serveur_hebergement:serveur_mail:partie_4_spf_dmarc_et_dkim

Ceci est une ancienne révision du document !

Partie 4 : SPF, DMARC et DKIM

Expliquer ce qu'est SPF et DMARC.

Pour SPF, ajoutez une entrée DNS type TXT : 

v=spf1 mx ip4:adresseIPV4 ip6:adresseIPV6 ~all

Pour DMARC, ajoutez une entrée DNS type TXT _dmarc : 

 "v=DMARC1; p=reject; rua=mailto:postmaster@domaine.fr; ruf=mailto:admin@domaine.fr; fo=0:1:d:s; adkim=s; aspf=s; sp=reject"

Il faut également que Postfix vérifie le SPF des mails que l'on reçoit afin de se protéger en partie des spams. Installez postfix-policyd-spf-python : 

sudo aptitude install postfix-policyd-spf-python

Ouvrez le fichier /etc/postfix/master.cf et ajoutez la ligne suivante afin que Postfix démarre le programme policyd-spf au démarrage : 

policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

Ouvrez le fichier /etc/postfix/main.cf at ajoutez les lignes suivantes : 

policyd-spf_time_limit = 3600
smtpd_recipient_restrictions =
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_unauth_destination,
   reject_rbl_client zen.spamhaus.org,
   check_policy_service unix:private/policyd-spf

Ces lignes servent à éviter que n'importe qui puisse envoyer des mails via notre serveur et également de rejeter les mails qui ne sont pas adressés à notre domaine. Permit_mynetworks et permit_sasl_authenticated autorisent le serveur et les clients authentifiés à envoyer des mails. Reject_unauth_destination rejette les connexions provenant d'un client non authentifié ainsi que les mails non adressés à notre domaine. Reject_rbl_client zen.spamhaus.org rejette les connexions provenant d'IP/nom de domaine listés dans la liste spamhaus. Check_policy_service unix:private/policyd-spf active la vérification de SPF pour les mails entrants.

Expliquer ce qu'est DKIM.

Installez opendkim : 

sudo aptitude install opendkim opendkim-tools

Ajoutez l'utilisateur postfix au groupe opendkim : 

sudo adduser postfix opendkim

Ouvrez le fichier /etc/opendkim.conf. Décommentez les lignes 

#Mode                   sv
#SubDomains             no

Mode sv active la vérification pour les mails entrant et la signature pour les mails sortant et subdomains no désactive la gestion des sous-domaines.

Vous pourriez laisser un commentaire si vous étiez connecté.
  • serveur_hebergement/serveur_mail/partie_4_spf_dmarc_et_dkim.1662041333.txt.gz
  • Dernière modification : 2023/08/08 14:01
  • (modification externe)