evolix/wiki
22
0
Fork 0
Code Releases Activity

relecture / corrections

Browse source
This commit is contained in:
Gregory Colpart 2024-04-23 15:04:02 +02:00
parent bac24a2bbb
commit 772aaceef4
1 changed files with 18 additions and 26 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

44
HowtoOpenDKIM.md
View file

@ -63,16 +63,16 @@ opendkim: OpenDKIM Filter v2.11.0
La configuration principale se trouve dans le fichier `/etc/opendkim.conf`.
**Note 1 : Attention, `/etc/opendkim.conf` et les fichiers dans `/etc/opendkim/` doivent appartenir à l'utilisateur et au groupe `opendkim`.**
**Note 1 : Attention, `/etc/opendkim.conf`, `/etc/opendkim-evolix.conf` et les fichiers dans `/etc/opendkim/` doivent appartenir à l'utilisateur et au groupe `opendkim`.**
**Note 2** : Depuis Debian 9, l'unité systemd charge seulement `/etc/opendkim.conf` et non plus `/etc/default/opendkim`.
Nous utilisons le mode de configuration le plus flexible, avec plusieurs clés privées possible (méthode conseillée) :
Nous utilisons le mode de configuration le plus flexible, avec plusieurs clés privées possibles (méthode conseillée) :
* `KeyTable` : fichier contenant la liste des clés privées (des sélecteurs DNS correspondants).
* `SigningTable` : fichier contenant la table de correspondance entre les l'adresse `From:` et les clés privées pour signer.
Il est aussi possible de simplifier en n'utilisant qu'une seule clé privée :
Il est aussi possible d'avoir une configuration utilisant une seule clé privée (déconseillé) :
* `Domain` : fichier contenant la liste des domaines acceptés.
* `KeyFile` : clé privée (unique).
@ -114,33 +114,25 @@ SigningTable refile:/etc/opendkim/SigningTable
KeyTable refile:/etc/opendkim/KeyTable
~~~
Note : Un **sélecteur DNS** permet aux clients mails de récupérer la clé publique, pour vérifier la signature DKIM. On le met en sous-domaine du domaine : `<SELECTOR>._domainkey.example.com`.
Note : un **sélecteur** est une expression qui sert aux clients à trouver le sous-domaine de l'enregistrement TXT qui contient la clé publique DKIM du domaine (via `<SELECTOR>._domainkey.example.com`).
**Générer une clé** avec les commandes :
~~~
# opendkim-genkey -h sha256 -b 4096 -D /etc/ssl/private/ -s dkim-<HOSTNAME>-key1 -v
# opendkim-genkey -h sha256 -b 4096 -D /etc/ssl/private/ -d example.com -s foo -v
opendkim-genkey: generating private key
opendkim-genkey: private key written to dkim-<HOSTNAME>-key1.private
opendkim-genkey: private key written to foo.private
opendkim-genkey: extracting public key
opendkim-genkey: DNS TXT record written to dkim-<HOSTNAME>-key1.txt
opendkim-genkey: DNS TXT record written to foo.txt
# mv /etc/ssl/private/dkim-<HOSTNAME>-key1.{private,key1}
# chown opendkim:opendkim /etc/ssl/private/dkim-<HOSTNAME>-key1.key
# chmod 640 /etc/ssl/private/dkim-<HOSTNAME>-key1.key
# chown opendkim:opendkim /etc/ssl/private/foo.private
# chmod 640 /etc/ssl/private/foo.private
~~~
Ajouter la **clé privée**, que l'on nomme `key1`, et son **sélecteur DNS** dans `/etc/opendkim/KeyTable` :
Ajouter la **clé privée**, que l'on nomme `foo._domainkey.example.com`, et son **sélecteur** dans `/etc/opendkim/KeyTable` :
~~~
key1 %:dkim-<HOSTNAME>-key1:/etc/ssl/private/dkim-<HOSTNAME>.key
~~~
Note : s'il y a déjà une clé pour un domaine, on peut remplacer le domaine par `%`, ou bien ajouter la nouvelle clé à la suite (en la renommant `key2`) :
~~~
old_key example.com:old_key_selector:old_key_path
key2 %:dkim-<HOSTNAME>-key2:/etc/ssl/private/dkim-<HOSTNAME>-key2.key
foo._domainkey.example.com example.com:foo:/etc/ssl/private/foo.private
~~~
Les lignes sont traitées dans l'ordre, seul le premier match est utilisé, sauf si `MultipleSignatures` est activé.
@ -175,8 +167,8 @@ $ systemctl status opendkim
**Le fichier `/etc/opendkim/SigningTable` indique le nom de la clé privée (définit dans `/etc/opendkim/KeyTable`) à utiliser pour signer un message en fonction de son champ `From:`** :
~~~
*@example.com key1
*@example.org key1
*@example.com foo._domainkey.example.com
*@example.org foo._domainkey.example.com
~~~
S'il n'existe pas, ne pas oublier d'ajuster les droits :
@ -189,9 +181,9 @@ S'il n'existe pas, ne pas oublier d'ajuster les droits :
S'il y a plusieurs clés, pourra mettre :
~~~
*@example.com old_key
*@example1.org key2
*@example2.org key2
*@example.com foo._domainkey.example.com
*@example1.org bar._domainkey.example.org
*@example2.org bar._domainkey.example.org
~~~
Puis, recharger OpenDKIM :
@ -201,7 +193,7 @@ $ systemctl reload opendkim
$ systemctl status opendkim
~~~
Ensuite, récupérer l'enregistrement DNS dans `/etc/ssl/private/dkim-<HOSTNAME>-key1.txt` (généré à la création de la clé privée), et l'ajouter dans la zone DNS du domaine en question :
Ensuite, récupérer l'enregistrement DNS dans `/etc/ssl/private/foo.private` (généré à la création de la clé privée), et l'ajouter dans la zone DNS du domaine en question :
~~~
dkim-<HOSTNAME>-key1._domainkey IN TXT ( "v=DKIM1; h=sha256; k=rsa; "
@ -212,7 +204,7 @@ dkim-<HOSTNAME>-key1._domainkey IN TXT ( "v=DKIM1; h=sha256; k=rsa; "
### Configuration simplifiée avec une seule clé privée (non utilisé à Evolix)
### Configuration simplifiée avec une seule clé privée (déconseillé)
Générer une paire de clés avec le sélecteur `dkim-<SERVER_NAME>` (par exemple) dans le répertoire `/etc/opendkim/keys/` :