3,054
edits
Changes
From SME Server
Jump to navigationJump to search
mLine 1,231:
Line 1,231: − Version 0.96 and above supports DKIM natively without the need for extra plugins.+ − All you have to do is to enable the DKIM signing and promulgate the DNS TXT entries to support it.+ − Enable the signing:+ − and then run:+ − + − to show the DNS entry(s) required.+ − Then you have to update your DNS.+ − + − also see [[bugzilla:9694]] and https://wikit.firewall-services.com/doku.php/smedev/qpsmtpd_096#documentation+ − More details are available [https://wiki.contribs.org/Email#Inbound_DKIM_.2F_SPF_.2F_DMARC here]+ − Incoming DKIM checking is also enabled out of the box.+ − + − In case you got a problem using the DKIM field provided with your DNS provider /registrar, please first contact them to ensure the problem is not how you try to enter the information. In the likelihood, you got "invalid field" or "too long field" errors and your provider is not able to help you or update its interface, you can generate a shorter DKIM key (with 1024 instead of the default 2048) this way: Line 1,268:
Line 1,267: − + − The default DKIM key is created in /home/e-smith/dkim_keys/default. To enable DKIM signing for all the domains that you manage:+ − If you want to disable dkim signing for a domain, you can use:+ + − The default behavior is to use the same key pair for all your domains. But you can create other key pairs for specific domain if you want. For example, if you want to use a specific key pair for the domain.net domain:+ + Line 1,285:
Line 1,286: − Now, the emails using a domain.net sender address will be signed by this new key instead of the default one.+ + Line 1,626:
Line 1,628: − + + + + − Signing your outbound emails is just part of the process. You now need to publish some DNS entries so everyone can check if the email they receive matches your policy. This part is not to be done on your SME Server, but on your public DNS provider. A script helps you by creating some sample DNS entries already formatted for a bind-like zone file. To use it:+ − qpsmtpd-print-dns <domain name> − If omitted, the primary domain name is assumed. − Example output:+ − Here are sample DNS entries you should add in your public DNS+ − The DKIM entry can be copied as is, but others will probably need to be adjusted+ − to your need. For example, you should either change the reporting email adress − for DMARC (or create the needed pseudonym) − Line 1,643:
Line 1,643: − All you have to do now is publish those records, but do note that there is a point to consider when publishing the default._domainkey DNS record, as produced by the ''qpsmtpd-print-dns'' command: if the DNS record includes '';t=y'' then as per the DKIM specification ([http://dkim.org/specs/rfc4871-dkimbase.html#keys RFC4781 section 3.6.1]) this means that your ''"...domain is testing DKIM. Verifiers MUST NOT treat messages from signers in testing mode differently from unsigned email, even should the signature fail to verify. Verifiers MAY wish to track testing mode results to assist the signer."'' − On the other hand, if no '';t=y'' is included, then it means you are intending to use DKIM in production mode. It might be a good idea to publish the DKIM DNS record first in testing mode ('';t=y'' included), check how things go and if everything is alright, remove the '';t=y'' part.+ +
→Publier vos entrées DNS
==DKIM Setup - qpsmtpd version >= 0.96==
==DKIM Setup - qpsmtpd version >= 0.96==
La version 0.96 et supérieure prend en charge DKIM de manière native sans avoir besoin de plugins supplémentaires.
Tout ce que vous avez à faire est d'activer la signature DKIM et de créer les entrées DNS TXT pour la prendre en charge.
Activez la signature :
db configuration setprop qpsmtpd DKIMSigning enabled
db configuration setprop qpsmtpd DKIMSigning enabled
signal-event email-update
signal-event email-update
et ensuite exécutez :
qpsmtpd-print-dns <domain name>
qpsmtpd-print-dns <nom_de_domaine>
pour voir la ou les entrée(s) DNS nécessaire(s).
Ensuite, vous devez mettre à jour votre DNS.
{{Tip box|msg=You can verify that your settings are correct by sending an email to [mailto:check-auth@verifier.port25.com check-auth@verifier.port25.com], a free service the purpose of which is to verify if your domain does not contradict mail policies. Please check the answer carefully. See [[bugzilla:4558#c6]] }}
{{Tip box|type=Astuce : |msg=vous pouvez vérifier que vos paramètres sont corrects en envoyant un courriel à check-auth@verifier.port25.com, un service gratuit dont le but est de vérifier si votre domaine ne contredit pas les politiques de messagerie. Veuillez vérifier attentivement la réponse. Voir [[bugzilla:4558#c6]].}}
Voir aussi [[bugzilla:9694]] et https://wikit.firewall-services.com/doku.php/smedev/qpsmtpd_096#documentation .
Plus de détails sur les entrées DNS à créer sont disponibles [https://wiki.contribs.org/Email/fr#Inbound_DKIM_.2F_SPF_.2F_DMARC ici.]
La vérification DKIM entrante est également activée par défaut.
