|
@@ -144,20 +144,42 @@
|
|
|
|
|
|
<ul>
|
|
|
|
|
|
- <li class="toctree-l3"><a href="#ajout-des-enregistrements-spf-au-fichier-de-zone-dns">Ajout des enregistrements spf au fichier de zone DNS</a></li>
|
|
|
+ <li class="toctree-l3"><a href="#spf">SPF</a></li>
|
|
|
+
|
|
|
+ <li><a class="toctree-l4" href="#ajout-des-enregistrements-spf-au-fichier-de-zone-dns">Ajout des enregistrements spf au fichier de zone DNS</a></li>
|
|
|
|
|
|
<li><a class="toctree-l4" href="#installation-des-logiciels-necessaires">Installation des logiciels nécessaires</a></li>
|
|
|
|
|
|
- <li><a class="toctree-l4" href="#doc-debian">Doc Debian</a></li>
|
|
|
+ <li><a class="toctree-l4" href="#configuration-de-postfix-mastercf">Configuration de postfix: master.cf</a></li>
|
|
|
+
|
|
|
+ <li><a class="toctree-l4" href="#configuration-de-postfix-maincf">Configuration de postfix: main.cf</a></li>
|
|
|
|
|
|
- <li><a class="toctree-l4" href="#configuration-de-postfix">Configuration de postfix</a></li>
|
|
|
+ <li><a class="toctree-l4" href="#test">Test</a></li>
|
|
|
|
|
|
|
|
|
<li class="toctree-l3"><a href="#installation-de-dkim">Installation de DKIM</a></li>
|
|
|
|
|
|
- <li><a class="toctree-l4" href="#author-domain-signing-practices-adsppermalink">Author Domain Signing Practices (ADSP)Permalink</a></li>
|
|
|
+ <li><a class="toctree-l4" href="#configuration-de-dkim">Configuration de DKIM</a></li>
|
|
|
+
|
|
|
+ <li><a class="toctree-l4" href="#ajout-de-dkim-a-postix">Ajout de DKIM à Postix</a></li>
|
|
|
+
|
|
|
+ <li><a class="toctree-l4" href="#ajout-dun-enregistrement-dns">Ajout d'un enregistrement DNS</a></li>
|
|
|
+
|
|
|
+ <li><a class="toctree-l4" href="#test_1">Test</a></li>
|
|
|
+
|
|
|
+ <li><a class="toctree-l4" href="#notes">Notes</a></li>
|
|
|
+
|
|
|
+ <li><a class="toctree-l4" href="#test_2">Test</a></li>
|
|
|
+
|
|
|
+
|
|
|
+ <li class="toctree-l3"><a href="#author-domain-signing-practices-adsppermalink-technique-obsolete">Author Domain Signing Practices (ADSP)Permalink (technique obsolète ...)</a></li>
|
|
|
+
|
|
|
+
|
|
|
+ <li class="toctree-l3"><a href="#dmarc">DMARC</a></li>
|
|
|
+
|
|
|
+ <li><a class="toctree-l4" href="#installation-de-opendmarc">Installation de Opendmarc</a></li>
|
|
|
|
|
|
- <li><a class="toctree-l4" href="#dmarc">DMARC</a></li>
|
|
|
+ <li><a class="toctree-l4" href="#configuration-de-opendmarc">Configuration de Opendmarc</a></li>
|
|
|
|
|
|
|
|
|
</ul>
|
|
@@ -219,26 +241,34 @@
|
|
|
<div class="section">
|
|
|
|
|
|
<p></p>
|
|
|
-<h1 id="ajout-des-enregistrements-spf-au-fichier-de-zone-dns">Ajout des enregistrements <strong>spf</strong> au fichier de zone DNS</h1>
|
|
|
+<h2 id="spf">SPF</h2>
|
|
|
+<h3 id="ajout-des-enregistrements-spf-au-fichier-de-zone-dns">Ajout des enregistrements <strong>spf</strong> au fichier de zone DNS</h3>
|
|
|
<p>Nous allons maintenant ajouter un enregistrement <strong>spf</strong> à notre configuration. SPF est un enregistrement qui déclare quelle machine est responsable et autorisée à envoyer des mails pour notre domaine. Cela permet d'éviter que nos mails soient considérés comme du <strong>spam</strong>.</p>
|
|
|
-<p>La syntaxe de la ligne à ajouter est assez simple. Il existe des générateurs de ligne SPF, comme https://www.spfwizard.net/ ou https://mxtoolbox.com/SPFRecordGenerator.aspx.</p>
|
|
|
-<p>Le site http://www.openspf.org/ contient tout ce qu'il faut savoir à propos de SPF, syntaxe, paramètres etc ...</p>
|
|
|
-<p>Pour mon serveur, j'ai choisi une politique stricte de rejet des mails qui ne viennent pas d'uns source autorisée.</p>
|
|
|
-<p>Voici la ligne à rajouter au fichier de zone. C'est le paramètre "-all" qui détermine la politique (de rejet ici). Nous aurions pu mettre <strong>~all</strong> pour une politique moins stricte.</p>
|
|
|
+<p>La syntaxe de la ligne à ajouter est assez simple. Il existe des générateurs de ligne SPF, comme:</p>
|
|
|
+<ul>
|
|
|
+<li><a href="https://www.spfwizard.net/">spfwizard</a></li>
|
|
|
+</ul>
|
|
|
+<p>ou</p>
|
|
|
+<ul>
|
|
|
+<li><a href="https://mxtoolbox.com/SPFRecordGenerator.aspx">mxtoolbox</a>.</li>
|
|
|
+</ul>
|
|
|
+<p>Le site <a href="http://www.openspf.org/">openspf</a> contient tout ce qu'il faut savoir à propos de SPF, syntaxe, paramètres etc ...</p>
|
|
|
+<p>Pour mon serveur, j'ai choisi une politique stricte de rejet des mails qui ne viennent pas d'une source autorisée.</p>
|
|
|
+<p>Voici la ligne à rajouter au fichier de zone. C'est le paramètre "-all" qui détermine la politique (de rejet ici). Nous aurions pu mettre <strong>~all</strong> pour une politique moins stricte. (notez le <strong>~</strong> à la place du <strong>-</strong>)</p>
|
|
|
<pre><code class="shell">; spf
|
|
|
yojik.net. IN TXT "v=spf1 a mx mx:adara.yojik.net a:adara.yojik.net -all"
|
|
|
yojik.net. IN SPF "v=spf1 a mx mx:adara.yojik.net a:adara.yojik.net -all"
|
|
|
</code></pre>
|
|
|
|
|
|
<p>On recharge bind pour la prise en compte des modifications:</p>
|
|
|
-<blockquote>
|
|
|
-<p>service bind9 restart</p>
|
|
|
-</blockquote>
|
|
|
+<pre><code class="shell">service bind9 restart
|
|
|
+</code></pre>
|
|
|
+
|
|
|
<p>Il nous reste à configurer postfix pour prendre en compte cet enregistrement et effectuer les validations.</p>
|
|
|
-<h2 id="installation-des-logiciels-necessaires">Installation des logiciels nécessaires</h2>
|
|
|
-<pre><code class="shell">root@aijan:/etc/bind# apt-get install postfix-policyd-spf-python
|
|
|
+<h3 id="installation-des-logiciels-necessaires">Installation des logiciels nécessaires</h3>
|
|
|
+<pre><code class="shell">root@atom:/etc/bind# apt-get install postfix-policyd-spf-python
|
|
|
Lecture des listes de paquets... Fait
|
|
|
-Construction de l'arbre des dépendances
|
|
|
+Construction de l'arbre des dépendances
|
|
|
Lecture des informations d'état... Fait
|
|
|
The following additional packages will be installed:
|
|
|
python3-authres python3-dns python3-spf
|
|
@@ -254,7 +284,7 @@ Réception de:1 http://deb.debian.org/debian stretch/main amd64 python3-dns all
|
|
|
Réception de:2 http://deb.debian.org/debian stretch/main amd64 python3-authres all 0.900-1 [17,5 kB]
|
|
|
Réception de:3 http://deb.debian.org/debian stretch/main amd64 python3-spf all 2.0.12t-3 [64,1 kB]
|
|
|
Réception de:4 http://deb.debian.org/debian stretch/main amd64 postfix-policyd-spf-python all 2.0.1-1 [43,8 kB]
|
|
|
-153 ko réceptionnés en 0s (1 533 ko/s)
|
|
|
+153 ko réceptionnés en 0s (1 533 ko/s)
|
|
|
Sélection du paquet python3-dns précédemment désélectionné.
