{"id":1508,"date":"2013-11-27T22:07:09","date_gmt":"2013-11-27T21:07:09","guid":{"rendered":"http:\/\/www.nageurs.com\/blog\/radio-piscine\/?p=1508"},"modified":"2013-11-27T22:07:09","modified_gmt":"2013-11-27T21:07:09","slug":"comment-signer-ses-emails-avec-la-norme-dkim","status":"publish","type":"post","link":"https:\/\/www.nageurs.com\/blog\/radio-piscine\/comment-signer-ses-emails-avec-la-norme-dkim\/","title":{"rendered":"Comment signer ses emails avec la norme DKIM ?"},"content":{"rendered":"

Aller, un petit article sur la s\u00e9curit\u00e9 informatique pour changer !\u00a0R\u00e9cemment, pour certifier les emails envoy\u00e9s aux membres du site nageurs.com, l’ajout d’un m\u00e9canisme de signature a \u00e9t\u00e9 mis en place bas\u00e9 sur la norme DKIM.<\/p>\n

Cette norme DKIM pour DomainKeys Identified Mail<\/em> permet de lutter contre le phishing, et surtout de garantir que l’email n’a pas \u00e9t\u00e9 modifi\u00e9 entre le moment o\u00f9 il a \u00e9t\u00e9 envoy\u00e9 ou re\u00e7u grace \u00e0 un m\u00e9canisme de signature \u00e9lectronique.<\/p>\n

Les objectifs \u00e9taient d’am\u00e9liorer les taux de d\u00e9livrabilit\u00e9 des emails envoy\u00e9s, ne pas tomber dans les bo\u00eetes spam, et aussi faire appara\u00eetre sur Gmail la page Google+ \u00e0 droite des messages envoy\u00e9s par le site. Et surtout par curiosit\u00e9 et d\u00e9fi !<\/p>\n

On peut le voir sur l’image ci-dessous, le mail est correctement sign\u00e9 (signed-by: nageurs.com<\/em>).<\/p>\n

\"\"<\/p>\n

N’ayant pas trouv\u00e9 d’article complet sur le sujet, et notamment sur le m\u00e9canisme de signature \u00e0 la main des emails, j’ai d\u00e9cid\u00e9 d’en faire un petit tutoriel qui explique toutes les \u00e9tapes, et de vous proposer ici. La lecture (en diagonable bien entendu) de la RFC 4871<\/a> est essentielle pour comprendre toutes les subtilit\u00e9s de cette norme, et je vous conseille d’y jeter un coup d’oeil pour prendre connaissance d’autres m\u00e9thodes de chiffrement, d’algorithmes de concat\u00e9nation, et de fonction de hashage que je n’\u00e9voquerai pas dans cet article.
\n\"\"Voici maintenant les \u00e9tapes \u00e0 suivre pour chiffrer des emails. La premi\u00e8re \u00e9tape est de g\u00e9n\u00e9rer une paire de cl\u00e9s : une publique et l’autre qui restera priv\u00e9e. Pour cela il suffit de lancer les commandes suivantes :<\/p>\n

