écriture d'infos sur les e-mails
continuous-integration/drone/push Build is passing
Details
continuous-integration/drone/push Build is passing
Details
This commit is contained in:
parent
a6916cf66e
commit
c76d05c09c
|
|
@ -63,8 +63,9 @@ _dmarc TXT "v=DMARC1; p=reject; sp=reject; adkim=s; fo=1; aspf=s; ruf=mailto:p
|
|||
| `email-in` | `A` | défini par D53 | Addresse IPv4 pour parler au serveur Postfix (pour l'enregistrement MX) |
|
||||
| `smtp` | `A` | défini par D53 | Addresse IPv4 pour parler au serveur Postfix (pour les utilisateurs Deuxfleurs) |
|
||||
| `imap` | `A` | défini par D53 | Addresse IPv4 pour parler au serveur Dovecot (pour les utilisateurs Deuxfleurs) |
|
||||
| `201.80.66.82.in-addr.arpa.` | `PTR` | `orion.site.deuxfleurs.fr.` | Reverse DNS indiquant le nom de domainecorrespondant à l'IP du serveur Postfix |
|
||||
|
||||
### L'enregistrement DKIM
|
||||
## DKIM
|
||||
|
||||
Le mécanisme DKIM permet au serveur d'ajouter une signature sur les messages qui sortent de Deuxfleurs, pour que les destinataires puissent en attester la validité.
|
||||
Il s'agit d'une signature RSA basée sur une paire de clefs privée/publique. La clef publique est donée dans l'enregistrement DNS DKIM, et la clef privée est connue
|
||||
|
|
@ -72,7 +73,7 @@ uniquement du serveur Postfix. La signature de chaque message est ajoutée dans
|
|||
|
||||
Référence : <https://www.cloudflare.com/learning/dns/dns-records/dns-dkim-record/>
|
||||
|
||||
**Exemple de valeurs :**
|
||||
**Exemple d'enregistrements DNS :**
|
||||
|
||||
```
|
||||
default._domainkey.deuxfleurs.fr. 10800 IN TXT "v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtdZp4qrgZR+6R7HeAkuLGJ/3L/6Ungvf5zwrMq6T8Tu931j2G4lYuPtsxyn9fZkT4y7DlX0waktLDB" "OCwf7X78nLEWjAFWiJTeWGRGhRdYRUFpscs9NUN0P+46jKlabibG3XTKd1DeAmywTu6o1oO03yiolrgKD1zgyDRFeUTfSwZIdPrdbcBSA1arda4WFtcBIrSygM9b4jtlqfQwGDrsMLbCBfVHDn4Wfm" "DWyNg0gDAkuLrYClNETk6aqIyj9fC8srKri0Qp3cRagCn+fjBvuxP35qWWJH7Rnnh/tuEDr1ufuNYO2KgJZ7JdMidUotxXE8cfU+OrEWQf4mIYeJ4wIDAQAB"
|
||||
|
|
@ -118,14 +119,14 @@ Cette signature contient les champs suivants :
|
|||
- `t` (recomandé) donne le timestamp de la signature, i.e. sa date et son heure
|
||||
- `c` est un paramètre additionnel de la méthode de calcul de la signature
|
||||
|
||||
### L'enregistrement SPF
|
||||
## SPF
|
||||
|
||||
L'enregistrement SPF sert à aider le serveur de destination à déterminer si le message reçu est légitime ou non, en vérifiant des contraintes sur l'addresse IP par laquelle il a été reçu.
|
||||
Normalement, c'est l'addresse IP du serveur SMTP de Deuxfleurs, donc on sait qu'on doit rejeter tous les messages venant d'autres addresses.
