Nouvelles instructions pour les domaines email

This commit is contained in:
Alex 2023-03-17 13:57:30 +01:00
parent c76d05c09c
commit 22d1d1ea0d

View file

@ -18,25 +18,25 @@ Deuxfleurs peut héberger vos e-mails, même s'ils ne finissent pas en `@deuxfle
1. L'entrée MX pour recevoir les emails 1. L'entrée MX pour recevoir les emails
```bind ```bind
@ MX 10 email-in.deuxfleurs.fr. @ MX 10 smtp.deuxfleurs.fr.
``` ```
1. L'entrée SPF pour autoriser notre IP à délivrer des emails en votre nom : 1. L'entrée SPF pour autoriser notre IP à délivrer des emails en votre nom :
```bind ```bind
@ TXT "v=spf1 mx:out.deuxfleurs.fr -all" @ TXT "v=spf1 include:deuxfleurs.fr -all"
``` ```
1. L'entrée DKIM pour autoriser notre postfix+opendkim à délivrer des emails en votre nom : 1. L'entrée DKIM pour autoriser notre postfix+opendkim à délivrer des emails en votre nom :
``` ```
smtp._domainkey TXT "v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtdZp4qrgZR+6R7HeAkuLGJ/3L/6Ungvf5zwrMq6T8Tu931j2G4lYuPtsxyn9fZkT4y7DlX0waktLDBOCwf7X78nLEWjAFWiJTeWGRGhRdYRUFpscs9NUN0P+46jKlabibG3XTKd1DeAmywTu6o1oO03yiolrgKD1zgyDRFeUTfSwZIdPrdbcBSA1arda4WFtcBIrSygM9b4jtlqfQwGDrsMLbCBfVHDn4WfmDWyNg0gDAkuLrYClNETk6aqIyj9fC8srKri0Qp3cRagCn+fjBvuxP35qWWJH7Rnnh/tuEDr1ufuNYO2KgJZ7JdMidUotxXE8cfU+OrEWQf4mIYeJ4wIDAQAB" smtp._domainkey CNAME smtp._domainkey.deuxfleurs.fr.
``` ```
1. L'entrée DMARC pour indiquer le comportement à adopter si les contraintes précédentes ne sont pas satisfaites : 1. L'entrée DMARC pour indiquer le comportement à adopter si les contraintes précédentes ne sont pas satisfaites :
``` ```
_dmarc TXT "v=DMARC1; p=reject; sp=reject; adkim=s; fo=1; aspf=s; ruf=mailto:prod-sysadmin@deuxfleurs.fr; rf=afrf; pct=100; ri=86400" _dmarc CNAME _dmarc.deuxfleurs.fr.
``` ```
1. C'est tout ! Vous devrez probablement attendre 24/48h que les changements se propagent. 1. C'est tout ! Vous devrez probablement attendre 24/48h que les changements se propagent.
@ -56,6 +56,7 @@ _dmarc TXT "v=DMARC1; p=reject; sp=reject; adkim=s; fo=1; aspf=s; ruf=mailto:p
| nom | type | valeur | signification | | nom | type | valeur | signification |
| --- | ---- | ------ | ------------- | | --- | ---- | ------ | ------------- |
| `@` | `MX` | `12 email-in.deuxfleurs.fr` | Serveur que chercheront à joindre les gens qui veulent envoyer un courrier à une addresse `@deuxfleurs.fr` | | `@` | `MX` | `12 email-in.deuxfleurs.fr` | Serveur que chercheront à joindre les gens qui veulent envoyer un courrier à une addresse `@deuxfleurs.fr` |
| `out | `MX` | `12 orion[-v6].deuxfleurs.fr` | Addresses IP pouvant envoyer des messages pour SPF (voir ci-dessous) |
| `default._domainkey` | `TXT` | `v=DKIM1; h=sha256; k=rsa; p=<clef publique>` | Enregistrement DKIM (voir ci-dessous) | | `default._domainkey` | `TXT` | `v=DKIM1; h=sha256; k=rsa; p=<clef publique>` | Enregistrement DKIM (voir ci-dessous) |
| `smtp._domainkey` | `TXT` | `v=DKIM1; h=sha256; k=rsa; p=<clef publique>` | Enregistrement DKIM (voir ci-dessous) | | `smtp._domainkey` | `TXT` | `v=DKIM1; h=sha256; k=rsa; p=<clef publique>` | Enregistrement DKIM (voir ci-dessous) |
| `@` | `TXT` | `"v=spf1 mx:out.deuxfleurs.fr ip4:<addresse ip> [...] -all" | Enregistrement SPF (voir ci-dessous) | | `@` | `TXT` | `"v=spf1 mx:out.deuxfleurs.fr ip4:<addresse ip> [...] -all" | Enregistrement SPF (voir ci-dessous) |
@ -119,6 +120,8 @@ Cette signature contient les champs suivants :
- `t` (recomandé) donne le timestamp de la signature, i.e. sa date et son heure - `t` (recomandé) donne le timestamp de la signature, i.e. sa date et son heure
- `c` est un paramètre additionnel de la méthode de calcul de la signature - `c` est un paramètre additionnel de la méthode de calcul de la signature
**Chez Deuxfleurs:** L'en-tête de signature est rajouté par notre serveur Postfix. La clef privée est stockée dans Consul, et est injéctée dans le conteneur Postfix au lancement. Les enregistrements DNS sont installés manuellement.
## SPF ## SPF
L'enregistrement SPF sert à aider le serveur de destination à déterminer si le message reçu est légitime ou non, en vérifiant des contraintes sur l'addresse IP par laquelle il a été reçu. L'enregistrement SPF sert à aider le serveur de destination à déterminer si le message reçu est légitime ou non, en vérifiant des contraintes sur l'addresse IP par laquelle il a été reçu.
@ -158,6 +161,8 @@ Par exemple, dans les exemples ci-dessous, voici comment interpréter les diffé
- `-all` : rejeter strictement tous les messages venant d'une autre addresse IP - `-all` : rejeter strictement tous les messages venant d'une autre addresse IP
**Chez Deuxfleurs:** L'enregistrement SPF, installé manuellement, contient `mx:out.deuxfleurs.fr`, ce qui signifie que les addresses IP sont celles présentes dans l'enregistrement `MX` pour `out.deuxfleurs.fr`. Actuellement, les valeurs sont `orion.site.deuxfleurs.fr` et `orion-v6.site.deuxfleurs.fr`. Le premier contient l'IPv4 (mise manuellement) et une IPv6 (mise automatiquement par D53, c'est celle de la machine contenant Tricot). Le second contient toutes les IPv6 possibles pour Postfix (celui-ci se ballade de machine en machine).
## DMARC ## DMARC
DMARC est un mécanisme qui permet de mieux contrôler la réaction des serveurs de destination en fonction des tests DKIM et SPF. DMARC est un mécanisme qui permet de mieux contrôler la réaction des serveurs de destination en fonction des tests DKIM et SPF.