Longueur de la clé DKIM Considérations relatives à DKIM Comprendre les propriétés de signature DKIM héritées

Authentification d'e-mails avec DKIM dans Amazon SES

norme DKIM (DomainKeys Identified Mail)(DKIM) est un standard de sécurité conçue pour garantir qu'un e-mail censé provenir d'un domaine spécifique a bien été autorisé par le propriétaire de ce domaine. Elle utilise le chiffrement de clé publique pour signer un e-mail avec une clé privée. Les serveurs de destinataires peuvent ensuite utiliser une clé publique publiée dans le DNS d'un domaine pour vérifier que certaines parties de l'e-mail n'ont pas été modifiées pendant le transit.

Les signatures DKIM sont facultatives. Vous pouvez décider de signer vos e-mails à l'aide d'une signature DKIM pour améliorer la délivrabilité avec les fournisseurs de messagerie compatibles avec le standard DKIM. Amazon SES propose trois options pour signer vos messages à l'aide d'une signature DKIM :

Easy DKIM : SES génère une paire de clés public/privé et ajoute automatiquement une signature DKIM à chaque message que vous envoyez à partir de cette identité, consultez Easy DKIM dans Amazon SES.
BYODKIM (Bring Your Own DKIM) : vous fournissez votre propre paire de clés public/privé et SES ajoute une signature DKIM à chaque message que vous envoyez à partir de cette identité, consultez Fournissez votre propre jeton d'authentification DKIM (BYODKIM) dans Amazon SES.
Ajouter manuellement la signature DKIM : vous ajoutez votre propre signature DKIM à tous les e-mails que vous envoyez à l'aide de l'API SendRawEmail, consultez Signature DKIM manuelle dans Amazon SES.

Longueur de la clé DKIM

Puisque de nombreux fournisseurs de DNS prennent désormais en charge le cryptage RSA 2048 bits de DKIM, Amazon SES prend également en charge DKIM 2048 pour permettre une authentification plus sûre des e-mails et l'utilise donc en tant que longueur de clé par défaut lorsque vous configurez Easy DKIM à partir de l'API ou de la console. Les clés de 2048 bits peuvent être configurées et utilisées dans Bring Your Own DKIM (BYODKIM) également, où la longueur de votre clé de signature doit être au moins de 1024 bits et pas plus de 2048 bits.

Pour des raisons de sécurité et de délivrabilité de votre e-mail, lorsque vous configurez Easy DKIM, vous avez le choix d'utiliser des longueurs de clé de 1024 ou 2048 bits, avec la possibilité de revenir à 1024 en cas de problèmes liés à des fournisseurs DNS qui ne prennent pas encore en charge 2048. Lorsque vous créez une nouvelle identité, elle est créée avec DKIM 2048 par défaut, sauf si vous spécifiez 1024.

Pour préserver la délivrabilité des e-mails en transit, il existe des restrictions quant à la fréquence à laquelle vous pouvez modifier la longueur de la clé DKIM. Les restrictions sont les suivantes :

Impossibilité de passer à la même longueur de clé que celle déjà configurée.
Impossibilité de passer à une longueur de clé différente plus d'une fois au cours d'une période de 24 heures (sauf s'il s'agit de la première rétrogradation à 1024 de cette période).

Lorsque votre e-mail est en transit, DNS utilise votre clé publique pour l'authentifier. Par conséquent, si vous changez de clé trop rapidement ou trop fréquemment, DNS peut ne pas être en mesure d'authentifier votre e-mail par DKIM, car l'ancienne clé peut déjà avoir été annulée.

