Loading

Meilleures pratiques pour configurer DKIM

Date de publication: Oct 8, 2021
Description
La nouvelle méthode pour créer des clés DKIM dans Salesforce a été présentée dans la mise à jour critique « Activer la fonctionnalité de la clé DomainKeys Identified Mail (DKIM) repensée avec la Sécurité de la messagerie renforcée » dans notre version Winter '19. Dans la version Winter '20, cette fonctionnalité a été implémentée dans toutes les organisations.
 
Résolution

Les considérations relatives à la configuration de clés DKIM à l’aide de la nouvelle méthode (sécurité renforcée) par rapport à l’ancienne méthode (clés publiques-privées) sont les suivantes :
 
  • Les clés DKIM ne peuvent plus être importées d’une organisation Salesforce à une autre. Ceci renforce la sécurité du processus.
  • Après avoir créé des clés DKIM dans Salesforce, les enregistrements CNAME doivent être publiés dans le DNS.
  • Nous ne pouvons pas avoir deux clés avec la même valeur de sélecteur pour le même domaine. Cela peut nous empêcher de publier le nouvel enregistrement CNAME. Dans ce scénario, les enregistrements DKIM peuvent être créés mais ne pourront pas être activés. Les nouvelles clés DKIM doivent être créées avec les nouveaux sélecteurs uniques.
  • Comme les clés DKIM ne peuvent plus être importées d'une organisation à une autre, si DKIM est implémenté dans une sandbox, les clés doivent être recréées après une actualisation de la sandbox et l’enregistrement CNAME obtenu doit être publié de nouveau dans le DNS.
  • Aucun certificat ne va expirer. Les clés existantes continueront à fonctionner mais les nouvelles clés devront être générées à l’aide de la nouvelle méthode.
  • Les clés DKIM peuvent aussi être générées en utilisant une API. Cela se fera également à l’aide de la nouvelle méthode avec une sécurité renforcée. Les nouveaux enregistrements CNAME générés de cette façon devront tout de même être mis à jour dans le DNS. Pour plus de détails, voir EmailDomainKey.
  • Salesforce aura une seule clé DKIM à tout moment, ce qui signifie qu’un DIG, NSLOOKUP ou une vérification similaire ne renverrait que la clé primaire ou secondaire en fonction de la clé active dans la rotation à ce moment-là.
  • Le bouton « Activer » de la clé DKIM de Salesforce restera désactivé sauf si Salesforce reconnaît que les enregistrements CNAME corrects ont été publiés sur le DNS. 
  • Pour la mise en forme canonique de DKIM, nous utilisons « c=relaxed/simple ». Par conséquent, la mise en forme canonique de l’en-tête est relaxed et le corps est simple. À partir d’aujourd’hui, ce paramètre ne peut plus être modifié.

Pour les étapes de création des clés DKIM dans Salesforce, voir Créer une clé DKIM.


Voir aussi : 
Échec de l’alignement SPF et DKIM
Impossible d’activer les clés DKIM dans Salesforce


Vidéo du Support Salesforce sur YouTube :
Comment configurer une clé DKIM
Numéro d’article de la base de connaissances

000381186

 
Chargement
Salesforce Help | Article