Partie 4 : SPF, DMARC et DKIM

Expliquer ce qu'est SPF et DMARC.

Pour SPF, ajoutez une entrée DNS type TXT :

v=spf1 mx ip4:adresseIPV4 ip6:adresseIPV6 ~all

Pour DMARC, ajoutez une entrée DNS type TXT _dmarc :

 "v=DMARC1; p=reject; rua=mailto:postmaster@domaine.fr; ruf=mailto:admin@domaine.fr; fo=0:1:d:s; adkim=s; aspf=s; sp=reject"

Il faut également que Postfix vérifie le SPF des mails que l'on reçoit afin de se protéger en partie des spams. Installez postfix-policyd-spf-python :

sudo aptitude install postfix-policyd-spf-python

Ouvrez le fichier /etc/postfix/master.cf et ajoutez la ligne suivante afin que Postfix démarre le programme policyd-spf au démarrage :

policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

Ouvrez le fichier /etc/postfix/main.cf at ajoutez les lignes suivantes :

policyd-spf_time_limit = 3600
smtpd_recipient_restrictions =
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_unauth_destination,
   reject_rbl_client zen.spamhaus.org,
   check_policy_service unix:private/policyd-spf

Ces lignes servent à éviter que n'importe qui puisse envoyer des mails via notre serveur et également de rejeter les mails qui ne sont pas adressés à notre domaine. Permit_mynetworks et permit_sasl_authenticated autorisent le serveur et les clients authentifiés à envoyer des mails. Reject_unauth_destination rejette les connexions provenant d'un client non authentifié ainsi que les mails non adressés à notre domaine. Reject_rbl_client zen.spamhaus.org rejette les connexions provenant d'IP/nom de domaine listés dans la liste spamhaus. Check_policy_service unix:private/policyd-spf active la vérification de SPF pour les mails entrants.