serveur_hebergement:serveur_mail:partie_4_spf_dmarc_et_dkim

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
serveur_hebergement:serveur_mail:partie_4_spf_dmarc_et_dkim [2022/11/08 14:04] fateserveur_hebergement:serveur_mail:partie_4_spf_dmarc_et_dkim [2023/08/08 14:00] (Version actuelle) – modification externe 127.0.0.1
Ligne 3: Ligne 3:
 SPF, DMARC et DKIM sont des mécanismes permettant de lutter contre le spam. Voyons comment fonctionnent plus en détails ces différents mécanismes. SPF, DMARC et DKIM sont des mécanismes permettant de lutter contre le spam. Voyons comment fonctionnent plus en détails ces différents mécanismes.
  
-===== Fonctionnent du SPF =====+===== Fonctionnement du SPF =====
  
 De base, le protocole SMTP ne permet pas de vérifier qu'un expéditeur a bien le droit d'envoyer un courriel depuis tel domaine. C'est là que le SPF (Sender Policy Framework ou Système de Politique d'Envoi en français) va servir.  De base, le protocole SMTP ne permet pas de vérifier qu'un expéditeur a bien le droit d'envoyer un courriel depuis tel domaine. C'est là que le SPF (Sender Policy Framework ou Système de Politique d'Envoi en français) va servir. 
 Une entrée DNS de type TXT est ajoutée au nom de domaine, listant les adresses IP autorisés et/ou interdites à envoyer du courriel depuis ce domaine. Lorsque le destinataire (Postfix, pas la personne qui reçoit le courriel) reçoit un courrier, il interroge le domaine pour récupérer les adresses IP autorisées et/ou interdites à envoyer des courriels et vérifie si l'adresse IP qui a envoyée le courriel est autorisée ou non à envoyer des courriels. Une entrée DNS de type TXT est ajoutée au nom de domaine, listant les adresses IP autorisés et/ou interdites à envoyer du courriel depuis ce domaine. Lorsque le destinataire (Postfix, pas la personne qui reçoit le courriel) reçoit un courrier, il interroge le domaine pour récupérer les adresses IP autorisées et/ou interdites à envoyer des courriels et vérifie si l'adresse IP qui a envoyée le courriel est autorisée ou non à envoyer des courriels.
  
-===== Fonctionnent de DKIM =====+===== Fonctionnement de DKIM =====
  
 DKIM (DomainKeys Identified Mail ou Courrier identifié par clés de domaine en français), est un système d'authentification à base de clés permettant au destinataire de s'assurer que le courriel a bien été envoyé depuis le domaine et qu'il n'y a pas d'usurpation.  DKIM (DomainKeys Identified Mail ou Courrier identifié par clés de domaine en français), est un système d'authentification à base de clés permettant au destinataire de s'assurer que le courriel a bien été envoyé depuis le domaine et qu'il n'y a pas d'usurpation. 
 Le serveur qui envoi le courriel met à disposition une clé publique via une entrée DNS de type TXT et signe tous les courriels envoyés. Le destinataire vérifie que la signature du courriel est valide à l'aide de la clé contenue dans l'entrée DNS de type TXT. Si la signature est valide, le destinataire sait que le courriel a bien été envoyé depuis ce domaine et n'a pas été modifié après son envoi. Le serveur qui envoi le courriel met à disposition une clé publique via une entrée DNS de type TXT et signe tous les courriels envoyés. Le destinataire vérifie que la signature du courriel est valide à l'aide de la clé contenue dans l'entrée DNS de type TXT. Si la signature est valide, le destinataire sait que le courriel a bien été envoyé depuis ce domaine et n'a pas été modifié après son envoi.
  
-===== Fonctionnent de DMARC =====+===== Fonctionnement de DMARC =====
  
 DMARC (Domain-based message authentication, reporting and conformance ou Authentification, rapport et conformité de message basé sur le domaine en français) est lié aux mécanismes SPF et DKIM. DMARC permet d'indiquer au destinataire que le courriel est protégé par SPF et/ou DKIM et comment gérer le courriel en cas d'échec d'un ou des deux mécanismes : l'accepter, le mettre en en quarantaine ou le rejeter. DMARC (Domain-based message authentication, reporting and conformance ou Authentification, rapport et conformité de message basé sur le domaine en français) est lié aux mécanismes SPF et DKIM. DMARC permet d'indiquer au destinataire que le courriel est protégé par SPF et/ou DKIM et comment gérer le courriel en cas d'échec d'un ou des deux mécanismes : l'accepter, le mettre en en quarantaine ou le rejeter.
Ligne 120: Ligne 120:
 Ces deux lignes indiquent que lorsqu'un mail sera envoyé depuis votre domaine ou sous-domaine (seconde ligne) il devra être signé avec la clé privée identifiée par default._domainkey.domaine.fr Ces deux lignes indiquent que lorsqu'un mail sera envoyé depuis votre domaine ou sous-domaine (seconde ligne) il devra être signé avec la clé privée identifiée par default._domainkey.domaine.fr
  