|
||||
|
||||
Références : <https://fr.wikipedia.org/wiki/Sender_Policy_Framework>
|
||||
|
||||
**Exemple de valeurs :**
|
||||
**Exemple d'enregistrements DNS :**
|
||||
|
||||
```
|
||||
deuxfleurs.fr. 300 IN TXT "v=spf1 mx:out.deuxfleurs.fr ip4:82.66.80.201 -all"
|
||||
|
|
@ -157,12 +158,46 @@ Par exemple, dans les exemples ci-dessous, voici comment interpréter les diffé
|
|||
- `-all` : rejeter strictement tous les messages venant d'une autre addresse IP
|
||||
|
||||
|
||||
### L'enregistrement DMARC
|
||||
## DMARC
|
||||
|
||||
DMARC est un mécanisme qui permet de mieux contrôler la réaction des serveurs de destination en fonction des tests DKIM et SPF.
|
||||
Par exemple, on peut préciser que tous les messages sont authentifiés par DKIM et SPF, et si un de ces tests échoue, le message doit nécessairement être rejeté.
|
||||
On peut aussi demander à recevoir des rapports en cas d'échec.
|
||||
|
||||
Exemple de valeurs :
|
||||
Référence : <https://fr.wikipedia.org/wiki/DMARC>
|
||||
|
||||
**Exemple d'enregistrements DNS :**
|
||||
|
||||
```
|
||||
_dmarc.deuxfleurs.fr. 300 IN TXT "v=DMARC1; p=reject; sp=reject; adkim=s; fo=1; aspf=s; ruf=mailto:prod-sysadmin@deuxfleurs.fr; rua=mailto:prod-sysadmin@deuxfleurs.fr; rf=afrf; pct=100; ri=86400"
|
||||
_dmarc.adnab.me. 3600 IN TXT "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:postmaster@adnab.me!10m; ruf=mailto:postmaster@adnab.me!10m; rf=afrf; pct=100; ri=86400"
|
||||
```
|
||||
|
||||
L'enregistrement peut contenir les champs suivants:
|
||||
|
||||
- `v=DMARC1` indique la version de DMARC utilisée
|
||||
- `p` : procédure en cas d'échec avec le domaine principal (`none/quarantaine/reject`)
|
||||
- `sp` : comme `p` mais s'applique aux sous-domaines
|
||||
- `adkim` : indique si on doit appliquer la règle DKIM de manière stricte (`s`, le nom de domaine doit correspondre exactement) ou relaxée (`r`, des variations sur le nom de domaine sont permises)
|
||||
- `aspf` : indique si on doit appliquer la règle SPF de manière stricte (`s`) ou relaxée (`r`)
|
||||
- `ruf` : addresse mail à laquelle envoyer un rapport d'échec détaillé à chaque échec de validation
|
||||
- `fo` : condition pour l'envoi d'un rapport d'échec détaillé (1 = si soit DKIM soit SPF a échoué)
|
||||
- `rua` : addresse mail à laquelle envoyer un rapport d'échec aggrégé périodiquement
|
||||
- `ri` : intervalle en secondes entre l'envoi des rapports aggrégés (86400 = 24h)
|
||||
- `rf` : format des rapports (`afrf` est la seule valeur officiellement supportée)
|
||||
- `pct` : proportion de messages à rejeter en cas d'échec
|
||||
|
||||
## Reverse DNS
|
||||
|
||||
**Exemple d'enregistrements reverse DNS :**
|
||||
|
||||
```
|
||||
201.80.66.82.in-addr.arpa. 86179 IN PTR orion.site.deuxfleurs.fr.
|
||||
206.118.187.37.in-addr.arpa. 86400 IN PTR shiki.adnab.me.
|
||||
```
|
||||
|
||||
L'enregistrement reverse DNS peut être utilisé par le serveur de destination
|
||||
pour connaître le nom d'hôte correspondant à l'addresse IP du serveur qui a
|
||||
envoyé le mail. Cet enregistrement doit idéalement correspondre à un nom de
|
||||
domaine qui lui-même résoud à nouveau vers la même addresse IP.
|
||||
|
||||
|
|
|
|||
Loading…
Reference in New Issue