DKIM et SPF dans ISPmanager5
Description de la méthode d'authentification des e-mails permettant au destinataire de vérifier que le message a bien été envoyé depuis le domaine déclaré.
« DKIM (DomainKeys Identified Mail) » est une méthode d'authentification des e-mails conçue pour détecter la falsification des messages envoyés par e-mail.
- Rendez-vous d'abord dans « Paramètres → Options » et cliquez sur « Serveur de messagerie (SMTP/POP3/IMAP) → Modifier ».
Cochez la case OpenDKIM (exim) et cliquez sur Appliquer les modifications.
- Ajoutez un domaine de messagerie via « Domaines → Domaines de messagerie → Créer ».
Lors de l'ajout, vous devez cocher la case « Activer DKIM ».
Les clés privée et publique pour DKIM sont générées dans le dossier /etc/exim4/ssl/ et portent les noms votre_domaine.com.private et votre_domaine.com.txt
Remarque : sur CentOS 7, les clés sont générées dans le dossier /etc/exim/ssl/_
- Le fichier qui nous intéresse est celui avec l'extension .txt — il contient l'enregistrement TXT à ajouter dans le panneau DNS.
Le contenu du fichier sera le suivant :
dkim._domainkey IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKKCAQnqd4PQCLAbjeDO1QIcfFwtd5GojPl2suLjCjmL6l9Bc7nrRlvAlvnLOQlQRH2A38UwvG3eyln9GbKbK8/Vmyu+xmhoWpGVP/PkaneMx1c/E0pN35DUK4cVuingeZRZWLNIkPTRKcNUWuFK4FN2IblA1z1PRUXNCfWjUMPqkQIDAQAB" ; ----- DKIM key dkim for mytestdomain.com
dkim._domainkey — à saisir dans le champ « Hôte ».
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgIIBCgKKCAQEAQnqd4PQCLAbjeDO1QIcfFwtd5GojPl2suLjCjmL6l9Bc7nrRlvAlvnLOQlQRH2A38UwvG3eyln9GbKbK8/Vmyu+xmhoWpGVP/PkaneMx1c/E0pN35DUK4cVuingeZRZWLNIkPTRKcNUWuFK4FN2IblA1z1PRUXNCfWJUMPqkQidAQAB
est à saisir dans le champ « Valeur ».
IMPORTANT : lors de la saisie de l'enregistrement dans le panneau DNS, veillez à supprimer les guillemets en début et en fin d'entrée, comme illustré dans la capture d'écran ci-dessus. De plus, la clé doit tenir sur une seule ligne — si des sauts de ligne sont présents, copiez la clé dans un éditeur de texte et supprimez-les afin d'obtenir une seule longue ligne.
Vérifier le bon fonctionnement de la signature DKIM est très simple. Il suffit d'envoyer un e-mail depuis n'importe quelle adresse de votre domaine vers un serveur de messagerie tiers, puis d'examiner le code source du message. Les en-têtes doivent contenir l'entrée « dkim=pass ». Avec Gmail ou Yandex, les messages signés sont identifiés par des indicateurs visuels spécifiques.
Vous pouvez également vérifier les signatures de votre boîte mail avec mail-tester.com et mxtoolbox.com.
« SPF (Sender Policy Framework) » est une extension du protocole d'envoi d'e-mails SMTP.
SPF permet au propriétaire d'un domaine de spécifier, dans un enregistrement TXT correspondant au nom de domaine, la liste des serveurs autorisés à envoyer des e-mails avec des adresses de retour dans ce domaine. Les agents de transfert de courrier qui reçoivent des messages peuvent interroger les informations SPF via une simple requête DNS, vérifiant ainsi le serveur de l'expéditeur. SPF vous permet de définir les serveurs et adresses IP autorisés à envoyer des e-mails depuis vos domaines. Cette fonctionnalité est conçue pour bloquer les messages sortants indésirables.
L'enregistrement SPF est inscrit dans l'enregistrement TXT du domaine. Concrètement, vous devez ajouter un enregistrement TXT et y placer l'enregistrement SPF comme valeur. Dans l'enregistrement SPF, vous devez indiquer l'adresse IP du serveur depuis lequel les messages seront envoyés. Remplacez 111.11.11.111 par l'adresse IP de votre serveur :
"v=spf1 +a +mx +ip4:111.11.11.111 ~all"
est à saisir dans le champ « Valeur ».
