Un certificat Office 365 DKIM est un protocole d'authentification des courriels qui vous aide à vous défendre contre les attaques par usurpation d'identité, le phishing et les attaques BEC. Microsoft recommande un enregistrement DKIM pour signer numériquement vos courriels sortants afin qu'ils ne soient pas altérés ou que des acteurs menaçants n'y aient pas accès pendant le processus de transfert. L'activation de l'enregistrement DKIM pour O365 est une étape essentielle pour garantir la sécurité de votre courrier électronique.
Activation de la signature DKIM d'Office 365 sur le portail Microsoft 365 Defender à l'aide d'un domaine personnalisé
Note: Si vous activez la signature DKIM via le portail portail Microsoft 365 Defender pour vos messages sortants à l'aide d'un domaine personnalisé, votre configuration DKIM est automatiquement modifiée par rapport à l'ancien domaine *.onmicrosoft.com. Voici comment vous pouvez configurer un domaine personnalisé.
Voici les étapes pour configurer Office 365 DKIM pour votre domaine personnalisé :
Assurez-vous que vous pouvez repérer votre nom de domaine personnalisé dans le fichier DKIM de vos Paramètres d'authentification des e-mails dans le portail Defender. Voici à quoi il doit ressembler :
Connectez-vous à votre compte Defender.
Sur le portail, naviguez vers Courriel et collaborationet sélectionnez Politiques et règles
Sur le site Politiques et règles sélectionnez Politiques de lutte contre les menaces et choisissez Paramètres d'authentification du courrier électronique
Sur cette page, cliquez sur le bouton DKIM et sélectionnez votre domaine personnalisé pour lequel vous souhaitez activer la signature DKIM
Une boîte de dialogue contenant un bouton de basculement nommé Signer les messages pour ce domaine avec des signatures DKIM qui est désactivé par défaut. Essayez de l'activer en cliquant sur .
Une boîte d'erreur apparaîtra à ce stade, vous informant qu'il manque des enregistrements CNAME pour votre domaine, ce qui empêche la signature DKIM. Les détails de l'erreur fourniront également la syntaxe de 2 enregistrements CNAME que vous devez publier sur votre DNS. Chacun de ces enregistrements aura 2 champs primaires : Le nom d'hôte et la valeur de l'enregistrement. Microsoft fournit l'exemple suivant dans son guide :
Enregistrement CNAME 1
Nom d'hôte : selector1._domainkey
Valeur: selector1-contoso-com._domainkey.contoso.onmicrosoft.com
Enregistrement CNAME 2
Nom d'hôte: selector2._domainkey
Valeur: selector2-contoso-com._domainkey.contoso.onmicrosoft.com
Sans fermer la dernière page de votre portail Defender, dans une nouvelle fenêtre, connectez-vous à votre console de gestion DNS. Créez 2 nouveaux enregistrements CNAME et collez la valeur de ces enregistrements sur votre DNS.
Vous pouvez consulter les instructions étape par étape sur la manière de publier des enregistrements DKIM pour différents fournisseurs de DNS dans notre base de connaissances.
Note: Une fois que vos enregistrements CNAME sont créés, cela peut prendre quelques minutes à quelques heures pour que votre DNS propage les changements. Une fois les modifications traitées, Microsoft 365 peut mettre un certain temps à les détecter. Laissez donc passer un peu de temps avant de passer aux étapes finales.
Rendez-vous sur le portail Defender dans lequel vous avez gardé la dernière page ouverte et essayez de basculer l'option Signer les messages pour ce domaine avec des signatures DKIM pour l'activer
Lorsque la boîte de dialogue de sécurité apparaît, cliquez sur OK
Si vous avez réussi à activer la signature DKIM pour les messages sortants de votre domaine personnalisé, les configurations finales devraient ressembler à ceci :
Étapes pour personnaliser la signature DKIM en utilisant le domaine *.onmicrosoft.com
Bien que la configuration initiale *.onmicrosoft.com soit automatiquement configurée pour signer vos messages avec DKIM lorsque vous les envoyez à l'aide de Microsoft 365, vous pouvez personnaliser les configurations. Voici comment procéder :
Au lieu de votre domaine personnalisé, assurez-vous que votre domaine *.onmicrosoft.com apparaît dans l'onglet DKIM de la page Paramètres d'authentification des courriels.
Connectez-vous à votre compte Defender.