|
|
|
(Lecture de la base de données... 40435 fichiers et répertoires déjà installés.)
|
|
|
Préparation du dépaquetage de .../python3-dns_3.1.1-1_all.deb ...
|
|
@@ -273,53 +303,43 @@ Paramétrage de python3-dns (3.1.1-1) ...
|
|
|
Traitement des actions différées (« triggers ») pour man-db (2.7.6.1-2) ...
|
|
|
Paramétrage de python3-spf (2.0.12t-3) ...
|
|
|
Paramétrage de postfix-policyd-spf-python (2.0.1-1) ...
|
|
|
-root@aijan:/etc/bind#
|
|
|
+root@atom:/etc/bind#
|
|
|
</code></pre>
|
|
|
|
|
|
-<h2 id="doc-debian">Doc Debian</h2>
|
|
|
-<p>This package must be integrated with Postfix to be effective:</p>
|
|
|
-<ol>
|
|
|
-<li>
|
|
|
-<p>Add the following to /etc/postfix/master.cf:</p>
|
|
|
-<pre><code>policyd-spf unix - n n - 0 spawn
|
|
|
+<h3 id="configuration-de-postfix-mastercf">Configuration de postfix: master.cf</h3>
|
|
|
+<p>Dans le fichier /etc/postfix/master.cf, il faut rajouter le service suivant:</p>
|
|
|
+<pre><code class="shell">policyd-spf unix - n n - 0 spawn
|
|
|
user=policyd-spf argv=/usr/bin/policyd-spf
|
|
|
</code></pre>
|
|
|
-</li>
|
|
|
-<li>
|
|
|
-<p>Configure the Postfix policy service in /etc/postfix/main.cf:</p>
|
|
|
-<pre><code>smtpd_recipient_restrictions =
|
|
|
- ...
|
|
|
- reject_unauth_destination
|
|
|
- check_policy_service unix:private/policyd-spf
|
|
|
- ...
|
|
|
+
|
|
|
+<h3 id="configuration-de-postfix-maincf">Configuration de postfix: main.cf</h3>
|
|
|
+<p>Il nous faut ajouter la règle correspondante dans la lsite des restrictions de main.cf. Bien afire attention de positionner <strong>check_policy_service</strong> APRÈS <strong>reject_unauth_destination</strong>, sinon, votre serveur mail devient <strong>openrelay</strong>!</p>
|
|
|
+<pre><code class="shell">smtpd_recipient_restrictions =
|
|
|
+ ...
|
|
|
+ reject_unauth_destination
|
|
|
+ check_policy_service unix:private/policyd-spf
|
|
|
+ ...
|
|
|
|
|
|
policyd-spf_time_limit = 3600
|
|
|
</code></pre>
|
|
|
-<p>NOTE: Specify check_policy_service AFTER reject_unauth_destination or
|
|
|
-else your system can become an open relay.</p>
|
|
|
-</li>
|
|
|
-<li>
|
|
|
-<p>Reload Postfix.</p>
|
|
|
-</li>
|
|
|
-</ol>
|
|
|
-<h2 id="configuration-de-postfix">Configuration de postfix</h2>
|
|
|
-<p>Dans le fichier /etc/postfix/master.cf, il faut rajouter le service suivant:</p>
|
|
|
-<p>policyd-spf unix - n n - 0 spawn
|
|
|
- user=policyd-spf argv=/usr/bin/policyd-spf</p>
|
|
|
+
|
|
|
+<p>Relancez <strong>postfix</strong>:</p>
|
|
|
+<pre><code class="shell">service postfix restart
|
|
|
+</code></pre>
|
|
|
+
|
|
|
<h3 id="test">Test</h3>
|
|
|
<p>Je teste ma configuration sur les sites:</p>
|
|
|
-<blockquote>
|
|
|
-<p><a href="https://mxtoolbox.com/">Mxtoolbox</a>
|
|
|
-<a href="https://kitterman.com/spf/validate.html">Kitterman</a>
|
|
|
-<a href="https://www.mail-tester.com/spf-dkim-check">Mail-tester</a></p>
|
|
|
-</blockquote>
|
|
|
+<ul>
|
|
|
+<li><a href="https://mxtoolbox.com/">Mxtoolbox</a></li>
|
|
|
+<li><a href="https://kitterman.com/spf/validate.html">Kitterman</a></li>
|
|
|
+<li><a href="https://www.mail-tester.com/spf-dkim-check">Mail-tester</a></li>
|
|
|
+</ul>
|
|
|
<p>Les tests ne fonctionnent pas ... en fait, cela vient de la config IPV6 du serveur. La configuration automatique avec privext 2 donne plusieurs adresses IPV6 à la machine (avec le même préfixe, bien sûr). Mais l'adresse de la machine ne correspond plus à l'adresse de la machine déclarée dans bind. Et SPF ne peut plus fonctionner.</p>
|
|
|
<p>La solution a été de configurer manuellement l'adresse IPV6 dans /etc/network/interfaces de la façon suivante:</p>
|
|
|
<pre><code class="shell">iface enp2s0 inet6 static
|
|
|
address 2a01:e0a:54:c220:3aea:a7ff:fea6:cf93
|
|
|
netmask 64
|
|
|
gateway 2a01:e0a:54:c220:OOOO:0000:000:0001
|
|
|
-
|
|
|
</code></pre>
|
|
|
|
|
|
<p>On va aussi modifier la configuration de Postfix pour permettre l'envoi de messages de l'extérieur de la machine (uniquement les utilisateurs enregistrés, bien sûr).</p>
|
|
@@ -337,236 +357,260 @@ gateway 2a01:e0a:54:c220:OOOO:0000:000:0001
|
|
|
|
|
|
<p>J'ai simplement transféré les restrictions <strong>smtpd_sender_restrictions</strong> qui étaient dans main.cf dans master.cf.</p>
|
|
|
<p>Après modifications, tout marche comme il faut, vérification SPF comprise.</p>
|
|
|
-<pre><code class="shell">root@aijan:/home/ericadmin# tail -f /var/log/mail.log
|
|
|
-May 28 11:58:06 aijan dovecot: imap-login: Login: user=<ericadmin>, method=PLAIN, rip=192.168.111.150, lip=192.168.111.240, mpid=1901, TLS, session=<I0V6J0FtWODAqG+W>
|
|
|
-May 28 11:58:26 aijan postfix/smtpd[1902]: connect from adara.yojik.eu[91.121.72.10]
|
|
|
