2010/01/01 by Maarten Oelering.
Paramétrage de DKIM dans PowerMTA
DomainKeys, et son successeur DKIM, sont d’importantes techniques d’authentification des emails. Basés sur la cryptographie, ils sont plus sécurisés que SPF et Sender ID. Avec DomainKeys / DKIM, l’intégrité du contenu est également protégée et l’authentification n’est pas détériorée lors du transfert des e-mails. DomainKeys / DKIM est utilisé par les grands fournisseurs de messagerie Web tels que Google, Yahoo et AOL. Des filtres anti-spam courants tels que Postini et Spamassassin prennent également en charge la vérification DomainKeys / DKIM.
Pour vous inscrire à la boucle de rétroaction de Yahoo, vous devez signer vos emails avec DomainKeys ou DKIM. DomainKeys exige que le domaine utilisé pour signer le courrier électronique (identité de signature) corresponde au domaine Sender: ou From: (domaine d’envoi). Cela peut être gênant pour les routeurs, car le DNS et le serveur de messagerie doivent être configurés pour chaque domaine du From: séparément.
Avec DKIM, il n’est pas nécessaire que l’identité de signature corresponde au domaine du From:. Ainsi, il devient possible de signer des emails avec différents domaines de From: en utilisant le domaine de l’ESP. PowerMTA prend en charge la «signature par un tiers» depuis la release 12 en utilisant le paramètre dkim-identity. Le paramétrage PowerMTA suivant vous explique comment configurer DKIM pour tout domaine de From:
Le paramètre dkim-identity
Le moyen permettant de signer des e-mails avec un domaine d’expéditeur arbitraire est l’utilisation du paramètre dkim-identity. Ce paramètre vous permet de spécifier l’adresse e-mail de «l’identité de signature» qui devient le champ «i =» dans l’en-tête de la signature DKIM.
Le paramètre dkim-identity est utilisé en combinaison avec le paramètre domain-key. Le paramètre domain-key spécifie le sélecteur, le domaine de l’entité de signature et la clé privée utilisée pour signer les emails. Le domaine est présent dans le champ «d =» dans l’en-tête de la signature DKIM.
La norme DKIM exige que la partie domaine du champ «i =» soit identique ou un sous-domaine du domaine situé dans le champ «d =». Ainsi, la partie domaine de l’adresse e-mail dans dkim-identity doit correspondre ou être un sous-domaine du domaine dans le paramètre domain-keys.
- Les emails seront signés avec DKIM par PowerMTA si:
dkim-sign est positionné à ‘yes’ ou à ‘true’ et,
2a. le domaine de n’importe quelle domain-key correspond au domaine de l’expéditeur (Sender: ou From 🙂 ou,
2b. la partie domaine de dkim-identity correspond ou est un sous-domaine du domaine dans n’importe quelle domain-key
Exemple de configuration
Voici un exemple de configuration qui signe tous les emails vers yahoo.com, gmail.com et aol.com avec DKIM. Le champ «i =» est défini sur postmaster@esp123.com et le champ «d =» sur esp123.com.
Veuillez suivre les instructions du Guide de l’utilisateur de PowerMTA pour créer une clé privée et configurer la clé publique dans le DNS.
<domain gmail.com>
dkim-sign yes
</domain>
<domain yahoo.com>
dkim-sign yes
</domain>
<domain aol.com>
dkim-sign yes
</domain>
<domain *>
dkim-identity postmaster@esp123.com
</domain>
Tester votre configuration
Vous devez vérifier votre configuration PowerMTA et votre configuration DNS en envoyant un e-mail de test à un compte sur Gmail, Yahoo, AOL et tout autre domaine de destinataire configuré pour DKIM. Récupérez l’e-mail de test et sélectionnez Afficher l’original (Gmail), Entête complet (Yahoo) ou Afficher le message source (AOL). Si vous voyez un en-tête d’authentification avec « dkim = pass » ou « dkim: pass », votre configuration fonctionne correctement.
Plus d’information?
Si vous souhaitez en savoir plus sur la manière dont nous pouvons vous aider, envoyez-nous simplement un message via notre page de contact.