DomainKeys Identified Mail, or DKIM, is a technical standard that helps protect email senders and recipients from spam, spoofing, and phishing.  It is a form of email authentication that allows an organization to claim responsibility for a message in a way that can be validated by the recipient.

Specifically, it uses an approach called “public key cryptography” to verify that an email message was sent from an authorized mail server, in order to detect forgery and to prevent delivery of harmful email like spam. It supplements SMTP, the basic protocol used to send email, because it does not itself include any authentication mechanisms.

How does it work?

It works by adding a digital signature à la headers of an email message. That signature can be validated against a public cryptographic key in the organization’s Domain Name System (DNS) records. In general terms, the process works like this:

Le propriétaire d'un domaine publie une clé publique cryptographique sous la forme d'un enregistrement TXT spécialement formaté dans l'ensemble des enregistrements DNS du domaine.

When a mail message is sent by an outbound mail server, the server generates and attaches a unique DKIM signature header à la message. This header includes two cryptographic hashes, one of specified headers, and one of the message body (or part of it). Le header contains information about how the signature was generated.

Lorsqu'un serveur de courrier entrant reçoit un courriel, il recherche la clé publique DKIM de l'expéditeur dans le DNS. Le serveur entrant utilise cette clé pour déchiffrer la signature et la comparer à une version fraîchement calculée. Si les deux valeurs correspondent, on peut prouver que le message est authentique et qu'il n'a pas été modifié pendant le transit.

What is a DKIM signature?

A DKIM signature is a header added to email messages. Le header contains values that allow a receiving mail server to validate the email message by looking up a sender’s DKIM key and using it to verify the encrypted signature. It looks something like this:

DKIM-Signature : v=1 ; a=rsa-sha256 ; c=relaxed/relaxed ; d=sparkpost.com ; s=google ; h=from:content-transfer-encoding:subject:message-id:date:to :mime-version ; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco= ; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

L'en-tête d'une signature DKIM contient beaucoup d'informations, car il est destiné à un traitement automatisé. Comme vous pouvez le voir dans cet exemple, l'en-tête contient une liste de parties tag=value. Les balises notables sont "d=" pour le domaine de signature, "b=" pour la signature numérique proprement dite et "bh=" pour un hachage qui peut être vérifié en le recalculant à l'aide de la clé publique de l'expéditeur.

Les signatures sont par définition uniques d'un message à l'autre, mais ces éléments de base seront présents dans chaque en-tête de signature DKIM.

How is it related to SPF, DMARC, or other standards?

DKIM, SPF et DMARC sont des normes qui permettent différents aspects de l'authentification du courrier électronique. Elles traitent de questions complémentaires.

• SPF allows senders to define which IP addresses are allowed to send mail for a particular domain.

• DKIM fournit une clé de chiffrement et une signature numérique qui permettent de vérifier qu'un message électronique n'a pas été falsifié ou modifié.

• DMARC unifies the SPF and DKIM authentication mechanisms into a common framework and allows domain owners to declare how they would like email from that domain to be handled if it fails an authorization test.

Ai-je besoin de DKIM ?

If you are a business sending commercial or transactional email, you definitely need to implement one or more forms of email authentication to verify that an email is actually from you or your business. Properly configuring email authentication standards is one of the most important steps you can take to improve your deliverability. However, by itself it only goes so far; SparkPost and other email experts recommend also implementing SPF and DMARC to define a more complete email authentication policy.