-May 28 11:58:26 aijan policyd-spf[1907]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=91.121.72.10; helo=adara.yojik.eu; envelope-from=eric@yojik.eu; receiver=<UNKNOWN>
|
|
|
-May 28 11:58:26 aijan postfix/smtpd[1902]: C701DD004F2: client=adara.yojik.eu[91.121.72.10]
|
|
|
-May 28 11:58:26 aijan postfix/cleanup[1908]: C701DD004F2: message-id=<4c621385-3822-cb78-9c1d-7e9f43c3fc52@yojik.eu>
|
|
|
-May 28 11:58:26 aijan postfix/qmgr[867]: C701DD004F2: from=<eric@yojik.eu>, size=1414, nrcpt=1 (queue active)
|
|
|
-May 28 11:58:26 aijan postfix/smtpd[1902]: disconnect from adara.yojik.eu[91.121.72.10] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
|
|
|
-May 28 11:58:26 aijan postfix/local[1909]: C701DD004F2: to=<ericadmin@yojik.net>, relay=local, delay=0.23, delays=0.21/0.01/0/0, dsn=2.0.0, status=sent (delivered to maildir)
|
|
|
-May 28 11:58:26 aijan postfix/qmgr[867]: C701DD004F2: removed
|
|
|
-May 28 11:59:00 aijan dovecot: imap-login: Login: user=<ericadmin>, method=PLAIN, rip=192.168.111.150, lip=192.168.111.240, mpid=1915, TLS, session=<FoqwKkFtduDAqG+W>
|
|
|
+<pre><code class="shell">root@atom:/home/ericadmin# tail -f /var/log/mail.log
|
|
|
+May 28 11:58:06 atom dovecot: imap-login: Login: user=<ericadmin>, method=PLAIN, rip=192.168.111.150, lip=192.168.111.240, mpid=1901, TLS, session=<I0V6J0FtWODAqG+W>
|
|
|
+May 28 11:58:26 atom postfix/smtpd[1902]: connect from adara.yojik.eu[91.121.72.10]
|
|
|
+May 28 11:58:26 atom policyd-spf[1907]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=91.121.72.10; helo=adara.yojik.eu; envelope-from=eric@yojik.eu; receiver=<UNKNOWN>
|
|
|
+May 28 11:58:26 atom postfix/smtpd[1902]: C701DD004F2: client=adara.yojik.eu[91.121.72.10]
|
|
|
+May 28 11:58:26 atom postfix/cleanup[1908]: C701DD004F2: message-id=<4c621385-3822-cb78-9c1d-7e9f43c3fc52@yojik.eu>
|
|
|
+May 28 11:58:26 atom postfix/qmgr[867]: C701DD004F2: from=<eric@yojik.eu>, size=1414, nrcpt=1 (queue active)
|
|
|
+May 28 11:58:26 atom postfix/smtpd[1902]: disconnect from adara.yojik.eu[91.121.72.10] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
|
|
|
+May 28 11:58:26 atom postfix/local[1909]: C701DD004F2: to=<ericadmin@yojik.net>, relay=local, delay=0.23, delays=0.21/0.01/0/0, dsn=2.0.0, status=sent (delivered to maildir)
|
|
|
+May 28 11:58:26 atom postfix/qmgr[867]: C701DD004F2: removed
|
|
|
+May 28 11:59:00 atom dovecot: imap-login: Login: user=<ericadmin>, method=PLAIN, rip=192.168.111.150, lip=192.168.111.240, mpid=1915, TLS, session=<FoqwKkFtduDAqG+W>
|
|
|
</code></pre>
|
|
|
|
|
|
-<p>La ligne <strong>May 28 11:43:12 aijan policyd-spf[1830]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; </strong> montre que notre contrôle SPF fonctionne comme il faut.</p>
|
|
|
-<h1 id="installation-de-dkim">Installation de DKIM</h1>
|
|
|
+<p>La ligne <strong>May 28 11:43:12 atom policyd-spf[1830]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; </strong> montre que notre contrôle SPF fonctionne comme il faut.</p>
|
|
|
+<h2 id="installation-de-dkim">Installation de DKIM</h2>
|
|
|
<p>DKIM (DomainKeys Identified Mail) est un système qui vous permet d'ajouter aux entêtes de vos émails une signature qui vous identifie et qui permet aux autres serveurs mails de la vérifier. L'entête peut être configuré pour garantir que le mail n'a pas été modifié après signature (on peut générer une clef qui signe tout ou partie du message, selon configuration)</p>
|
|
|
<p>L'installation et la configuration de DKIM nécessite 3 étapes:</p>
|
|
|
-<ol>
|
|
|
-<li>Configuration de DKIM</li>
|
|
|
-</ol>
|
|
|
+<h3 id="configuration-de-dkim">Configuration de DKIM</h3>
|
|
|
<p>Nous commençons par l'installation de opendkim.</p>
|
|
|
-<p><code>shell
|
|
|
- root@aijan:/home/ericadmin# apt install opendkim
|
|
|
- Lecture des listes de paquets... Fait
|
|
|
- Construction de l'arbre des dépendances
|
|
|
- Lecture des informations d'état... Fait
|
|
|
- The following additional packages will be installed:
|
|
|
- dns-root-data liblua5.1-0 libmemcached11 libmemcachedutil2 libmilter1.0.1 libopendbx1 libopendbx1-sqlite3 libopendkim11 librbl1 libunbound2 libvbr2
|
|
|
- Paquets suggérés :
|
|
|
- ... etc ...</code></p>
|
|
|
+<pre><code class="shell">root@atom:/home/ericadmin# apt install opendkim
|
|
|
+Lecture des listes de paquets... Fait
|
|
|
+Construction de l'arbre des dépendances
|
|
|
+Lecture des informations d'état... Fait
|
|
|
+The following additional packages will be installed:
|
|
|
+dns-root-data liblua5.1-0 libmemcached11 libmemcachedutil2 libmilter1.0.1 libopendbx1 libopendbx1-sqlite3 libopendkim11 librbl1 libunbound2 libvbr2
|
|
|
+Paquets suggérés :
|
|
|
+... etc ...
