From 6224ff8f7d9fc73b4b5f740f9611e9e1a9ddbe08 Mon Sep 17 00:00:00 2001 From: emorino Date: Sun, 8 May 2022 13:18:29 +0200 Subject: [PATCH] =?UTF-8?q?Ajout=20opendkim-genkeys=20sha256=20et=20cl?= =?UTF-8?q?=C3=A9=20de=204096?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- HowtoOpenDKIM.md | 11 +++++++---- 1 file changed, 7 insertions(+), 4 deletions(-) diff --git a/HowtoOpenDKIM.md b/HowtoOpenDKIM.md index c367fc25..729a9bbf 100644 --- a/HowtoOpenDKIM.md +++ b/HowtoOpenDKIM.md @@ -52,7 +52,7 @@ Générer une paire de clés avec le sélecteur `2022` (adapter à l'année de c ~~~ mkdir /etc/opendkim/keys -sudo -u opendkim opendkim-genkey -D /etc/opendkim/keys/ -s 2022 +sudo -u opendkim opendkim-genkey -h sha256 -b 4096 -D /etc/opendkim/keys/ -s 2022 ~~~ Cela met la clé privée dans `/etc/opendkim/keys/2022.private`, et l'enregistrement DNS TXT contenant la clé publique dans `/etc/opendkim/keys/2022.txt` @@ -86,7 +86,7 @@ PidFile /var/run/opendkim/opendkim.pid InternalHosts refile:/etc/opendkim/hosts_whitelist ExternalIgnoreList refile:/etc/opendkim/hosts_whitelist -# Clé privée (générée avec "sudo -u opendkim opendkim-genkey -D /etc/opendkim/keys/ -s 2022") +# Clé privée (générée avec "sudo -u opendkim opendkim-genkey -h sha256 -b 4096 -D /etc/opendkim/keys/ -s 2022") KeyFile /etc/opendkim/keys/2022.private # Utilisé dans l'enregistrement DNS utilisé pour récupérer la clé publique ($selector._domainkey.$domain) Selector 2022 @@ -162,7 +162,7 @@ bar2018._domainkey.example.org example.org:bar2018:/etc/ssl/private/dkim_example Pour générer les clés, on utilise la commande : ~~~ -# opendkim-genkey -D /etc/ssl/private/ -d example.com -s foo -v +# opendkim-genkey -h sha256 -b 4096 -D /etc/ssl/private/ -d example.com -s foo -v opendkim-genkey: generating private key opendkim-genkey: private key written to foo.private opendkim-genkey: extracting public key @@ -176,7 +176,10 @@ opendkim-genkey: DNS TXT record written to foo.txt Il faut ensuite publier l'enregistrement DNS à partir du fichier `/etc/ssl/private/foo.txt` généré, en ajoutant la ligne suivante dans la zone DNS du domaine en question : ~~~ -foo._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDcJOD4s/XyvarbBPTyzIKaAsm4BWv9jd/brLdIOBxq177CN17GTQP6eJgAVpEFnMvxVgRNXYQzVJZF5FvownJxHjmma0seVRs8vSwwRbD1OlhSRCjlBWvI3zmyqf8MQVU0K6Zs6NJT5rHEeW3nz6e6c5UtpIjKogshawwMnTvtfwIDAQAB" ; ----- DKIM key foo for example.com +foo._domainkey IN TXT ( "v=DKIM1; h=sha256; k=rsa; " + "p=MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAtdnoCyrwNyCAttQz0VaJq3cheWtki8KTfCwPu+QDcyv8IHLpQGK2UsEw03epEjTI/ijdyyVsElDPoqsCZ4+R3H5I41Vj8xcGLvqIaG3mbgOhcxuD+eEPR1K+JbSptwMiP/oja7VFyftQtx5XkQh8oj458WR/EE++SzjOGXOVmFYzf+LnNXJ/Rc0avAUPcTF1NmoU8IP52aKTvw" + "nrbPFhIPkUyIR1/5k+5h4ZJqY+2h+JqDuol0E73Yl79rsF5ycjwLtBCPsz80jzCpOF5YHkDx0CYPyTKoIA3eZlgOVSJPmDYUWCrj/9k2bL/nSL5EJoB/X/kQcLRTy83dqf+gzWd850yP9vpUQQ2d+Z1hdlAFvzVMboSNz12+au7kAglXmN47l9Z8igxVWJfl7BEsegQF8gYPB4yepSW3DtfxBC5zCjLYYN1xXabf3wZfeCF6yOoQk1C2yN" + "ThvBa4NyQDWizZGs4t9eHTR8QHMzJogPQQvyS45ILN1HHeikIQZP/lormmFQzq9X8sDGt4Edy8A3OMLjHom81tP6zxb4I8Pq0V4bEt4m4KA+K89A+b9cTD2Xr/wbqgQ1nwTcnEfGgBxbc3iRKkUnwhjeIocsxmwHqmDIVV8HKB5egUg8US/eo9al8w4JYEdzx9tETW/5dQOeLTMVw2N0/A7M9zVbBQEyuaMCAwEAAQ==" ) ; ----- DKIM key foo for example.com ~~~ On utilise le fichier `/etc/opendkim/dkim.peers` pour mettre la liste des adresses IP autorisées à envoyer des messages pour lesquels on va rajouter une signature DKIM (a priori des serveurs SMTP internes uniquement) :