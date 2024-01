Dans ce septième article dédié à Postfix et Dovecot, nous allons aborder une série de technologies devenues incontournables sur un serveur mail de production. Notre serveur est désormais opérationnel, et nous pouvons envoyer et recevoir des e-mails avec un client mail comme Mozilla Thunderbird. Or, dans l’état actuel des choses, nous risquons d’avoir quelques mauvaises surprises, notamment avec tous les destinataires qui ont un compte mail chez Google, Yahoo, Microsoft ou Apple. Tous nos e-mails envoyés vers l’un de ces comptes finissent dans le dossier Spam du destinataire ou nous reviennent dans la figure, s’ils ne sont pas carrément expédiés au nirvana numérique.

Le concentré d’acronymes quelque peu barbares dans le titre de cet article résume l’ensemble des techniques nécessaires pour ne pas passer pour un spammeur auprès des usual suspects parmi les fournisseurs de courrier électronique :

La mise en place du Sender Policy Framework (SPF) est d’une simplicité déconcertante. Il suffit d’ajouter un enregistrement TXT dans la configuration de votre serveur DNS, en indiquant l’hôte ou l’adresse IP du serveur autorisé à envoyer des e-mails pour le domaine.

Voici un exemple de configuration sur mon serveur de test :

Quelques remarques sur la syntaxe utilisée :

J’effectue une série de tests depuis une autre machine :

En langage tam-tam, la configuration ci-dessus signifie que seuls les e-mails en provenance de l’hôte mail.slackbox.fr (adresse IP 51.158.146.161 ) sont considérés comme valides.

Rendez-vous sur la page SPF Record Checker pour tester la validité de votre enregistrement SPF :

Passons aux choses sérieuses avec la mise en oeuvre de DKIM (DomainKeys Identified Mail). Pour commencer, essayons de voir en grandes lignes le principe de fonctionnement de DKIM :

OpenDKIM est une implémentation Open Source de DKIM, capable de signer les e-mails sortants et de vérifier la signature des e-mails entrants.

Sous Red Hat Enterprise Linux et Rocky Linux, OpenDKIM est fourni par le dépôt EPEL :

OpenDKIM se configure par le biais du fichier /etc/opendkim.conf . Avant de modifier quoi que ce soit, on va effectuer une copie de sauvegarde de ce fichier :

Éditer /etc/opendkim.conf en adaptant les directives suivantes :

## CONFIGURATION OPTIONS

## Specifies the path to the process ID file.

## Selects operating modes. Valid modes are s (sign) and v (verify). Default is v. ## Must be changed to s (sign only) or sv (sign and verify) in order to sign outgoing ## messages.

...

## Create a socket through which your MTA can communicate.

# Socket local:/run/opendkim/opendkim.sock

## Gives the location of a private key to be used for signing ALL messages. This ## directive is ignored if KeyTable is enabled. # KeyFile /etc/opendkim/keys/default.private

## Gives the location of a file mapping key names to signing keys. In simple terms, ## this tells OpenDKIM where to find your keys. If present, overrides any KeyFile ## directive in the configuration file. Requires SigningTable be enabled.

## Defines a table used to select one or more signatures to apply to a message based ## on the address found in the From: header field. In simple terms, this tells ## OpenDKIM how to use your keys. Requires KeyTable be enabled.

## Identifies a set of "external" hosts that may send mail through the server as one ## of the signing domains without credentials as such.

## Identifies a set "internal" hosts whose mail should be signed rather than verified.

...