-Dans répertoire /etc/opendkim/keys/ créez un répertoire domaine.fr : <code bash>sudo mkdir /etc/opendkim/keys/domaine.fr</code> +Dans répertoire /etc/opendkim/keys/ créez un répertoire domaine.fr :  
-Lancez la commande suivante pour générer les clés : <code bash>sudo opendkim-genkey -b 2048 -s default -d domaine.fr -D /etc/opendkim/keys/domaine.fr</code>+<code bash>sudo mkdir /etc/opendkim/keys/domaine.fr</code> 
 +Lancez la commande suivante pour générer les clés :  
 +<code bash>sudo opendkim-genkey -b 2048 -s default -d domaine.fr -D /etc/opendkim/keys/domaine.fr</code>
 Cela va créer deux clés 2048 bits, une privée et une publique, pour le domaine domaine.fr avec default comme sélecteur. Cela va créer deux clés 2048 bits, une privée et une publique, pour le domaine domaine.fr avec default comme sélecteur.
  
-Une fois les clés créées, changer le propriétaire avec la commande : <code bash>sudo chown opendkim:opendkim /etc/opendkim/keys/domaine.fr/default.private</code> +Une fois les clés créées, changez le propriétaire avec la commande :  
-Puis changez les permissions afin que seul l'utilisateur opendkim y ait accès : <code bash>sudo chmod 640 /etc/opendkim/keys/domaine.fr/default.private</code>+<code bash>sudo chown opendkim:opendkim /etc/opendkim/keys/domaine.fr/default.private</code>
  
-Récupérez le contenu de la clé publique : <code bash>sudo cat /etc/opendkim/keys/domaine.fr/default.txt</code>  +Puis changez les permissions afin que seul l'utilisateur opendkim y ait accès  
-Ajoutez ce contenu dans le fichier de zone de bind (/etc/bind/pri.domaine.fr par exemple) en supprimant le "IN" et incrémentez le serial pour que la mise à jour soit prise en compte.+<code bash>sudo chmod 640 /etc/opendkim/keys/domaine.fr/default.private</code>
  
-Dans /etc/postfix/main.cf ajouter à la fin les lignes suivantes pour que Postfix puisse appeler OpenDKIM :+Récupérez le contenu de la clé publique :  
 +<code bash>sudo cat /etc/opendkim/keys/domaine.fr/default.txt</code>  
 + 
 +Créez une entrée DNS de type TXT nommée default._domainkey et ayant comme valeur le contenu de la clé publique en supprimant le "IN". Incrémentez le serial pour que la mise à jour soit prise en compte. 
 + 
 +Ouvrez le fichier main.cf : 
 +<code bash>sudo nano /etc/postfix/main.cf</code>  
 +Ajouter à la fin les lignes suivantes pour que Postfix puisse appeler OpenDKIM :
 <code> <code>
 #DKIM #DKIM
Ligne 138: Ligne 147:
 non_smtpd_milters = $smtpd_milters non_smtpd_milters = $smtpd_milters
 </code> </code>
-Redémarrer Postfix et OpenDKIM 
- 
  
-Pour DMARC, ajoutez une entrée DNS type TXT _dmarc : <code> "v=DMARC1; p=reject; rua=mailto:postmaster@domaine.fr; ruf=mailto:admin@domaine.fr; fo=0:1:d:s; adkim=s; aspf=s; sp=reject"</code> 
  
-Il faut également que Postfix vérifie le SPF des mails que l'on reçoit afin de se protéger en partie des spams. +===== Installation de DMARC =====
- : +
  
 +Pour DMARC, ajoutez une entrée DNS type TXT _dmarc : <code> "v=DMARC1; p=reject; rua=mailto:postmaster@domaine.fr; ruf=mailto:admin@domaine.fr; fo=1; adkim=s; aspf=s; sp=reject"</code>
  
 +A quoi correspond toutes ces options :
 +  * v=DMARC1 : indique la version du protocole
 +  * p=reject : indique la politique en cas d'échec du SPF ou DKIM. On rejette le courriel.
 +  * rua=mailto:postmaster@domaine.fr : adresse électronique qui recevra les rapports agrégés
 +  * ruf=mailto:admin@domaine.fr : adresse électronique qui recevra les rapports d'échec détaillés
 +  * fo=1: condition d'envoi des rapports détaillés. Avec 1 comme valeur, un rapport sera envoyé en cas d'échec de DKIM et/ou de SPF
 +  * adkim=s : Mode de cohérence des noms de domaine pour DKIM. "s" correspond au mode strict où le nom de domaine DKIM doit correspondre exactement au domaine d'expédition. Un envoi depuis un sous-domaine finira en échec.
 +  * aspf=s : pareil que adkim mais pour SPF.
 +  * sp=reject : pareil que p mais pour les sous-domaines
  
  
-Vous pouvez tester votre configuration sur https://www.mail-tester.com/+Vous pouvez tester votre configuration sur [[https://www.mail-tester.com/]]
  
 Source : https://www.linuxbabe.com/mail-server/build-email-server-from-scratch-debian-postfix-smtp Source : https://www.linuxbabe.com/mail-server/build-email-server-from-scratch-debian-postfix-smtp
  • serveur_hebergement/serveur_mail/partie_4_spf_dmarc_et_dkim.1667916242.txt.gz
  • Dernière modification : 2023/08/08 14:01
  • (modification externe)