diff --git a/HowtoOpenDKIM.md b/HowtoOpenDKIM.md index cb44bae0..12f0debd 100644 --- a/HowtoOpenDKIM.md +++ b/HowtoOpenDKIM.md @@ -70,7 +70,7 @@ SigningTable refile:/etc/opendkim/SigningTable KeyTable refile:/etc/opendkim/KeyTable ~~~ -Le fichier `KeyTable` définit les clés privées et leur sélecteur : +**Le fichier `/etc/opendkim/KeyTable` définit les clés privées et leur sélecteur :** ~~~ key1 example.com:key1_selector:/etc/ssl/private/dkim_example.com.key @@ -79,16 +79,30 @@ key2 example.org:key2_selector:/etc/ssl/private/dkim_example.org.key Un **sélecteur** est un mot clé qui sert aux clients à trouver le sous-domaine de l'enregistrement TXT qui contient la clé publique DKIM du domaine (via `._domainkey.example.com`). -Le fichier `SigningTable` indique quelle clé utiliser pour signer en fonction du champ `From:`. - Si on a plusieurs serveurs de messagerie (et donc plusieurs clé privées), des sélecteurs différents permettent d'avoir plusieurs clés publiques associées à un même domaine, dans des enregistrements TXT de différents sous-domaines. +Pour détecter automatiquement le domaine à mettre dans la signature à partir du champ `From:` (pratique sur les serveurs avec beaucoup de domaines) : + +~~~ +key1 %:key1_selector:/etc/ssl/private/dkim_my_mail_server.key +~~~ + +**Le fichier `/etc/opendkim/SigningTable` indique quelle clé utiliser pour signer en fonction du champ `From:` :** + ~~~ *@example.com key1 *@example.org key2 ~~~ -Pour générer les clés, on utilise la commande : +Les lignes sont traitées dans l'ordre, seul le premier match est utilisé, sauf si `MultipleSignatures` est activé. + +Pour signer tous les mails avec la même clé : + +~~~ +* key1 +~~~ + +**Pour générer les clés**, on utilise la commande : ~~~ # opendkim-genkey -h sha256 -b 4096 -D /etc/ssl/private/ -d example.com -s foo -v @@ -102,7 +116,7 @@ opendkim-genkey: DNS TXT record written to foo.txt # chmod 640 /etc/ssl/private/dkim_example.com.key ~~~ -Il faut ensuite publier l'enregistrement DNS à partir du fichier `/etc/ssl/private/foo.txt` généré, en ajoutant la ligne suivante dans la zone DNS du domaine en question : +Il faut ensuite **publier l'enregistrement DNS** à partir du fichier `/etc/ssl/private/foo.txt` généré, en ajoutant la ligne suivante dans la zone DNS du domaine en question : ~~~ foo._domainkey IN TXT ( "v=DKIM1; h=sha256; k=rsa; "