Si vous rencontrez un problème lors de l'utilisation du champ DKIM fourni ci-dessus avec votre fournisseur/registraire DNS, veuillez d'abord le contacter pour vous assurer que le problème n'est pas lié à la manière dont vous essayez de saisir les informations. S'il est probable que vous ayez des erreurs « champ invalide » ou « champ trop long » et que votre fournisseur ne soit pas en mesure de vous aider ou de mettre à jour son interface, vous pouvez générer une clé DKIM plus courte (de 1024 au lieu du 2048 bits par défaut) de cette façon :
cd /home/e-smith/dkim_keys/default
cd /home/e-smith/dkim_keys/default
qpsmtpd-print-dns
qpsmtpd-print-dns
===Outbound DKIM signing / SPF / DMARC policy FOR MULTIPLE DOMAINS===
===Signature DKIM sortante / Politique SPF / DMARC pour plusieurs domaines ===
La clé DKIM par défaut est créée dans /home/e-smith/dkim_keys/default. Pour activer la signature DKIM pour tous les domaines que vous gérez :
db configuration setprop qpsmtpd DKIMSigning enabled
db configuration setprop qpsmtpd DKIMSigning enabled
signal-event email-update
signal-event email-update
Si vous voulez désactiver la signature DKIM pour un domaine, vous pouvez utilser :
db domains setprop domain.com DKIMSigning disabled
db domains setprop domain.com DKIMSigning disabled
signal-event email-update
signal-event email-update
Le comportement par défaut consiste à utiliser la même paire de clés pour tous vos domaines. Mais vous pouvez créer d'autres paires de clés pour un domaine spécifique si vous le souhaitez. Par exemple, si vous souhaitez utiliser une paire de clés spécifique pour le domaine domain.net :
cd /home/e-smith/dkim_keys
cd /home/e-smith/dkim_keys
mkdir domain.net
mkdir domain.net
chmod 400 private
chmod 400 private
signal-event email-update
signal-event email-update
Maintenant, les courriels utilisant une adresse d'expédition de domain.net sender seront signés par cette nouvelle clé, à la place de celle par défaut.
==Domain Keys==
==Domain Keys==
Now, the emails using a domain.net sender address will be signed by this new key instead of the default one.
Now, the emails using a domain.net sender address will be signed by this new key instead of the default one.
====Publishing your DNS entries====
====Publier vos entrées DNS====
La signature de vos courriels sortants n'est qu'une partie du processus. Vous devez maintenant publier certaines entrées DNS afin que chacun puisse vérifier si le courriel qu'il reçoit correspond à votre politique. Cette partie n'est pas à faire sur votre serveur Koozali SME, mais sur votre fournisseur public de DNS. Un script vous aide en créant des exemples d'entrées DNS déjà formatées pour un fichier de zone de type bind. Pour l'utiliser :
qpsmtpd-print-dns <nom_de_domaine>
S'il est omis, le nom de domaine principal est inclus.
Exemple de retour de la commande
Voici des exemples d'entrées DNS que vous devriez ajouter dans votre DNS public.
L'entrée DKIM peut être copiée telle quelle, mais d'autres devront probablement être ajustées à votre besoin. Par exemple, vous devez soit modifier l'adresse courriel de signalement pour DMARC (ou créez le pseudonyme nécessaire).
default._domainkey IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAs/Qq3Ntpx2QNdRxGKMeKc2r9ULvyYW633IbLivHznN9JvjJIbS54PGIEk3sSxvZSdpTRAvYlxn/nRi329VmcDK0vJYb2ut2rnZ3VO3r5srm+XEvTNPxij5eU4gqw+5ayySDjqzAMEMc5V7lUMpZ/YiqnscA075XiMF7iEq8Quv1y0LokmgwtxzOXEZap34WXlKyhYzH+D""fabF6SUllmA0ovODNvudzvEOanPlViQ7q7d+Mc3b7X/fzgJfh5P9f5U+iSmzgyGctSb6GX8sqsDMNVEsRZpSE3jd2Z33RDWyW21PGOKB/ZrLiliKfdJbd3Wo7AN7bWsZpQsei2Hsv1niQIDAQAB"
default._domainkey IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAs/Qq3Ntpx2QNdRxGKMeKc2r9ULvyYW633IbLivHznN9JvjJIbS54PGIEk3sSxvZSdpTRAvYlxn/nRi329VmcDK0vJYb2ut2rnZ3VO3r5srm+XEvTNPxij5eU4gqw+5ayySDjqzAMEMc5V7lUMpZ/YiqnscA075XiMF7iEq8Quv1y0LokmgwtxzOXEZap34WXlKyhYzH+D""fabF6SUllmA0ovODNvudzvEOanPlViQ7q7d+Mc3b7X/fzgJfh5P9f5U+iSmzgyGctSb6GX8sqsDMNVEsRZpSE3jd2Z33RDWyW21PGOKB/ZrLiliKfdJbd3Wo7AN7bWsZpQsei2Hsv1niQIDAQAB"
@ IN TXT "v=spf1 mx a -all"
@ IN TXT "v=spf1 mx a -all"
_dmarc IN TXT "v=DMARC1; p=none; adkim=s; aspf=r; rua=mailto:dmarc-feedback@domain.net; pct=100"
_dmarc IN TXT "v=DMARC1; p=none; adkim=s; aspf=r; rua=mailto:dmarc-feedback@domain.net; pct=100"
Tout ce que vous avez à faire maintenant est de publier ces enregistrements, mais notez qu'il y a un point à prendre en compte lors de la publication de l'enregistrement DNS default._domainkey, tel que produit par la commande ''qpsmtpd-print-dns'' : si l'enregistrement DNS inclut '';t=y'' alors selon la spécification DKIM ([http://dkim.org/specs/rfc4871-dkimbase.html#keys RFC4781 section 3.6.1]) cela signifie que votre ''"... domaine teste DKIM. Les vérificateurs NE DOIVENT PAS traiter les messages des signataires en mode test différemment des courriels non signés, même si la signature n'est pas vérifiée. Les vérificateurs PEUVENT souhaiter suivre les résultats du mode test pour aider le signataire."''
D'un autre côté, si aucun '';t=y'' n'est inclus, cela signifie que vous avez l'intention d'utiliser DKIM en mode production. Il peut être judicieux de publier d'abord l'enregistrement DNS DKIM en mode test ('';t=y'' inclus), de vérifier comment ça se passe et si tout va bien, de supprimer la partie '';t=y''.
====Testing====
====Testing====