openssl genrsa -out rsa.private 1024<\/pre>\n
openssl rsa -in rsa.private -out rsa.public -pubout -outform PEM<\/pre>\n
Dans les DNS du serveur ajouter une zone DKIM pour le domaine dkim<\/span>._domainkey.nageurs.com (vous pouvez remplacer dkim par autre chose, mais garder la cha\u00eene _domainkey). Comme valeur mettre k=rsa; p=[la cl\u00e9 publique sur une seule ligne sans espace]<\/span><\/p>\n
Il faut bien entendu retirer les lignes \u00ab\u00a0—–BEGIN PUBLIC KEY—–\u00a0\u00bb et \u00ab\u00a0—–END PUBLIC KEY—–\u00a0\u00bb pour votre enregistrement DNS.<\/p>\n
Ce site permet de v\u00e9rifier que le champ DKIM de votre domaine est correct : http:\/\/dkimcore.org\/c\/keycheck<\/a> Il faut parfois attendre plusieurs heures\/jours que se propagent les modifications DNS.<\/p>\n
Une fois l’enregistrement r\u00e9alis\u00e9, il reste l’\u00e9tape de signature des emails. Cette signature est compos\u00e9e d’un certain nombre de champs que nous allons voir ci-dessous.<\/p>\n
Voyons \u00e9tape par \u00e9tape comment fonctionne la signature de l’email. Imaginons que vous souhaitez signer le mail suivant :<\/p>\n\n\n\n
From: test@nageurs.com
\nTo: toto@nowhere.com
\nMailer: sans importance
\nSubject: bonjour de nageurs.com <\/p>\n
Bonjour Toto,
\nSi tu aimes la natation, inscris toi sur nageurs.com !<\/p>\n
A+<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
Pour l’exemple on va choisir de signer en utilisant l’algorithme de cryptage rsa, et la fonction de hashage sha1.<\/p>\n
La premi\u00e8re \u00e9tape est d’appliquer la fonction de hashage sur le contenu de l’email. Tous les retours \u00e0 la ligne \u00e9ventuels \u00e0 la fin du contenu sont supprim\u00e9s, et saut de ligne sont les deux caract\u00e8res \\r\\n, ainsi la taille totale du contenu de l’email ci-dessus est de 75 caract\u00e8res.<\/p>\n
On applique la fonction SHA1 puis on encore le text en base64. Cela donne la cha\u00eene suivante :<\/p>\n\n\n\n
8FSexY8XmsBEh\/+aIkM3hzA104I=<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
On isole ensuite les champs d’ent\u00eate que l’on veut utiliser pour la signature, par exemple \u00ab\u00a0From\u00a0\u00bb, \u00ab\u00a0To\u00a0\u00bb, et \u00ab\u00a0Subject\u00a0\u00bb avec le d\u00e9but du champ DKIM-Signature. Si on veut signer un champ qui n’existe pas dans le mail d’origine on l’ajoute pour cette \u00e9tape de signature. Ainsi nous allons signer toute la cha\u00eene suivante :<\/p>\n\n\n\n
From: test@nageurs.com
\nTo: toto@nowhere.com
\nSubject: bonjour de nageurs.com
\nContent-type:
\nDKIM-Signature: v=1; a=rsa-sha1; q=dns\/txt; l=75; s=dkim;
\n……..<\/span>c=simple\/simple;
\n……..<\/span>h=From:To:Subject:Content-type;
\n……..<\/span>d=nageurs.com; i=@nageurs.com;
\n……..<\/span>bh=8FSexY8XmsBEh\/+aIkM3hzA104I=;
\n……..<\/span>b=<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
Quelques explications sur le champ DKIM-Signature ajout\u00e9 ci-dessus. Le champ \u00ab\u00a0c\u00a0\u00bb (ici simple\/simple) correspond au couple d’algorithmes de concat\u00e9nation \u00e0 utliser, la premi\u00e8re valeur pour les en-t\u00eates afin de g\u00e9n\u00e9rer le champ \u00ab\u00a0b\u00a0\u00bb, le second pour le contenu du mail qui permettra de g\u00e9n\u00e9rer le champ \u00ab\u00a0bh\u00a0\u00bb.<\/p>\n
 <\/p>\n
Le champ \u00ab\u00a0bh\u00a0\u00bb est g\u00e9n\u00e9r\u00e9 le premier \u00e0 partir d’un hash sur le contenu du mail. La fonction de hash est d\u00e9finie par le champ \u00ab\u00a0a\u00a0\u00bb, ici \u00ab\u00a0a=rsa-sha1\u00a0\u00bb. Les ent\u00eates du champ \u00ab\u00a0h\u00a0\u00bb sont celles isol\u00e9es ci-dessus, juste avant le d\u00e9but du champ \u00ab\u00a0DKIM-Signature\u00a0\u00bb qui se termine pour le moment par \u00ab\u00a0b=\u00a0\u00bb.<\/p>\n