|
|
|
+</code></pre>
|
|
|
+
|
|
|
<p>Une fois installé, nous allons configurer opendkim: cela se fait dans le fichier /etc/opendkim.conf</p>
|
|
|
<p>Création des répertoires:</p>
|
|
|
-<blockquote>
|
|
|
-<p>mkdir -p /etc/opendkim/keys/yojik.net/</p>
|
|
|
-</blockquote>
|
|
|
+<pre><code class="shell">mkdir -p /etc/opendkim/keys/yojik.net/
|
|
|
+</code></pre>
|
|
|
+
|
|
|
<p>Permissions:</p>
|
|
|
-<blockquote>
|
|
|
-<p>chmod u=rw,go=r /etc/opendkim.conf
|
|
|
+<pre><code class="shell">chmod u=rw,go=r /etc/opendkim.conf
|
|
|
chown -R opendkim:opendkim /etc/opendkim
|
|
|
-chmod go-rw /etc/opendkim/keys</p>
|
|
|
+chmod go-rw /etc/opendkim/keys
|
|
|
+</code></pre>
|
|
|
+
|
|
|
+<p>Un fichier opendkim.conf entièrement commenté est disponible dans:</p>
|
|
|
+<blockquote>
|
|
|
+<p>/usr/share/doc/opendkim/examples</p>
|
|
|
</blockquote>
|
|
|
-<p>Un fichier opendkim.conf entièrement commenté est disponible dans /usr/share/doc/opendkim/examples.
|
|
|
- Voici notre fichier de configuration; adaptez-le en fonction de votre domaine, bien sûr:</p>
|
|
|
-<p>```shell
|
|
|
- # This is a basic configuration that can easily be adapted to suit a standard
|
|
|
- # installation. For more advanced options, see opendkim.conf(5) and/or
|
|
|
- # /usr/share/doc/opendkim/examples/opendkim.conf.sample.</p>
|
|
|
-<p># Log to syslog
|
|
|
- Syslog yes
|
|
|
- # Required to use local socket with MTAs that access the socket as a non-
|
|
|
- # privileged user (e.g. Postfix)
|
|
|
- ## UMask 002</p>
|
|
|
-<p># Sign for example.com with key in /etc/mail/dkim.key using
|
|
|
- # selector '2007' (e.g. 2007._domainkey.example.com)
|
|
|
- Domain yojik.net
|
|
|
- KeyFile /etc/opendkim/keys/yojik.net/yojik.private
|
|
|
- Selector yojik</p>
|
|
|
-<p># Commonly-used options; the commented-out versions show the defaults.
|
|
|
- #Canonicalization simple
|
|
|
- #Mode sv
|
|
|
- #SubDomains no
|
|
|
- #ADSPAction continue</p>
|
|
|
-<p># Always oversign From (sign using actual From and a null From to prevent
|
|
|
- # malicious signatures header fields (From and/or others) between the signer
|
|
|
- # and the verifier. From is oversigned by default in the Debian pacakge
|
|
|
- # because it is often the identity key used by reputation systems and thus
|
|
|
- # somewhat security sensitive.
|
|
|
- OversignHeaders From</p>
|
|
|
-<p># List domains to use for RFC 6541 DKIM Authorized Third-Party Signatures
|
|
|
- # (ATPS) (experimental)</p>
|
|
|
-<p>#ATPSDomains example.com</p>
|
|
|
-<p>AutoRestart Yes
|
|
|
- AutoRestartRate 10/1h
|
|
|
- UMask 002
|
|
|
- Syslog yes
|
|
|
- SyslogSuccess Yes
|
|
|
- LogWhy Yes
|
|
|
- Canonicalization relaxed/simple</p>
|
|
|
-<p>ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
|
|
|
- InternalHosts refile:/etc/opendkim/TrustedHosts
|
|
|
- KeyTable refile:/etc/opendkim/KeyTable
|
|
|
- SigningTable refile:/etc/opendkim/SigningTable</p>
|
|
|
-<p>Mode sv
|
|
|
- PidFile /var/run/opendkim/opendkim.pid
|
|
|
- SignatureAlgorithm rsa-sha256</p>
|
|
|
-<p>UserID opendkim:opendkim</p>
|
|
|
-<p>Socket inet:12301@localhost
|
|
|
- ```</p>
|
|
|
-<p>Postix accédera à opendkim à travers le port 12301.
|
|
|
- Il nous reste 3 fichiers à configurer/créer, ainsi que générer les clefs privées et publiques.</p>
|
|
|
-<ol>
|
|
|
-<li>/etc/opendkim/SigningTable
|
|
|
- Ce fichier ne contient qu'une seule ligne:
|
|
|
- > *@yojik.net yojik._domainkey.yojik.net</li>
|
|
|
-<li>/etc/opendkim/KeyTable
|
|
|
- Ce fichier ne contient qu'une seule ligne:
|
|
|
- > yojik._domainkey.yojik.net yojik.net:yojik:/etc/opendkim/keys/yojik.net/yojik.private</li>
|
|
|
-<li>/etc/opendkim/TrustedHosts
|
|
|
- > 127.0.0.1
|
|
|
- > ::1
|
|
|
- > localhost
|
|
|
- >
|
|
|
- > yojik.net
|
|
|
- Ne pas modifier les 3 premières lignes qui sont nécessaires à opendkim ...</li>
|
|
|
+<p>Voici notre fichier de configuration; adaptez-le en fonction de votre domaine, bien sûr:</p>
|
|
|
+<pre><code class="shell"># This is a basic configuration that can easily be adapted to suit a standard
|
|
|
+# installation. For more advanced options, see opendkim.conf(5) and/or
|
|
|
+# /usr/share/doc/opendkim/examples/opendkim.conf.sample.
|
|
|
+
|
|
|
+# Log to syslog
|
|
|
+Syslog yes
|
|
|
+# Required to use local socket with MTAs that access the socket as a non-
|
|
|
+# privileged user (e.g. Postfix)
|
|
|
+## UMask 002
|
|
|
+
|
|
|
+# Sign for example.com with key in /etc/mail/dkim.key using
|
|
|
+# selector '2007' (e.g. 2007._domainkey.example.com)
|
|
|
+Domain yojik.net
|
|
|
+KeyFile /etc/opendkim/keys/yojik.net/yojik.private
|
|
|
+Selector yojik
|
|
|
+
|
|
|
+# Commonly-used options; the commented-out versions show the defaults.
