DKIM – Signer ses mails

Je ne vais pas décrire ce qu’est DKIM, ni à quoi ça sert, d’autres le font bien mieux que moi :
Blog Stéphane Bortzmeyer

Il s’agit juste d’un mémo expliquant comment signer les messages sortants, la vérification des mails entrants ne sera pas abordée ici, disons simplement qu’il existe des modules dans la plupart des antispam.

Je note juste ici un exemple de configuration avec dkim-filter et Postfix sur une Debian Squeeze.

On part d’un postfix bien configuré qui envoi directement ses mails sur Internet.

On commence par installer le paquet dkim-filter
apt-get install dkim-filter

Puis on créé un certificat qui va nous servir à signer les mails

On configure dkim-filter
/etc/default/dkim-filter :

/etc/dkim-filter.conf

/etc/postfix/dkim/InternalHosts.list

/etc/postfix/dkim/PeerList.list

S’en est fini de la configuration de dkim-filter, il faut maintenant dire à postfix de l’utiliser :
/etc/postfix/main.cf

On relance les 2 daemons

et on test l’envoi de mails, normalement une signature devrait être présente dans l’entête des messages sortants du serveur.
Si c’est correct, on peut ajouter l’enregistrement DNS contenant la clef public

On peut alors tester en conditions réelles l’envoi de mails vers une domaine qui supporte la vérification DKIM (gmail par exemple)
S’il n’y a pas d’erreurs, on peut ajouter un enregistrement ADSP (Author Domain Signing Practices) dans les DNS, attention, l’enregistrement suivant indique que TOUS les messages non signés venant de mondomaine.tld doivent être jetés !!

Cette configuration ne doit pas être installée en production, elle est très incomplète et potentiellement dangereuse pour vos mails !!!
Il s’agit juste d’un mémo, pour le reste RTFM.

sources :

Laisser un commentaire