| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| dkim [2025/08/25 21:47] – [Paramétrage] seb | dkim [2025/08/31 10:12] (Version actuelle) – [Paramétrage] seb |
|---|
| ====== DKIM / DomainKeys ====== | ====== DKIM ====== |
| |
| ===== Préambule ===== | ===== Préambule ===== |
| |
| DKIM est une méthode de lutte contre le spam, le scam, le phishing et toute forme d'emails indésirables. | DKIM (DomainKeys) est une méthode de lutte contre le spam, le scam, le phishing et toute forme d'emails indésirables. |
| |
| Il s'agit d'une méthode de signature d'emails sortants permettant l'identification de l'expéditeur. DKIM utilise des enregistrements DNS de forme TXT (ou DKIM pour certains hébergeurs), conjointement à des entêtes ajoutés aux emails par le serveur de mails (ou par script). | Il s'agit d'une méthode de signature d'emails sortants permettant l'identification de l'expéditeur par validation du domaine. DKIM utilise des enregistrements DNS de forme TXT (ou DKIM pour certains hébergeurs), conjointement à des entêtes ajoutés aux emails par le serveur de mails (ou par script). |
| |
| | Le MTA qui reçoit l'email signé peut consulter l'enregistrement DNS, se servir de la clef publique pour décoder la signature, ce qui authentifie la provenance de l'email puisqu'il s'agit bien du bon domaine. |
| ===== Paramétrage ===== | ===== Paramétrage ===== |
| |
| Tout d'abord, on paramètre le service DKIM du serveur de mails. Par exemple pour **MailEnable**, dans le menu à gauche, sélectionner le domaine (/ex : **//inoki.fr//**), clique droit pour accéder aux propriétés. Dans l'onglet **//DKIM//**, on coche la case indiquant la signature des emails sortants, on créé un sélecteur (//**myselector**//) avec une clef de type **//rsa-256//**. C'est cette clef publique qui devra être renseignée dans le 2ème enregistrement DNS. | Tout d'abord, on paramètre le service DKIM du serveur de mails. Par exemple pour **MailEnable**, dans le menu à gauche, sélectionner le domaine (/ex : **//mondomaine.com//**), clique droit pour accéder aux propriétés. Dans l'onglet **//DKIM//**, on coche la case indiquant la signature des emails sortants, on créé un sélecteur (//**myselector**//) avec une clef de type **//rsa-256//**. C'est cette clef publique qui devra être renseignée dans le 2ème enregistrement DNS. |
| |
| On créé ensuite un enregistrement DNS de nom "**//_domainkey.mondomaine.com//**" avec les paramètres suivants, par paires de type "variable=valeur" et séparées par des ";". | On créé ensuite un enregistrement DNS de nom "**//_domainkey.mondomaine.com//**" avec les paramètres suivants, par paires de type "variable=valeur" et séparées par des ";". |
| |''o=''|Politique d'emails sortants|• ''-'' tous les emails doivent être signés| | |''o=''|Politique d'emails sortants|• ''-'' tous les emails doivent être signés| |
| |:::|:::|• ''∼'' certains emails sont signés (par défaut)| | |:::|:::|• ''∼'' certains emails sont signés (par défaut)| |
| |''r=''|Adresse email pour recevoir un rapport lors des échecs (ex : **//postmaster@mondomain.com//**)|| | |''r=''|Adresse email pour recevoir un rapport lors des échecs (ex : **//postmaster@mondomaine.com//**)|| |
| |''n=''|Notes à l'attention des humains, n'a aucun effet dans le processus|| | |''n=''|Notes à l'attention des humains, n'a aucun effet dans le processus|| |
| |
| Exemple pour **//Inoki.fr//** : ''o=∼'' (certains emails seront signés) | Exemple pour **//mondomaine.com//** : ''o=∼'' (certains emails seront signés) |
| |
| On créé enfin un autre enregistrement DNS de nom "**//myselector._domainkey.mondomaine.com//**" avec les paramètres suivants, par paires de type "variable=valeur" et séparées par des ";". Ces paramètres doivent être en corrélation avec ceux de la section DKIM du serveur de mails (le nom du sélecteur doit être celui créé dans le serveur de mails). | On créé enfin un autre enregistrement DNS de nom "**//myselector._domainkey.mondomaine.com//**" avec les paramètres suivants, par paires de type "variable=valeur" et séparées par des ";". Ces paramètres doivent être en corrélation avec ceux de la section DKIM du serveur de mails (le nom du sélecteur doit être celui créé dans le serveur de mails). |
| |''t=''|Mode test|• ''y'' indique que ce domaine teste l'implémentation de DomainKey et donc que le MTA destinataire devrait traiter de façon identique l'email, qu'il réussisse ou échoue au test DKIM. On ne l'utilise que le temps des tests| | |''t=''|Mode test|• ''y'' indique que ce domaine teste l'implémentation de DomainKey et donc que le MTA destinataire devrait traiter de façon identique l'email, qu'il réussisse ou échoue au test DKIM. On ne l'utilise que le temps des tests| |
| |
| Exemple pour **//Inoki.fr//** : <code>v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1I7GppYDEmGMmVskIuHG8p9sRoBTH2X1na1Ts/Li5aukMzwWc2DMexdtLy1IC0mtuUYGHu+IftqDmguzYHFGu5m7UTjnZUxl2LasjsRdFDkgHXvbKPd8htjONu7gDzRAd9iS9MjAMehWlXVCookufdpfbIJCSMJotSRwlg57ywfgcePXro7zeZinLkhR2kDHFFyEEqZPwkBxKfMCtIppk71RvBhfp3AG/ExtKkVpyRnjtAuoGpxmT4mT0Ufy1LMsuwBaLHivjE8pGh10bl2bKjz+nqggDW4Hcd/LmuxnsMS3Xvqc3Hvzq0QgyqsGhdatRPED1KAOSLPPZq7J3TJXyQIDAQAB;</code> | Exemple pour **//mondomaine.com//** : <code>v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1I7GppYDEmGMmVskIuHG8p9sRoBTH2X1na1Ts/Li5aukMzwWc2DMexdtLy1IC0mtuUYGHu+IftqDmguzYHFGu5m7UTjnZUxl2LasjsRdFDkgHXvbKPd8htjONu7gDzRAd9iS9MjAMehWlXVCookufdpfbIJCSMJotSRwlg57ywfgcePXro7zeZinLkhR2kDHFFyPOfZPwkBxKfMCtIppk71RvBhfp3AG/ExtKkVpyRnjtAuoGpxmT4mT0Ufy1LMsuwBaLHivjE8pGh10bl2bKjz+nqggDW4Hcd/LmuxnsMS3Xvqc3Hvzq0QgyqsGhdatRPED1KAOSLPPZq7J3TJXyQIDAQAB;</code> |