Sur le portail, naviguez vers Courriel et collaborationet sélectionnez Politiques et règles
Sur le site Politiques et règles sélectionnez Politiques de lutte contre les menaces et choisissez Paramètres d'authentification du courrier électronique
Sur cette page, cliquez sur le bouton DKIM et sélectionnez votre domaine *.onmicrosoft.com pour lequel vous souhaitez personnaliser la signature DKIM
Dans la boîte de détails du domaine, sélectionnez le bouton bleu pour Créer des clés DKIM
Suivez les instructions de la page pour créer votre nouveau jeu de clés DKIM, mais notez que vous n'avez pas besoin de publier les clés puisque cette étape est automatiquement prise en charge par Microsoft.
Fermez la page et maintenant sur la page des détails du domaine, activez l'option Signer les messages pour ce domaine avec des signatures DKIM pour activer le bouton Signer les messages pour ce domaine avec des signatures DKIM.
Cliquez sur OK et c'est terminé !
Méthode alternative : Activer la signature DKIM à l'aide d'Exchange Online Powershell
Pour utiliser Powershell afin d'activer la signature DKIM pour vos messages sortants (à la fois pour le domaine personnalisé et le domaine *.onmicrosoft.com), suivez les étapes suivantes :
Vérifiez votre configuration DKIM actuelle en exécutant la commande suivante :
Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
Lors de l'exécution de cette commande, si DKIM n'est pas présent, les résultats de la vérification afficheront un état "faux" dans le champ "Enabled" et indiqueront que CNAME n'est pas présent.
Pour un domaine personnalisé, lorsque vous exécutez la commande et que Microsoft 365 trouve des configurations DKIM manquantes, une boîte d'erreur s'affiche. Cette boîte contiendra 2 enregistrements CNAME pour DKIM. Vous devez copier la valeur et le nom d'hôte des enregistrements et créer de nouveaux enregistrements CNAME avec votre registraire de domaine en utilisant ces valeurs. Une fois créés, publiez les enregistrements sur votre DNS.
Ou,
Si vous souhaitez activer la signature DKIM pour les messages sortants de votre domaine *.onmicrosoft.com, exécutez la commande suivante en remplaçant le champ "Domaine" par votre nom de domaine *.onmicrosoft.com :
Set-DkimConfig -Identity \<Domain\> -Enabled $true
Aucun message d'erreur n'est affiché pour ce domaine.
Enfin, exécutez la première commande pour vérifier la configuration de DKIM et vous assurer qu'elle est correcte. Le statut "Enabled" doit maintenant afficher "True" et le champ "Status" doit avoir une valeur "Valid".
Si vous souhaitez effectuer la rotation de vos clés DKIM à l'aide d'Exchange Online Powershell, consultez notre guide détaillé ici.
Comment désactiver DKIM pour Office 365 ?
Vous pouvez désactiver DKIM pour Office 365 en un seul clic sur le portail Defender.
Il vous suffit de vous rendre à l'adresse suivante Messagerie & collaboration > Politiques et règles > Politiques de lutte contre les menaces > DKIM
Sur le site de la DKIM basculer le bouton "Enable" pour désactiver le protocole.
Remarque : la vérification DKIM peut vous aider à mieux authentifier les messages dans des cas particuliers, tels que la redirection d'e-mails, où SPF peut échouer. En outre, la vérification DKIM est obligatoire pour les expéditeurs en masse de Google et Yahoo et recommandée pour tous les expéditeurs. L'activation de la vérification DKIM pour vos domaines est considérée comme une bonne pratique en matière de messagerie électronique et est fortement recommandée par Microsoft et par nous-mêmes.
Autres articles connexes :
Configuration du SPF de Microsoft Office 365
Configuration de Microsoft Office 365 DMARC
Révision du contenu, vérification des faits et des sources
Toutes les informations et images fournies dans cet article sont tirées du Guide de configuration DKIM de Microsoft. Le contenu a été revu et vérifié par des experts en cybersécurité afin d'en garantir l'exactitude. Nous essayons également de mettre à jour l'article périodiquement lorsque de nouveaux changements sont apportés par les fournisseurs de services.
J'espère que cet article vous a été utile ! Vous êtes novice en matière d'authentification des e-mails, de DKIM et de DMARC ? Faites un essai gratuit de essai DMARC gratuit pour évaluer vos avantages dès aujourd'hui.