Considérations relatives à DKIM

Lorsque vous utilisez DKIM pour authentifier vos e-mails, les règles suivantes s'appliquent :

Vous devez uniquement configurer DKIM pour le domaine que vous utilisez dans votre adresse « From ». Vous n'avez pas besoin de configurer DKIM pour les domaines que vous utilisez dans les adresses « Return-Path » (Chemin de retour) ou « Reply-to » (Répondre à).
Amazon SES est disponible dans plusieurs régions AWS. Si vous utilisez plusieurs Régions AWS pour envoyer des e-mails, vous devez exécuter le processus de configuration de DKIM dans chacune de ces Régions pour vous assurer que tous vos e-mails sont signés par DKIM.
Étant donné que les propriétés DKIM sont héritées du domaine parent, lorsque vous vérifiez un domaine avec l'authentification DKIM :
- L'authentification DKIM s'appliquera également à tous les sous-domaines de ce domaine.
  - Les paramètres DKIM d'un sous-domaine peuvent remplacer ceux du domaine parent via la désactivation de l'héritage, si vous ne souhaitez pas que le sous-domaine utilise l'authentification DKIM. Vous avez la possibilité de le réactiver ultérieurement.
- L'authentification DKIM s'appliquera également à tous les e-mails envoyés à partir d'une identité e-mail faisant référence au domaine vérifié DKIM dans son adresse.
  - Les paramètres DKIM d'une adresse e-mail peuvent remplacer ceux du sous-domaine (le cas échéant) et du domaine parent via la désactivation de l'héritage, si vous souhaitez envoyer des e-mails sans authentification DKIM. Vous avez la possibilité de le réactiver ultérieurement.

Comprendre les propriétés de signature DKIM héritées

Il est important de comprendre d'abord qu'une identité d'adresse e-mail hérite de ses propriétés de signature DKIM de son domaine parent si ce domaine a été configuré avec DKIM, indépendamment du fait que Easy DKIM ou BYODKIM ait été utilisé. Par conséquent, la désactivation ou l'activation de la signature DKIM sur l'identité de l'adresse e-mail remplace les propriétés de signature DKIM du domaine sur la base de ces éléments clés :

Si vous avez déjà configuré DKIM pour le domaine auquel appartient une adresse e-mail, vous n'avez pas besoin d'activer la signature DKIM pour l'identité de l'adresse e-mail également.
- Lorsque vous configurez DKIM pour un domaine, Amazon SES authentifie automatiquement chaque e-mail provenant de chaque adresse de ce domaine grâce aux propriétés DKIM héritées du domaine parent.
Les paramètres DKIM pour une identité d'adresse e-mail spécifique remplacent automatiquement les paramètres du domaine ou du sous-domaine parent (le cas échéant) auquel l'adresse appartient.

Étant donné que les propriétés de signature DKIM de l'identité d'adresse e-mail sont héritées du domaine parent, si vous envisagez de remplacer ces propriétés, vous devez garder à l'esprit les règles hiérarchiques de remplacement, comme expliqué dans le tableau ci-dessous.

La signature DKIM n'est pas activée dans le domaine parent	La signature DKIM est activée dans le domaine parent
Vous ne pouvez pas activer la signature DKIM sur l'identité de l'adresse e-mail.	Vous pouvez désactiver la signature DKIM sur l'identité de l'adresse e-mail.
	Vous pouvez réactiver la signature DKIM sur l'identité de l'adresse e-mail.

Il n'est généralement pas recommandé de désactiver la signature DKIM, car cela risque de ternir la réputation de l'expéditeur et d'augmenter le risque de voir les e-mails que vous envoyez aboutir dans les dossiers de courrier indésirable ou de spam, ou de voir votre domaine usurpé.

Toutefois, il existe la possibilité de remplacer les propriétés de signature DKIM héritées du domaine sur une identité d'adresse e-mail pour tout cas d'utilisation particulier ou décision commerciale externe pour lesquels vous pourriez avoir à désactiver la signature DKIM de façon permanente ou temporaire, ou à la réactiver ultérieurement. Consultez Remplacement de la signature DKIM héritée sur une identité d'adresse e-mail.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Méthodes d'authentification d'e-mail

Easy DKIM