|
|
|
+#Canonicalization simple
|
|
|
+#Mode sv
|
|
|
+#SubDomains no
|
|
|
+#ADSPAction continue
|
|
|
+
|
|
|
+# Always oversign From (sign using actual From and a null From to prevent
|
|
|
+# malicious signatures header fields (From and/or others) between the signer
|
|
|
+# and the verifier. From is oversigned by default in the Debian pacakge
|
|
|
+# because it is often the identity key used by reputation systems and thus
|
|
|
+# somewhat security sensitive.
|
|
|
+OversignHeaders From
|
|
|
+
|
|
|
+# List domains to use for RFC 6541 DKIM Authorized Third-Party Signatures
|
|
|
+# (ATPS) (experimental)
|
|
|
+
|
|
|
+#ATPSDomains example.com
|
|
|
+
|
|
|
+AutoRestart Yes
|
|
|
+AutoRestartRate 10/1h
|
|
|
+UMask 002
|
|
|
+Syslog yes
|
|
|
+SyslogSuccess Yes
|
|
|
+LogWhy Yes
|
|
|
+Canonicalization relaxed/simple
|
|
|
+
|
|
|
+ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
|
|
|
+InternalHosts refile:/etc/opendkim/TrustedHosts
|
|
|
+KeyTable refile:/etc/opendkim/KeyTable
|
|
|
+SigningTable refile:/etc/opendkim/SigningTable
|
|
|
+
|
|
|
+Mode sv
|
|
|
+PidFile /var/run/opendkim/opendkim.pid
|
|
|
+SignatureAlgorithm rsa-sha256
|
|
|
+
|
|
|
+UserID opendkim:opendkim
|
|
|
+
|
|
|
+Socket inet:12301@localhost
|
|
|
+</code></pre>
|
|
|
+
|
|
|
+<p>Postix accédera à opendkim à travers le port 12301.</p>
|
|
|
+<p>Il nous reste 3 fichiers à configurer/créer, ainsi que générer les clefs privées et publiques.</p>
|
|
|
+<ul>
|
|
|
<li>
|
|
|
-<p>Création des clefs publiques et privées
|
|
|
- > cd /etc/opendkim/keys/yojik.net/
|
|
|
- > opendkim-genkey -b 2048 -h rsa-sha256 -r -s yojik -d yojik.net -v
|
|
|
- Un erreur apparaît: il nous faut installer opendkim-tools:
|
|
|
- > apt install opendkim-tools
|
|
|
- 2 fichiers sont crées: la clef publique et la clef privée. Nous allons renommer ces 2 clefs.
|
|
|
- > mv mv 201805.private yojik.private
|
|
|
- > mv 201805.txt yojik.txt
|
|
|
- Note du 9 décembre 2018: les fichiers sont crées avec les noms corrects; pas besoin de les renommer.
|
|
|
- On réapplique la modification des permissions:</p>
|
|
|
-<p><code>root@aijan:/etc/opendkim/keys# cd /etc
|
|
|
- root@aijan:/etc# chown -R opendkim:opendkim /etc/opendkim
|
|
|
- root@aijan:/etc# chmod -R go-rw /etc/opendkim/keys
|
|
|
- root@aijan:/etc#</code></p>
|
|
|
-<p>On relance opendkim pour voir s'il y a des erreurs:</p>
|
|
|
+<p>/etc/opendkim/SigningTable</p>
|
|
|
+<p>Ce fichier ne contient qu'une seule ligne:</p>
|
|
|
<blockquote>
|
|
|
-<p>systemctl restart opendkim</p>
|
|
|
+<p>*@yojik.net yojik._domainkey.yojik.net</p>
|
|
|
</blockquote>
|
|
|
-<p>On lance:</p>
|
|
|
+</li>
|
|
|
+<li>
|
|
|
+<p>/etc/opendkim/KeyTable</p>
|
|
|
+<p>Ce fichier ne contient qu'une seule ligne:</p>
|
|
|
<blockquote>
|
|
|
-<p>netstat -tlnp
|
|
|
- et on voit la ligne:
|
|
|
-tcp 0 0 127.0.0.1:12301 0.0.0.0:* LISTEN 2395/opendkim
|
|
|
- C'est bon .. le service est en place.</p>
|
|
|
+<p>yojik._domainkey.yojik.net yojik.net:yojik:/etc/opendkim/keys/yojik.net/yojik.private</p>
|
|
|
</blockquote>
|
|
|
</li>
|
|
|
<li>
|
|
|
-<p>Ajout de DKIM à Postix
|
|
|
- On va rajouter la gestion de DKIM à Postfix dans le fichier /etc/postfix/main.cf
|
|
|
- On ajoute les lignes suivantes:</p>
|
|
|
+<p>/etc/opendkim/TrustedHosts</p>
|
|
|
<blockquote>
|
|
|
-<p>milter_default_action = accept
|
|
|
-milter_protocol = 2
|
|
|
-smtpd_milters = inet:localhost:12301
|
|
|
-non_smtpd_milters = inet:localhost:12301 </p>
|
|
|
+<p>127.0.0.1</p>
|
|
|
+<p>::1</p>
|
|
|
+<p>localhost</p>
|
|
|
+<p>yojik.net</p>
|
|
|
</blockquote>
|
|
|
+<p>Ne pas modifier les 3 premières lignes qui sont nécessaires à opendkim ...</p>
|
|
|
</li>
|
|
|
-</ol>
|
|
|
-<p>On relance Postfix par:</p>
|
|
|
+<li>
|
|
|
+<p>Création des clefs publiques et privées</p>
|
|
|
<blockquote>
|
|
|
-<p>service postfix restart</p>
|
|
|
+<p>cd /etc/opendkim/keys/yojik.net/</p>
|
|
|
+<p>opendkim-genkey -b 2048 -h rsa-sha256 -r -s yojik -d yojik.net -v</p>
|
|
|
</blockquote>
|
|
|
-<ol>
|
|
|
-<li>
|
|
|
-<p>Ajout d'un enregistrement DNS
|
|
|
- On ajoute la partie entre double-quotes du fichier /etc/opendkim/keys/yojik.net/yojik.txt à la ligne suivante:
|
|
|
- Attention à la syntaxe: ne pas oublier le "." derrière yojik.net!</p>
|
|
|
+<p>Une erreur apparaît: il nous faut installer opendkim-tools:</p>
|
|
|
<blockquote>
|
|
|
-<p>yojik._domainkey.yojik.net.<>IN<->TXT<>( "v=DKIM1; h=rsa-sha256; k=rsa; s=email; p=;")
|
|
|
- Ajouter la clef derrière p= (supprimer les doubles quotes du début, milieu et fin de clef: ex:
|
|
|
- "ljjoj" "dfjj")</p>
|
|
|
+<p>apt install opendkim-tools</p>
|
|
|
</blockquote>
|
|
|
-<p>Test:</p>
|
|
|
+<p>2 fichiers sont crées: la clef publique et la clef privée. Nous allons renommer ces 2 clefs.</p>
|
|
|
<blockquote>
|
|
|
-<p>opendkim-testkey -d yojik.net -s yojik</p>
|
|
|
+<p>mv mv 201805.private yojik.private</p>
|
|
|
+<p>mv 201805.txt yojik.txt</p>
|
|
|
</blockquote>
|
|
|
+<p>Note du 9 décembre 2018: les fichiers sont crées avec les noms corrects; pas besoin de les renommer.
