| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| garantir_la_reputation_d_un_serveur_de_mail [2023/11/11 16:05] – [DKIM] Flaz | garantir_la_reputation_d_un_serveur_de_mail [2024/02/02 16:07] (Version actuelle) – [DKIM] Flaz |
|---|
| Si l'on souhaite bénéficier de DKIM pour expédier des mail signés pour d'autres noms de domaines que ceux gérés par le serveur, il convient de les ajouter à la listes des «Extra domains to sign for». | Si l'on souhaite bénéficier de DKIM pour expédier des mail signés pour d'autres noms de domaines que ceux gérés par le serveur, il convient de les ajouter à la listes des «Extra domains to sign for». |
| |
| **On n'oubliera pas** déclarer manuellement la clé dans les zones correspondantes, sur les serveurs qui en ont la charge. | **On n'oubliera pas** de déclarer manuellement la clé dans les zones correspondantes, via un enregistrement TXT, sur les serveurs qui en ont la charge. |
| | |
| | <note warning>Un courriel signé DKIM avec une signature introuvable((Ou pire : obsolète !)) court un risque beaucoup plus élevé d'être considéré comme un pourriel qu'un courriel non signé. Y penser lorsqu'on ajoute des domaines que l'on devra gérer manuellement.</note> |
| | |
| | == Nom de domaine == |
| | |
| | Le nom de domaine figurant dans l'enregistrement TXT a une structure particulière : |
| | <code><selecteur>._domainkey.<nom du domaine de mail></code> |
| | par exemple: |
| | <code>toto._domainkey.mondomaine.org.</code> |
| | |
| | Le nom de domaine sur lequel porte l'enregistrement TXT apparaît bien comme un sous-domaine du nom de domaine pour lequel on valide la signature d'envoi de mail (ici, //mondomaine.org.//((En notation complète, rattaché au domaine racine nommé « . ». Dans ce cas précis, la notation «toto._domainkey» seule, sans mentionner le nom de domaine parent, serait également valide mais je recommande l'utilisation de la notation générale.))). |
| | |
| | == Clé == |
| | |
| | La manipulation de la chaîne de caractères constituant la clé est particulièrement délicate, en raison de sa longueur. C'est pourquoi un simple copier/coller est dangereux. En effet, la plupart des interfaces utilisées effectuent un reformatage de cette chaîne de caractères, pour des raisons de présentation ou pour « mâcher le travail » des éditeurs de zone DNS((Les chaînes de caractères d'un enregistrement TXT pouvant être limitées à 255 caractères, le champ TXT peut se voir découpé en plusieurs chaînes.)). |
| | |
| | Dans un éditeur de texte, on s'assurera donc que l'intégralité de la chaîne de caractères tient en une seule ligne. Si tel n'est pas le cas, on la reformatera pour qu'il en soit ainsi, avant de la copier pour la coller dans l'éditeur de zone DNS. |
| | |
| | Une fois la zone enregistrée, on s'assurera que la valeur du champ est bien celle que l'on souhaite. Autrement dit, on s'assure que l'éditeur de zone ne nous a joué de mauvais tour. Plusieurs essais, avec des syntaxes différentes, peuvent être nécessaires pour atteindre le résultat voulu. |
| | |
| | == Marche à suivre == |
| | |
| | Les « " » ne font pas partie du texte ! |
| | |
| | - champ //nom// de l’enregistrement DNS |
| | - on récupère le sélecteur utilisé par le serveur d'envoi de mail (ex : "toto") |
| | - on concatène "._domainkey." |
| | - on concatène le nom du domaine pour lequel on veut valider la signature (ex : "mondomaine.org.") |
| | - champ //valeur// de l'enregistrement DNS |
| | - on déclare la version de dkim et le type de signature (ex : " v=DKIM1; k=rsa; t=s; ") |
| | - on concatène la clé (ex : " p=MIIBIjANBgkqhkiG9w0B…CmiQIDAQAB ") |
| | |
| | |
| |
| <note warning>En termes de pourriels, un mail signé avec une clé introuvable est beaucoup plus mal noté qu'une mail sans signature DKIM.</note> | |
| |
| ==== DMARC ==== | ==== DMARC ==== |
