relecture / corrections
This commit is contained in:
parent
bac24a2bbb
commit
772aaceef4
|
@ -63,16 +63,16 @@ opendkim: OpenDKIM Filter v2.11.0
|
|||
|
||||
La configuration principale se trouve dans le fichier `/etc/opendkim.conf`.
|
||||
|
||||
**Note 1 : Attention, `/etc/opendkim.conf` et les fichiers dans `/etc/opendkim/` doivent appartenir à l'utilisateur et au groupe `opendkim`.**
|
||||
**Note 1 : Attention, `/etc/opendkim.conf`, `/etc/opendkim-evolix.conf` et les fichiers dans `/etc/opendkim/` doivent appartenir à l'utilisateur et au groupe `opendkim`.**
|
||||
|
||||
**Note 2** : Depuis Debian 9, l'unité systemd charge seulement `/etc/opendkim.conf` et non plus `/etc/default/opendkim`.
|
||||
|
||||
Nous utilisons le mode de configuration le plus flexible, avec plusieurs clés privées possible (méthode conseillée) :
|
||||
Nous utilisons le mode de configuration le plus flexible, avec plusieurs clés privées possibles (méthode conseillée) :
|
||||
|
||||
* `KeyTable` : fichier contenant la liste des clés privées (des sélecteurs DNS correspondants).
|
||||
* `SigningTable` : fichier contenant la table de correspondance entre les l'adresse `From:` et les clés privées pour signer.
|
||||
|
||||
Il est aussi possible de simplifier en n'utilisant qu'une seule clé privée :
|
||||
Il est aussi possible d'avoir une configuration utilisant une seule clé privée (déconseillé) :
|
||||
|
||||
* `Domain` : fichier contenant la liste des domaines acceptés.
|
||||
* `KeyFile` : clé privée (unique).
|
||||
|
@ -114,33 +114,25 @@ SigningTable refile:/etc/opendkim/SigningTable
|
|||
KeyTable refile:/etc/opendkim/KeyTable
|
||||
~~~
|
||||
|
||||
Note : Un **sélecteur DNS** permet aux clients mails de récupérer la clé publique, pour vérifier la signature DKIM. On le met en sous-domaine du domaine : `<SELECTOR>._domainkey.example.com`.
|
||||
Note : un **sélecteur** est une expression qui sert aux clients à trouver le sous-domaine de l'enregistrement TXT qui contient la clé publique DKIM du domaine (via `<SELECTOR>._domainkey.example.com`).
|
||||
|
||||
**Générer une clé** avec les commandes :
|
||||
|
||||
~~~
|
||||
# opendkim-genkey -h sha256 -b 4096 -D /etc/ssl/private/ -s dkim-<HOSTNAME>-key1 -v
|
||||
# opendkim-genkey -h sha256 -b 4096 -D /etc/ssl/private/ -d example.com -s foo -v
|
||||
opendkim-genkey: generating private key
|
||||
opendkim-genkey: private key written to dkim-<HOSTNAME>-key1.private
|
||||
opendkim-genkey: private key written to foo.private
|
||||
opendkim-genkey: extracting public key
|
||||
opendkim-genkey: DNS TXT record written to dkim-<HOSTNAME>-key1.txt
|
||||
opendkim-genkey: DNS TXT record written to foo.txt
|
||||
|
||||
# mv /etc/ssl/private/dkim-<HOSTNAME>-key1.{private,key1}
|
||||
# chown opendkim:opendkim /etc/ssl/private/dkim-<HOSTNAME>-key1.key
|
||||
# chmod 640 /etc/ssl/private/dkim-<HOSTNAME>-key1.key
|
||||
# chown opendkim:opendkim /etc/ssl/private/foo.private
|
||||
# chmod 640 /etc/ssl/private/foo.private
|
||||
~~~
|
||||
|
||||
Ajouter la **clé privée**, que l'on nomme `key1`, et son **sélecteur DNS** dans `/etc/opendkim/KeyTable` :
|
||||
Ajouter la **clé privée**, que l'on nomme `foo._domainkey.example.com`, et son **sélecteur** dans `/etc/opendkim/KeyTable` :
|
||||
|
||||
~~~
|
||||
key1 %:dkim-<HOSTNAME>-key1:/etc/ssl/private/dkim-<HOSTNAME>.key
|
||||
~~~
|
||||
|
||||
Note : s'il y a déjà une clé pour un domaine, on peut remplacer le domaine par `%`, ou bien ajouter la nouvelle clé à la suite (en la renommant `key2`) :
|
||||
|
||||
~~~
|
||||
old_key example.com:old_key_selector:old_key_path
|
||||
key2 %:dkim-<HOSTNAME>-key2:/etc/ssl/private/dkim-<HOSTNAME>-key2.key
|
||||
foo._domainkey.example.com example.com:foo:/etc/ssl/private/foo.private
|
||||
~~~
|
||||
|
||||
Les lignes sont traitées dans l'ordre, seul le premier match est utilisé, sauf si `MultipleSignatures` est activé.
|
||||
|
@ -175,8 +167,8 @@ $ systemctl status opendkim
|
|||
**Le fichier `/etc/opendkim/SigningTable` indique le nom de la clé privée (définit dans `/etc/opendkim/KeyTable`) à utiliser pour signer un message en fonction de son champ `From:`** :
|
||||
|
||||
~~~
|
||||
*@example.com key1
|
||||
*@example.org key1
|
||||
*@example.com foo._domainkey.example.com
|
||||
*@example.org foo._domainkey.example.com
|
||||
~~~
|
||||
|
||||
S'il n'existe pas, ne pas oublier d'ajuster les droits :
|
||||
|
@ -189,9 +181,9 @@ S'il n'existe pas, ne pas oublier d'ajuster les droits :
|
|||
S'il y a plusieurs clés, pourra mettre :
|
||||
|
||||
~~~
|
||||
*@example.com old_key
|
||||
*@example1.org key2
|
||||
*@example2.org key2
|
||||
*@example.com foo._domainkey.example.com
|
||||
*@example1.org bar._domainkey.example.org
|
||||
*@example2.org bar._domainkey.example.org
|
||||
~~~
|
||||
|
||||
Puis, recharger OpenDKIM :
|
||||
|
@ -201,7 +193,7 @@ $ systemctl reload opendkim
|
|||
$ systemctl status opendkim
|
||||
~~~
|
||||
|
||||
Ensuite, récupérer l'enregistrement DNS dans `/etc/ssl/private/dkim-<HOSTNAME>-key1.txt` (généré à la création de la clé privée), et l'ajouter dans la zone DNS du domaine en question :
|
||||
Ensuite, récupérer l'enregistrement DNS dans `/etc/ssl/private/foo.private` (généré à la création de la clé privée), et l'ajouter dans la zone DNS du domaine en question :
|
||||
|
||||
~~~
|
||||
dkim-<HOSTNAME>-key1._domainkey IN TXT ( "v=DKIM1; h=sha256; k=rsa; "
|
||||
|
@ -212,7 +204,7 @@ dkim-<HOSTNAME>-key1._domainkey IN TXT ( "v=DKIM1; h=sha256; k=rsa; "
|
|||
|
||||
|
||||
|
||||
### Configuration simplifiée avec une seule clé privée (non utilisé à Evolix)
|
||||
### Configuration simplifiée avec une seule clé privée (déconseillé)
|
||||
|
||||
Générer une paire de clés avec le sélecteur `dkim-<SERVER_NAME>` (par exemple) dans le répertoire `/etc/opendkim/keys/` :
|
||||
|
||||
|
|
Loading…
Reference in a new issue