|
|
|
+ On réapplique la modification des permissions:</p>
|
|
|
</li>
|
|
|
-</ol>
|
|
|
-<p>Si votre clef est de longueur 2048, il va falloir la découper ... et utiliser le format "multi-lignes" comme ce qui suit:</p>
|
|
|
-<pre><code class="shell"> ; multi-line format
|
|
|
- name._domainkey IN TXT ("v=DKIM1"
|
|
|
- "p=MIGfMA0G ... "
|
|
|
- "oGeLnQg ... "
|
|
|
- "tdC2UzJ1lW ... "
|
|
|
- "MmPSPDdQPNUYckcQ2QIDAQAB")
|
|
|
+</ul>
|
|
|
+<pre><code class="shell">root@atom:/etc/opendkim/keys# cd /etc
|
|
|
+root@atom:/etc# chown -R opendkim:opendkim /etc/opendkim
|
|
|
+root@atom:/etc# chmod -R go-rw /etc/opendkim/keys
|
|
|
+root@atom:/etc#
|
|
|
</code></pre>
|
|
|
|
|
|
-<pre><code>Une chose à vérifier: le point "." à la fin du nom de domaine (première partie de la ligne). Les messages d'erreur style "erreur de syntaxe" n'aident pas beaucoup ...
|
|
|
-
|
|
|
-Cette fois-ci, tout est bon. J'ai adopté une technique pour coller ma clef dans l'enregistrement dns: je fais un:
|
|
|
-> cat fichier_de_zone fichier_de_clef > fichier_de_zone.new
|
|
|
-J'édite le fichier (les retours-chariot etc ...) et je remplace le fichier original (que je sauve d'abord) en incrémentant le numero de série dans le fichier.
|
|
|
+<p>On relance opendkim pour voir s'il y a des erreurs:</p>
|
|
|
+<blockquote>
|
|
|
+<p>systemctl restart opendkim</p>
|
|
|
+</blockquote>
|
|
|
+<p>On lance:</p>
|
|
|
+<blockquote>
|
|
|
+<p>netstat -tlnp</p>
|
|
|
+</blockquote>
|
|
|
+<p>et on voit la ligne:</p>
|
|
|
+<blockquote>
|
|
|
+<p>tcp 0 0 127.0.0.1:12301 0.0.0.0:* LISTEN 2395/opendkim</p>
|
|
|
+</blockquote>
|
|
|
+<p>C'est bon .. le service est en place.</p>
|
|
|
+<h3 id="ajout-de-dkim-a-postix">Ajout de DKIM à Postix</h3>
|
|
|
+<p>On va rajouter la gestion de DKIM à Postfix dans le fichier /etc/postfix/main.cf</p>
|
|
|
+<p>On ajoute les lignes suivantes:</p>
|
|
|
+<blockquote>
|
|
|
+<p>milter_default_action = accept</p>
|
|
|
+<p>milter_protocol = 2</p>
|
|
|
+<p>smtpd_milters = inet:localhost:12301</p>
|
|
|
+<p>non_smtpd_milters = inet:localhost:12301</p>
|
|
|
+</blockquote>
|
|
|
+<p>On relance Postfix par:</p>
|
|
|
+<blockquote>
|
|
|
+<p>service postfix restart</p>
|
|
|
+</blockquote>
|
|
|
+<h3 id="ajout-dun-enregistrement-dns">Ajout d'un enregistrement DNS</h3>
|
|
|
+<p>On ajoute la partie entre double-quotes du fichier /etc/opendkim/keys/yojik.net/yojik.txt à la ligne suivante:</p>
|
|
|
+<p>Attention à la syntaxe: ne pas oublier le "." derrière yojik.net!</p>
|
|
|
+<blockquote>
|
|
|
+<p>yojik._domainkey.yojik.net.<>IN<->TXT<>( "v=DKIM1; h=rsa-sha256; k=rsa; s=email; p=;")</p>
|
|
|
+</blockquote>
|
|
|
+<p>Ajouter la clef derrière p= (supprimer les doubles quotes du début, milieu et fin de clef: ex:
|
|
|
+ "ljjoj" "dfjj")</p>
|
|
|
+<h3 id="test_1">Test</h3>
|
|
|
+<pre><code>> opendkim-testkey -d yojik.net -s yojik
|
|
|
</code></pre>
|
|
|
-<ol>
|
|
|
-<li>
|
|
|
-<p>Test
|
|
|
- On envoie un message pour voir s'il est bien signé.
