DKIM, SPF et DMARC dans Hestia CP
Description de la méthode d'authentification des e-mails permettant au destinataire de vérifier que le message a bien été envoyé depuis le domaine revendiqué.
Hestia CP est l'un des panneaux de gestion de serveur les plus populaires, simples et pratiques. Il permet d'ajouter de nouveaux sites, de gérer la messagerie et les bases de données, de configurer des tâches Cron, d'effectuer des mises à jour, d'utiliser le gestionnaire de fichiers et d'ajouter des certificats SSL.
Remarque
Vous pouvez installer le panneau vous-même ou en confier l'installation sur nos VPS ou serveurs dédiés.
DKIM (DomainKeys Identified Mail) est une méthode d'authentification des e-mails conçue pour détecter la falsification des messages électroniques.
La technologie DKIM combine plusieurs méthodes anti-phishing et anti-spam existantes afin d'améliorer la classification et l'identification des e-mails légitimes.
Au lieu d'une adresse IP traditionnelle, DKIM ajoute au message une signature numérique associée au nom de domaine de l'organisation pour identifier l'expéditeur. La signature est automatiquement vérifiée côté destinataire, après quoi des listes blanches et des listes noires sont appliquées pour déterminer la réputation de l'expéditeur.
DKIM est configuré pour chaque domaine ; vous aurez donc la possibilité de l'activer lors de la création d'un domaine, comme illustré ci-dessous.
Une fois le domaine créé, vous devez créer un enregistrement texte (TXT) pour ce domaine en utilisant sa clé publique DKIM.
Via SSH, exécutez la commande suivante pour obtenir la clé publique DKIM :
v-list-mail-domain-dkim USER DOMAIN [FORMAT]
Elle prend en arguments le nom de l'utilisateur sous lequel le domaine a été créé ainsi que le domaine lui-même, et vous permet d'obtenir les clés privée et publique.
La partie inférieure de la sortie correspond à la clé publique du domaine DKIM.
- Créez ensuite un fichier avec l'extension .txt contenant l'enregistrement TXT à ajouter dans notre panneau DNS.
Le contenu du fichier se présente comme suit :
mail._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUA4GNADCBiQKBgQDlTDn8Yqb5kQ0pzaR/4DBTF4Y5jIKSJY1DAE1WFcG88qpIc66cmQdeNjfpovZzUWynuS6GropUodNbUsw+wvj/AcU58udlQgKL0BYtMaYSm+xbEdv5N6UAoOhOrxcXmQ/NXNzUDbsyjr49EaDyRd25B8Jh3U6KSi3WSZzn+rKwIDAQAB" ; ----- DKIM key dkim for mecmep.site
mail._domainkey — à saisir dans le champ Hôte.
"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUA4GNADCBiQKBgQDlTDn8Yqb5kQ0pzaR/4DBTF4Y5jIKSJY1DAE1WFcG88qpIc66cmQdeNjfpvZzUWynuS6GropUodNbUsw+wvj/AcU58udlQgKL0BYtMaYSm+xbEdv5N6UAoOhOrxcXmQ/NXNzUDbsyjr49EaDyRd25B8Jh3U6KSi3WSZzn+rKwIDAQAB"
À saisir dans le champ Valeur ; vous pouvez conserver les guillemets doubles pour plus de commodité.
Important
La clé doit tenir sur une seule ligne. Si elle contient des retours à la ligne, copiez-la dans un éditeur de texte et supprimez-les afin d'obtenir une longue ligne continue.
SPF (Sender Policy Framework) est une extension du protocole SMTP pour l'envoi d'e-mails.
SPF permet au propriétaire d'un domaine de spécifier, dans un enregistrement TXT correspondant au nom de domaine, la liste des serveurs autorisés à envoyer des e-mails avec des adresses de retour dans ce domaine. Les agents de transfert de courrier qui reçoivent des messages peuvent interroger les informations SPF via une simple requête DNS, vérifiant ainsi le serveur de l'expéditeur. SPF vous permet de définir les serveurs et adresses IP autorisés à envoyer des e-mails depuis vos domaines. Cette fonctionnalité est conçue pour bloquer les messages sortants indésirables.
L'enregistrement SPF est écrit dans l'enregistrement TXT du domaine. Concrètement, vous devez ajouter un enregistrement TXT et y placer l'enregistrement SPF comme valeur. Dans l'enregistrement SPF, vous devez indiquer l'adresse IP du serveur depuis lequel les messages seront envoyés. Remplacez 111.11.11.111 par l'adresse IP de votre serveur :
"v=spf1 +a +mx +ip4:111.11.11.111 ~all"
À saisir dans le champ Valeur ; vous pouvez conserver les guillemets doubles pour plus de commodité.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) — un standard qui ajoute une couche supplémentaire de vérification des e-mails et de protection contre le phishing et l'usurpation d'identité.
DMARC permet au propriétaire d'un domaine de définir, via un enregistrement TXT, les règles de vérification des messages et les actions que les systèmes de messagerie doivent effectuer lors de la réception d'un message au nom du domaine. L'objectif principal de DMARC est d'aider les serveurs de messagerie des destinataires à reconnaître les e-mails falsifiés et à décider comment les traiter.
Le système DMARC définit :
- La politique de vérification (paramètre p), qui indique ce qu'il faut faire avec les e-mails qui échouent à l'authentification (par exemple, « none » pour la collecte de rapports, « quarantine » pour le déplacement en spam, ou « reject » pour refuser la remise).
- Les adresses pour les rapports (paramètres rua et ruf), qui indiquent où envoyer les données sur les vérifications et les échecs pour analyse par l'expéditeur.
DMARC fonctionne en tandem avec SPF et DKIM, permettant de déterminer si les messages sont authentiques. Si un message échoue aux vérifications SPF et/ou DKIM, la politique DMARC décidera de le bloquer, de le marquer comme spam ou d'envoyer simplement un rapport au propriétaire du domaine.
Dans le panneau Hestia, sélectionnez le domaine pour lequel vous souhaitez configurer la politique DMARC et accédez à la section « Enregistrements DNS ».
Copiez l'enregistrement DMARC et ajoutez-le dans le panneau DNS de votre domaine.
_dmarc — à saisir dans le champ Hôte.
"v=DMARC1; p=quarantine; pct=100"
À saisir dans le champ Valeur ; vous pouvez conserver les guillemets doubles pour plus de commodité.
Aide
Une question ou besoin d'un coup de main ? Écrivez-nous via le système de tickets — nous sommes toujours là pour vous aider !