Rendre légitime le serveur d'e-mails avec SPF, DKIM et DMARC

On va faire en sorte que notre serveur d'e-mail soit reconnu comme sécure par le monde extérieur, pour cela on va utiliser trois sortes de signature : SPF, DKIM et DMARC.

On commence par la signature SPF, il suffit d'ajouter une zone "TXT", sur le site du fournisseur de notre nom de domaine spou.net, qui ressemble à ceci :

p.spou.net.    3600    IN TXT    "v=spf1 mx ip4:172.31.253.254 -all"

Pour la signature DKIM, on exécute la commande suivante sur notre serveur :

# sudo amavisd-new showkeys

Dans notre exemple, cela va produire le résultat suivant :

; key#1 2048 bits, i=dkim, d=p.spou.net, /var/lib/dkim/p.spou.net.pem
dkim._domainkey.p.spou.net.      3600 TXT (
  "v=DKIM1; p="
  "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCApEAxI+gc8F1kqTbqM2lUPhV"
  "u3UKSJ4ozykyjOLUGIk6Yw3fuxvRHBDOt3N3g7VeRT5drcg26zRHrqv/eIZE6zHr"
  "QvzGAHdMI2hjeIPStUxozJWua4ixWeoMSXUAV7aPvJ2BAvSFFUmNucaoJ8fxPSF5"
  "syMJ/HYk3gSfV0b242/j/dWKtJi7gHnvs3J/dp73gYunsZOEovogokj6/jMfZ1b2"
  "aBXYzXGUI/XmobHWuKTRj2JYIcGhTU6VylYYuEtZC7Mj7SkYa11M3VCLq425IiNa"
  "VBnPLrNzv+c0GPHI56jlYQ7SGS1kLk+4KVSL65LipCZZAw1Yx2xF6oOw3pD3wfKu"
  "iwIDAQAB")

On retourne sur le site du fournisseur de notre nom de domaine spou.net pour ajouter une autre entrée DNS de type "TXT" avec ce contenu correspondant à l'affichage de la commande précédente dont il faut enlever tous les guillemets :

dkim._domainkey.p.spou.net. 3600 IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCApEAxI+gc8F1kqTbqM2lUPhVu3UKSJ4ozykyjOLUGIk6Yw3fuxvRHBDOt3N3g7VeRT5drcg26zRHrqv/eIZE6zHrQvzGAHdMI2hjeIPStUxozJWua4ixWeoMSXUAV7aPvJ2BAvSFFUmNucaoJ8fxPSF5syMJ/HYk3gSfV0b242/j/dWKtJi7gHnvs3J/dp73gYunsZOEovogokj6/jMfZ1b2aBXYzXGUI/XmobHWuKTRj2JYIcGhTU6VylYYuEtZC7Mj7SkYa11M3VCLq425IiNaVBnPLrNzv+c0GPHI56jlYQ7SGS1kLk+4KVSL65LipCZZAw1Yx2xF6oOw3pD3wfKuiwIDAQAB"

Pour finir, on va utiliser un troisième type de signature : DMARC. Il suffit de créer la zone "TXT" ci-dessous, les messages seront alors systématiquement rejetés lorsqu'ils semblent provenir de p.spou.net mais qu'ils ne sont pas validés par les contrôles DMARC. Les rapports globaux quotidiens sont ensuite envoyés par e-mail à postmaster@p.spou.net :

_dmarc.p.spou.net. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:postmaster@p.spou.net"

Dans le cas de l'ajout d'un nouveau nom de domaine qui sera géré par notre serveur, il faut suivre les instructions données dans la page suivante pour la signature DKIM https://docs.iredmail.org/sign.dkim.signature.for.new.domain.html

Commentaires

À propos des formats de texte
CAPTCHA
2 + 4 =
Trouvez la solution de ce problème mathématique simple et saisissez le résultat. Par exemple, pour 1 + 3, saisissez 4.
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.