 <\/p>\n
La cha\u00eene ci-dessus est ensuite encrypt\u00e9e avec la cl\u00e9 priv\u00e9e, et pass\u00e9e en base64. Cela donne la cha\u00eene :<\/p>\n\n\n\n
VZbTjEgzUo8z0Bgf7wXQcnvRIoz78U8Eov7gsiZho4HJHzr2Pvh97k+3\/0AUL+M
\nwOdu6KS5cdu\/q5JrFyOZtCiurl8VIx2jAvsXQsLvIsUlAbPbMWewx827Va1DD2dqj
\nENDJHo29xJDm18PIBmkrUmkZ1xxcTGjf68hGEuyTTBg=<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
Il suffit de rajouter cette cha\u00eene en face du champ \u00ab\u00a0b=\u00a0\u00bb et assembler le mail complet avec les ent\u00eates d’origine. Cela donne l’email suivant :<\/p>\n\n\n\n
From: test@nageurs.com
\nTo: toto@nowhere.com
\nMailer: sans importance
\nSubject: bonjour de nageurs.com
\nDKIM-Signature: v=1; a=rsa-sha1; q=dns\/txt; l=75; s=dkim;
\n……..<\/span>c=simple\/simple;
\n……..<\/span>h=From:To:Subject:Content-type;
\n……..<\/span>d=nageurs.com; i=@nageurs.com;
\n……..<\/span>bh=8FSexY8XmsBEh\/+aIkM3hzA104I=;
\n……..<\/span>b=VZbTjEgzUo8z0Bgf7wXQcnvRIoz78U8Eov7gsiZho4HJHzr2Pvh97k+3\/0AUL+MwO
\n……..<\/span>du6KS5cdu\/q5JrFyOZtCiurl8VIx2jAvsXQsLvIsUlAbPbMWewx827Va1DD2dqjENDJHo
\n……..<\/span>29xJDm18PIBmkrUmkZ1xxcTGjf68hGEuyTTBg=
\n <\/p>\n
Bonjour Toto,
\nSi tu aimes la natation, inscris toi sur nageurs.com !<\/p>\n
A+<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
Pour tester que cela fonctionne vous pouvez bien s\u00fbr vous envoyer un email. Il y a auss des outils en ligne permettent ensuite de tester que le mail cr\u00e9\u00e9 a un ent\u00eate DKIM-Signature valide : https:\/\/9vx.org\/~dho\/dkim_validate.php<\/a><\/p>\n
Comme pr\u00e9vu, quelques jours plus tard, la page Google+ appara\u00eet \u00e0 droite des emails !<\/p>\n
Et voil\u00e0 maintenant vous savez comment signer un email \ud83d\ude42<\/p>\n
N’h\u00e9sitez pas \u00e0 faire un lien vers cet article ! Merci \ud83d\ude42<\/p>\n","protected":false},"excerpt":{"rendered":"
Aller, un petit article sur la s\u00e9curit\u00e9 informatique pour changer !\u00a0R\u00e9cemment, pour certifier les emails envoy\u00e9s aux membres du site nageurs.com, l’ajout d’un m\u00e9canisme de signature a \u00e9t\u00e9 mis en place bas\u00e9 sur la norme DKIM. Cette norme DKIM pour DomainKeys Identified Mail permet de lutter contre le phishing, et surtout de garantir que l’email … Continuer la lecture de « Comment signer ses emails avec la norme DKIM ? »<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[59],"class_list":["post-1508","post","type-post","status-publish","format-standard","hentry","category-non-classe","tag-informatique"],"_links":{"self":[{"href":"https:\/\/www.nageurs.com\/blog\/radio-piscine\/wp-json\/wp\/v2\/posts\/1508","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.nageurs.com\/blog\/radio-piscine\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.nageurs.com\/blog\/radio-piscine\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.nageurs.com\/blog\/radio-piscine\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.nageurs.com\/blog\/radio-piscine\/wp-json\/wp\/v2\/comments?post=1508"}],"version-history":[{"count":27,"href":"https:\/\/www.nageurs.com\/blog\/radio-piscine\/wp-json\/wp\/v2\/posts\/1508\/revisions"}],"predecessor-version":[{"id":1537,"href":"https:\/\/www.nageurs.com\/blog\/radio-piscine\/wp-json\/wp\/v2\/posts\/1508\/revisions\/1537"}],"wp:attachment":[{"href":"https:\/\/www.nageurs.com\/blog\/radio-piscine\/wp-json\/wp\/v2\/media?parent=1508"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.nageurs.com\/blog\/radio-piscine\/wp-json\/wp\/v2\/categories?post=1508"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.nageurs.com\/blog\/radio-piscine\/wp-json\/wp\/v2\/tags?post=1508"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}