le champ DKIM signature header est un en-tête spécial placé dans chaque e-mail contenant des informations sur l’expéditeur, le message et l’emplacement de la clé publique requis pour la vérification. Ce champ d’en-tête est requis par tous les fournisseurs de boîtes aux lettres qui utilisent DKIM pour vérifier votre identité, y compris AOL, Gmail, Outlook.com et Yahoo!.,
Voici un exemple d’en-tête de signature DKIM:
l’en-tête de signature DKIM est composé de différents éléments d’information représentés par l’utilisation de paires tag=value. La balise est généralement une seule lettre suivie d’un signe égal (=). La valeur de chaque balise indique une information spécifique sur l’expéditeur, le message et l’emplacement de la clé publique.
Il existe de nombreuses balises disponibles pour un expéditeur; certaines balises sont obligatoires et d’autres sont facultatives., L’absence d’une balise requise dans la signature DKIM entraîne une erreur de vérification auprès du fournisseur de boîtes aux lettres, tandis que l’absence d’une balise facultative ne le fait pas.
Il est important de noter que les balises qui sont incluses dans la signature DKIM et qui n’ont pas de valeur associée sont traitées comme ayant une valeur vide. Cependant, les balises qui ne sont pas incluses dans la signature DKIM sont traitées comme ayant la valeur par défaut.
balises requises
Voici les balises requises d’un en-tête de signature DKIM. Toutes les signatures DKIM manquantes à ces balises rencontreront une erreur pendant le processus de vérification.,
- v= indique la version de la spécification de signature. La valeur doit toujours être définie sur 1.
- a= indique l’algorithme utilisé pour générer la signature. La valeur doit être rsa-sha256. Les expéditeurs avec des capacités CPU réduites peuvent utiliser rsa-sha1. Cependant, l’utilisation de rsa-sha1 est déconseillée en raison des risques de sécurité potentiels.
- s= indique le nom d’enregistrement du sélecteur utilisé avec le domaine pour localiser la clé publique dans DNS. La valeur est un nom ou un numéro créé par l’expéditeur.,
- voici un exemple d’enregistrement de sélecteur DNS. Les balises affichées dans cet exemple n’apparaissent que dans cet enregistrement dans DNS et non dans l’en-tête de l’e-mail lui-même: <selector(s=)._domainkey.domaine(d=)>. TXT v=dkim1; k=rsa; p=<clé publique>
- b= est les données de hachage des en-têtes répertoriés dans la balise h=; ce hachage est également appelé signature DKIM et codé dans base64.,
- bh= est le hachage calculé du corps du message. La valeur est une chaîne de caractères représentant le hachage déterminé par l’algorithme de hachage.
- d= indique le domaine utilisé avec le sélecteur d’enregistrement (s=) pour localiser la clé publique. La valeur est un nom de domaine appartenant à l’expéditeur.
- h= est une liste d’en-têtes qui seront utilisés dans l’algorithme de signature pour créer le hachage trouvé dans la balise b=., L’ordre des en-têtes dans la balise h= est l’ordre dans lequel ils ont été présentés lors de la signature DKIM, et est donc également l’ordre dans lequel ils doivent être présentés lors de la vérification. La valeur est une liste de champs d’en-tête qui ne seront pas modifiés ou supprimés.
balises facultatives et recommandées
Voici les balises facultatives que nous vous recommandons d’inclure dans un en-tête de signature DKIM. Signatures DKIM manquantes ces balises ne rencontreront pas d’erreur lors de la vérification, mais elles sont recommandées pour aider à identifier le spam.
les spammeurs ne définissent normalement pas les valeurs de temps., Des valeurs d’heure vides ou incorrectes, telles qu’une date d’expiration antérieure à l’horodatage de l’e-mail, entraîneront le rejet du message par certains fournisseurs de boîtes aux lettres.
- T= est l’horodatage de la signature DKIM. Il est destiné à indiquer l’heure à laquelle le message est envoyé. Le format est le nombre de secondes à partir de 00:00:00 le 1er janvier 1970 dans le fuseau horaire UTC.
- x= est l’heure d’expiration de la signature DKIM dans le même format que ci-dessus. La valeur de la balise this doit être supérieure à la valeur de la balise timestamp si les deux sont utilisés dans la signature DKIM., Les signatures DKIM peuvent être considérées comme invalides si l’Heure de vérification chez le vérificateur est passée la date d’expiration, alors assurez-vous de ne pas définir la date d’expiration trop tôt.
test Complet pour s’assurer que ces balises fonctionnent correctement et que le délai d’expiration n’est pas trop tôt après le déploiement.
balises optionnelles
Voici les balises optionnelles qui ne sont pas requises dans la signature DKIM.,
- c= est l’algorithme de canonisation qui définit à un fournisseur de boîte aux lettres quel niveau de modifications peut être présent lorsque l’e-mail est en transit vers le fournisseur de boîte aux lettres. Les Modifications peuvent inclure des espaces ou un habillage de ligne. Certains serveurs de messagerie apportent des modifications mineures à l’e-mail pendant le transit, ce qui peut invalider la signature.
- Voici la valeur qui définit le niveau de tolérance que le serveur de destination devrait avoir lorsqu’un message a ces modifications mineures: valeur1 / valeur2.,
Valeur1 représente l’en-tête du message et value2 représente le corps du message. Value1 et value2 peuvent être étiquetés comme « simple », qui tolère très peu, voire aucune, modification, ou” détendu » qui tolère les modifications courantes.
- i= indique l’identité de l’utilisateur ou de l’agent. La valeur est une adresse e-mail contenant le domaine ou le sous-domaine tel que défini dans la balise d=.,
balises facultatives et non recommandées
- l= est le nombre de caractères du corps du message qui ont été utilisés pour calculer le hachage du corps (bh=). Si cette valeur n’est pas là, alors il est supposé que tout le corps du message a été utilisé. Nous ne vous recommandons pas d’utiliser cette balise car elle peut être difficile à contrôler et peut entraîner des erreurs de vérification.
- z= est une liste des en-têtes originaux du message et peut différer des en-têtes répertoriés dans la balise h=., Cette balise peut être utilisée par certains fournisseurs de boîtes aux lettres dans le processus de diagnostic d’une erreur de vérification. Sa valeur n’est pas bien défini.
balises non reconnues
toutes les balises non spécifiées dans la RFC 6376 ne font pas partie du protocole DKIM et doivent être ignorées pendant le processus de vérification. Tous les fournisseurs de boîtes aux lettres n’ignorent pas les balises non reconnues, vous pouvez donc voir une erreur pendant le processus de vérification.
Vous pouvez trouver des informations complètes sur la signature DKIM sur le site Web de DKIM ou à la RFC 6376.
Laisser un commentaire