Ajout documentation install et configuration opendmarc + intégration a postfix
This commit is contained in:
emorino
parent
79fc55f094
commit
0e9c3abb54
|
|
@ -490,6 +490,86 @@ La spécification [DMARC](https://fr.wikipedia.org/wiki/DMARC) permet de rejeter
|
|||
Pour implémenter cela, il faut utiliser le package **opendmarc** : <https://packages.debian.org/opendmarc>
|
||||
|
||||
|
||||
## Opendmarc
|
||||
|
||||
Opendmarc est un service qui permet de faire une verification DMARC et / ou DKIM.
|
||||
Il rajoute l'entête "Authentication-Results", il peux juste notifié le résultat dans les entêtes du mail, ou alors rejeter les mails si le résultat est négatif, selon comme on le configure.
|
||||
|
||||
### Intégration d'Opendmarc à Postfix
|
||||
|
||||
Pour commencer il faut installé le paquet opendmarc :
|
||||
|
||||
~~~
|
||||
# apt install opendmarc
|
||||
~~~
|
||||
|
||||
Il faut ensuite configurer le fichier _/etc/opendmarc.conf_ comme ceci :
|
||||
|
||||
~~~
|
||||
AuthservID mail.example.com
|
||||
PidFile /var/run/opendmarc/opendmarc.pid
|
||||
PublicSuffixList /usr/share/publicsuffix
|
||||
Socket inet:12345@localhost
|
||||
Syslog true
|
||||
UMask 0002
|
||||
UserID opendmarc
|
||||
~~~
|
||||
|
||||
Dans cette configuration on veux qu'Opendmarc écoute sur le port 12345 en local, si on veux qu'il ecoute sur un fichier .socket on ajuste la variable `Socket` comme ceci :
|
||||
|
||||
~~~
|
||||
Socket local:/var/run/opendmarc/opendmarc.sock
|
||||
~~~
|
||||
|
||||
`AuthservID` doit avoir pour valeur le hostname du serveur, par default il prend la valeur du MTA du serveur.
|
||||
|
||||
`RejectFailures` : true ou false. Si défini a `true` alors les mails qui ne passerons pas la vérification DMARC seront rejetés. Défini a false par défaut.
|
||||
|
||||
`TrustedAuthservIDs` : Liste des `AuthservIDs` necessitant la validation DMARC, utile lorsque plusieurs MX sont présent sur le même serveur.
|
||||
|
||||
`SoftwareHeader` : Ajoute une entête 'Dmarc-Filter' avec la version opendmarc dans chaque mail, utile pour une phase de test.
|
||||
|
||||
On peux définir aussi une liste de 'Host' (IPs) à ignoré dans le fichier _/etc/opendmarc/ignore.hosts_
|
||||
|
||||
On démarre Opendmarc et on l'active au démarrage
|
||||
|
||||
~~~
|
||||
# systemctl start opendmarc
|
||||
# systemctl enable opendmarc
|
||||
~~~
|
||||
|
||||
Ensuite on doit ajouté opendmarc en tant que Milter à Postfix.
|
||||
Si l'on veux d'Opendmarc récupère les informations de signature d'OpenDKIM, on le positionne juste après le milter 54321 d'Opendkim comme ceci :
|
||||
|
||||
~~~
|
||||
# DKIM et Opendmarc
|
||||
non_smtpd_milters = inet:127.0.0.1:54321,inet:127.0.0.1:12345
|
||||
smtpd_milters = inet:127.0.0.1:54321,inet:127.0.0.1:12345
|
||||
in_flow_delay = 0s
|
||||
~~~
|
||||
|
||||
On redémarre postfix :
|
||||
|
||||
~~~
|
||||
# systemctl restart postfix
|
||||
~~~
|
||||
|
||||
### Vérifié et testé la configuration DMARC
|
||||
|
||||
On peux vérifié si la configuration DMARC du domaine est correcte avec l'outil dmarc-inspector : <https://dmarcian.com/dmarc-inspector/>
|
||||
|
||||
Puis on envoi un mail sur le domaine concerné, et l'on doit voir les entêtes 'Authentication-Results' une pour DKIM si on a mis le milter DKIM avant celui d'Opendmarc, puis une deuxième pour DMARC :
|
||||
|
||||
~~~
|
||||
Authentication-Results: mail.example.com;
|
||||
dkim=pass (1024-bit key; unprotected) header.d=evolix.fr header.i=@evolix.fr header.b="MS9KOG0U";
|
||||
dkim-atps=neutral
|
||||
|
||||
Authentication-Results: mail.example.com; dmarc=pass (p=none dis=none) header.from=evolix.fr
|
||||
~~~
|
||||
|
||||
|
||||
|
||||
## SpamAssassin
|
||||
|
||||
<http://spamassassin.apache.org>
|
||||
|
|
|
|||
Loading…
Reference in a new issue