement, voir Configurer SPF dans Microsoft 365 pour aider à prévenir l'usurpation d'identité. Pour une compréhension plus approfondie de la façon dont Microsoft 365 utilise SPF, ou pour le dépannage ou les déploiements non standard tels que les déploiements hybrides, commencez par Comment Microsoft 365 utilise Sender Policy Framework (SPF) pour empêcher l'usurpation d'identité.

Consultez ensuite Utiliser DMARC pour valider le courrier. Les en-têtes de message anti-courrier indésirable incluent la syntaxe et les champs d’en-tête utilisés par Microsoft 365 pour les vérifications DKIM.

Ce test validera que la configuration de signature DKIM a été correctement configurée et que les entrées DNS appropriées ont été publiées.

Notes

Cette fonctionnalité nécessite un compte administrateur Microsoft 365. Cette fonctionnalité nʼest pas disponible pour Microsoft 365 Secteur Public, Microsoft 365 géré par 21Vianet ou Microsoft 365 Allemagne.

Plus d’informations

Rotation des clés via PowerShell : Rotate-DkimSigningConfig

Utiliser DMARC pour valider les messages électroniques