|
|
|
- Je redémarre le serveur et j'envoie un message.</p>
|
|
|
-<p>Voilà les résultats:</p>
|
|
|
+<p>Si votre clef est de longueur 2048, il va falloir la découper ... et utiliser le format "multi-lignes" comme ce qui suit:</p>
|
|
|
+<h3 id="notes">Notes</h3>
|
|
|
+<ul>
|
|
|
+<li>Une chose à vérifier: le point "." à la fin du nom de domaine (première partie de la ligne). Les messages d'erreur style "erreur de syntaxe" n'aident pas beaucoup ...</li>
|
|
|
+</ul>
|
|
|
+<p>Cette fois-ci, tout est bon.</p>
|
|
|
+<ul>
|
|
|
+<li>J'ai adopté une technique pour coller ma clef dans l'enregistrement dns: je fais un:</li>
|
|
|
+</ul>
|
|
|
<blockquote>
|
|
|
-<p>ARC-Authentication-Results: i=1; mx.google.com;
|
|
|
- dkim=pass header.i=@yojik.net header.s=yojik header.b=CE0b13ii;
|
|
|
- spf=pass (google.com: domain of ericadmin@yojik.net designates 82.64.48.5 as permitted sender) > smtp.mailfrom=ericadmin@yojik.net
|
|
|
-Received-SPF: pass (google.com: domain of ericadmin@yojik.net designates 82.64.48.5 as permitted sender) > client-ip=82.64.48.5;
|
|
|
-Authentication-Results: mx.google.com;
|
|
|
- dkim=pass header.i=@yojik.net header.s=yojik header.b=CE0b13ii;
|
|
|
- spf=pass (google.com: domain of ericadmin@yojik.net designates 82.64.48.5 as permitted sender) > smtp.mailfrom=ericadmin@yojik.net
|
|
|
-Received: from [192.168.111.150] (unknown [192.168.111.150])
|
|
|
- by aijan.yojik.net (Postfix) with ESMTPSA id AFB9ED004F3
|
|
|
- for <a href="mailto:ericounet26200@gmail.com">ericounet26200@gmail.com</a>; Thu, 31 May 2018 12:09:41 +0200 (CEST)
|
|
|
-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=yojik.net; s=yojik;
|
|
|
- t=1527761381; bh=ay9Odp/rKTenfDlpDmHqBM+YFfCITM3u/keXU6iwx20=;
|
|
|
- h=To:From:Subject:Date:From;
|
|
|
- b=CE0b13iiZgEQgrd7EngBovulGeU6QnSU/cKzia42u9s9B+S/dxUsm1u7JRjBrTLLg
|
|
|
- /c/uW05pdE5QS+9y3dvZtji0hogr0H87nRpZE7QBZaFLpVWGpUTukRsJ47JskO+Cwi
|
|
|
- 4cRYjeyUOLTY8Gc8uQaiS79CDko8E107fsfoUGV8=</p>
|
|
|
+<p>cat fichier_de_zone fichier_de_clef > fichier_de_zone.new</p>
|
|
|
</blockquote>
|
|
|
+<p>J'édite le fichier (les retours-chariot etc ...) et je remplace le fichier original (que je sauve d'abord) en incrémentant le numero de série dans le fichier.</p>
|
|
|
+<h3 id="test_2">Test</h3>
|
|
|
+<p>On envoie un message pour voir s'il est bien signé.</p>
|
|
|
+<p>Je redémarre le serveur et j'envoie un message.</p>
|
|
|
+<p>Voilà les résultats:</p>
|
|
|
+<pre><code class="shell">> ARC-Authentication-Results: i=1; mx.google.com;
|
|
|
+> dkim=pass header.i=@yojik.net header.s=yojik header.b=CE0b13ii;
|
|
|
+> spf=pass (google.com: domain of ericadmin@yojik.net designates 82.64.48.5 as permitted sender) > smtp.mailfrom=ericadmin@yojik.net
|
|
|
+> Received-SPF: pass (google.com: domain of ericadmin@yojik.net designates 82.64.48.5 as permitted sender) > client-ip=82.64.48.5;
|
|
|
+> Authentication-Results: mx.google.com;
|
|
|
+> dkim=pass header.i=@yojik.net header.s=yojik header.b=CE0b13ii;
|
|
|
+> spf=pass (google.com: domain of ericadmin@yojik.net designates 82.64.48.5 as permitted sender) > smtp.mailfrom=ericadmin@yojik.net
|
|
|
+> Received: from [192.168.111.150] (unknown [192.168.111.150])
|
|
|
+> by atom.yojik.net (Postfix) with ESMTPSA id AFB9ED004F3
|
|
|
+> for <ericounet26200@gmail.com>; Thu, 31 May 2018 12:09:41 +0200 (CEST)
|
|
|
+> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=yojik.net; s=yojik;
|
|
|
+> t=1527761381; bh=ay9Odp/rKTenfDlpDmHqBM+YFfCITM3u/keXU6iwx20=;
|
|
|
+> h=To:From:Subject:Date:From;
|
|
|
+> b=CE0b13iiZgEQgrd7EngBovulGeU6QnSU/cKzia42u9s9B+S/dxUsm1u7JRjBrTLLg
|
|
|
+> /c/uW05pdE5QS+9y3dvZtji0hogr0H87nRpZE7QBZaFLpVWGpUTukRsJ47JskO+Cwi
|
|
|
+> 4cRYjeyUOLTY8Gc8uQaiS79CDko8E107fsfoUGV8=
|
|
|
+</code></pre>
|
|
|
+
|
|
|
<p>Tout est bon ....</p>
|
|
|
-<p><strong>IL est recommandé de changer les clefs DKIM tous les mois!</strong></p>
|
|
|
-</li>
|
|
|
-</ol>
|
|
|
-<h2 id="author-domain-signing-practices-adsppermalink">Author Domain Signing Practices (ADSP)Permalink</h2>
|
|
|
-<p>Nous allons rajouter un enregistrement DNS qui va indiquer que tous les émails issus par yojik.net doivent être signés par DKIM. C'est une sécurité supplémentaire.
|
|
|
- La syntaxe est assez simple:</p>
|
|
|
+<p><strong>IL est recommandé de changer les clefs DKIM tous les mois!</strong> ... Je pense qu'il va falloir créer des scripts pour toute la maintenance des clefs et de leur renouvellement.</p>
|
|
|
+<h2 id="author-domain-signing-practices-adsppermalink-technique-obsolete">Author Domain Signing Practices (ADSP)Permalink (technique obsolète ...)</h2>
|
|
|
+<p>Nous allons rajouter un enregistrement DNS qui va indiquer que tous les émails issus par yojik.net doivent être signés par DKIM. C'est une sécurité supplémentaire.</p>
|
|
|
+<p>La syntaxe est assez simple:</p>
|
|
|
<blockquote>
|
|
|
-<p>_adsp._domainkey.yojik.net. IN TXT "dkim=all"
|
|
|
- Le paramètre dkim accepte d'autres valeurs moins strictes, mais j'ai choisi la plus stricte.
|
|
|
- Ne pas oublier d'incrémenter le numéro de série du fichier de zone après modification.
|
|
|
- Rechargez bind.
|
|
|
-service bind9 restart (ou reload)</p>
|
|
|
+<p>_adsp._domainkey.yojik.net. IN TXT "dkim=all"</p>
|
|
|
+<ul>
|
|
|
+<li>Le paramètre dkim accepte d'autres valeurs moins strictes, mais j'ai choisi la plus stricte.</li>
|
|
|
+<li>Ne pas oublier d'incrémenter le numéro de série du fichier de zone après modification.</li>
|
|
|
+<li>Rechargez bind.</li>
|
|
|
+</ul>
|
|
|
+<p>service bind9 restart (ou reload)</p>
|
|
|
</blockquote>
|
|
|
<p>Tout est OK.</p>
|
|
|
<p>Note: ADSP et Dmarc remplissent le même rôle. Après consultation d'experts, ADSP est "obsolète". Nous allons donc enlever ce service (commenter la ligne DNS) et configurer DMARC.</p>
|
|
|
<h2 id="dmarc">DMARC</h2>
|
|
|
-<p>Dmarc (Domain Message Authentication, Reporting & Conformance) indique les politiques d'envoi des messages issus du domaine concerné (grâce à DKIM et SPF), indique quelle politique utiliser si les conditions ne sont pas respectées (validations SPF ou DKIM , et peut éventuellement demander un rapport en cas d'échec de livraison du message.</p>
|
|
|
+<p>Dmarc (Domain Message Authentication, Reporting & Conformance) précise les politiques d'envoi des messages issus du domaine concerné (grâce à DKIM et SPF), indique quelle politique utiliser si les conditions ne sont pas respectées (validations SPF ou DKIM , et peut éventuellement demander un rapport en cas d'échec de livraison du message.</p>
|
|
|
<p>La mise en place de DMARC nécessite de configurer/installer opendmarc, de mettre en place l'enregistrement TXT dans le fichier de zone DNS et de configurer le <strong>hook</strong> dans Postfix.</p>
|
|
|
<h3 id="installation-de-opendmarc">Installation de Opendmarc</h3>
|
|
|
-<pre><code>root@aijan:/home/ericadmin# apt install opendmarc
|
|
|
+<pre><code>root@atom:/home/ericadmin# apt install opendmarc
|
|
|
Lecture des listes de paquets... Fait
|
|
|
-Construction de l'arbre des dépendances
|
|
|
+Construction de l'arbre des dépendances
|
|
|
Lecture des informations d'état... Fait
|
|
|
The following additional packages will be installed:
|
|
|
libdbd-mysql-perl libdbi-perl libencode-locale-perl libhttp-date-perl libhttp-message-perl libio-html-perl liblwp-mediatypes-perl libopendbx1-mysql libopendmarc2
|
|
|
libspf2-2 libtimedate-perl liburi-perl publicsuffix
|
|
|
-...
|
|
|
+etc ...
|
|
|
+
|
|
|
Paramétrage de libdbd-mysql-perl (4.041-2) ...
|
|
|
Paramétrage de opendmarc (1.3.2-2+deb9u1) ...
|
|
|
Traitement des actions différées (« triggers ») pour libc-bin (2.24-11+deb9u3) ...
|
|
@@ -575,9 +619,9 @@ Traitement des actions différées (« triggers ») pour systemd (232-25+deb9u3)
|
|
|
|
|
|
<p>Voilà, opendmarc est installé. Passons à sa configuration.</p>
|
|
|
<h3 id="configuration-de-opendmarc">Configuration de Opendmarc</h3>
|
|
|
-<p>2 fichiers sont à configurer.
|
|
|
-La configuration se fait dans /etc/opendmarc.conf et dans /etc/default/opendmarc:
|
|
|
-Comme d'habitude, faite une copie de sauvegarde du fichier d'origine avant modification.</p>
|
|
|
+<p>2 fichiers sont à configurer.</p>
|
|
|
+<p>La configuration se fait dans /etc/opendmarc.conf et dans /etc/default/opendmarc:</p>
|
|
|
+<p>Comme d'habitude, faite une copie de sauvegarde du fichier d'origine avant modification.</p>
|
|
|
<p><strong>Fichier /etc/opendmarc.conf</strong>:</p>
|
|
|
<pre><code class="shell"># This is a basic configuration that can easily be adapted to suit a standard
|
|
|
# installation. For more advanced options, see opendkim.conf(5) and/or
|
|
@@ -625,7 +669,7 @@ Syslog true
|
|
|
|
|
|
## SyslogFacility facility-name
|
|
|
## <-->default "mail"
|
|
|
-##
|
|
|
+##
|
|
|
## Log via calls to syslog(3) using the named facility. The facility names
|
|
|
## are the same as the ones allowed in syslog.conf(5).
|
|
|
#
|
|
@@ -633,7 +677,7 @@ Syslog true
|
|
|
|
|
|
## TrustedAuthservIDs string
|
|
|
## <-->default HOSTNAME
|
|
|
-##
|
|
|
+##
|
|
|
## Specifies one or more "authserv-id" values to trust as relaying true
|
|
|
## upstream DKIM and SPF results. The default is to use the name of
|
|
|
## the MTA processing the message. To specify a list, separate each entry
|
|
@@ -645,7 +689,7 @@ Syslog true
|
|
|
|
|
|
## UMask mask
|
|
|
## <-->default (none)
|
|
|
-##
|
|
|
+##
|
|
|
## Requests a specific permissions mask to be used for file creation. This
|
|
|
## only really applies to creation of the socket when Socket specifies a
|
|
|
## UNIX domain socket, and to the HistoryFile and PidFile (if any); temporary
|
|
@@ -657,7 +701,7 @@ UMask 0002
|
|
|
|
|
|
## UserID user[:group]
|
|
|
## <-->default (none)
|
|
|
-##
|
|
|
+##
|
|
|
## Attempts to become the specified userid before starting operations.
|
|
|
## The process will be assigned all of the groups and primary group ID of
|
|
|
## the named userid unless an alternate group is specified.
|
|
@@ -675,7 +719,7 @@ SoftwareHeader true
|
|
|
</code></pre>
|
|
|
|
|
|
<p>On crée le répertoire suivant: /etc/opendmarc et on crée un fichier qui va contenir la liste des machines auxquelles vous avez confiance.</p>
|
|
|
-<pre><code>root@aijan:/etc# mkdir /etc/opendmarc
|
|
|
+<pre><code class="shell">root@atom:/etc# mkdir /etc/opendmarc
|
|
|
</code></pre>
|
|
|
|
|
|
<p>On crée le fichier <strong>/etc/opendmarc/ignore.hosts</strong> avec le contenu suivant (le fichier ignore.hosts a été déclaré dans le fichier /etc/opendmarc.conf):</p>
|
|
@@ -692,8 +736,8 @@ SoftwareHeader true
|
|
|
<blockquote>
|
|
|
<p>service opendmarc restart</p>
|
|
|
</blockquote>
|
|
|
-<p>Mise en place du hook dans postfix:
|
|
|
-Nous modifierons les 2 lignes suivantes dans le fichier: /etc/postfix/main.cf:</p>
|
|
|
+<p>Mise en place du hook dans postfix:</p>
|
|
|
+<p>Nous modifierons les 2 lignes suivantes dans le fichier: /etc/postfix/main.cf:</p>
|
|
|
<blockquote>
|
|
|
<p>smtpd_milters = inet:localhost:12301,inet:localhost:54444
|
|
|
non_smtpd_milters = inet:localhost:12301,inet:localhost:54444</p>
|
|
@@ -705,7 +749,7 @@ Configuration de l'enregistrement DNS dans le fichier de zone (ne pas oublier d'
|
|
|
</blockquote>
|
|
|
<p>Test d'envoi de messages:</p>
|
|
|
<blockquote>
|
|
|
-<p>Authentication-Results: aijan.yojik.net; dmarc=pass </p>
|
|
|
+<p>Authentication-Results: atom.yojik.net; dmarc=<strong>pass</strong></p>
|
|
|
</blockquote>
|
|
|
<p>Ça fonctionne :)</p>
|
|
|
<pre><code>
|