relecture / corrections
This commit is contained in:
parent
bac24a2bbb
commit
772aaceef4
|
@ -63,16 +63,16 @@ opendkim: OpenDKIM Filter v2.11.0
|
||||||
|
|
||||||
La configuration principale se trouve dans le fichier `/etc/opendkim.conf`.
|
La configuration principale se trouve dans le fichier `/etc/opendkim.conf`.
|
||||||
|
|
||||||
**Note 1 : Attention, `/etc/opendkim.conf` et les fichiers dans `/etc/opendkim/` doivent appartenir à l'utilisateur et au groupe `opendkim`.**
|
**Note 1 : Attention, `/etc/opendkim.conf`, `/etc/opendkim-evolix.conf` et les fichiers dans `/etc/opendkim/` doivent appartenir à l'utilisateur et au groupe `opendkim`.**
|
||||||
|
|
||||||
**Note 2** : Depuis Debian 9, l'unité systemd charge seulement `/etc/opendkim.conf` et non plus `/etc/default/opendkim`.
|
**Note 2** : Depuis Debian 9, l'unité systemd charge seulement `/etc/opendkim.conf` et non plus `/etc/default/opendkim`.
|
||||||
|
|
||||||
Nous utilisons le mode de configuration le plus flexible, avec plusieurs clés privées possible (méthode conseillée) :
|
Nous utilisons le mode de configuration le plus flexible, avec plusieurs clés privées possibles (méthode conseillée) :
|
||||||
|
|
||||||
* `KeyTable` : fichier contenant la liste des clés privées (des sélecteurs DNS correspondants).
|
* `KeyTable` : fichier contenant la liste des clés privées (des sélecteurs DNS correspondants).
|
||||||
* `SigningTable` : fichier contenant la table de correspondance entre les l'adresse `From:` et les clés privées pour signer.
|
* `SigningTable` : fichier contenant la table de correspondance entre les l'adresse `From:` et les clés privées pour signer.
|
||||||
|
|
||||||
Il est aussi possible de simplifier en n'utilisant qu'une seule clé privée :
|
Il est aussi possible d'avoir une configuration utilisant une seule clé privée (déconseillé) :
|
||||||
|
|
||||||
* `Domain` : fichier contenant la liste des domaines acceptés.
|
* `Domain` : fichier contenant la liste des domaines acceptés.
|
||||||
* `KeyFile` : clé privée (unique).
|
* `KeyFile` : clé privée (unique).
|
||||||
|
@ -114,33 +114,25 @@ SigningTable refile:/etc/opendkim/SigningTable
|
||||||
KeyTable refile:/etc/opendkim/KeyTable
|
KeyTable refile:/etc/opendkim/KeyTable
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Note : Un **sélecteur DNS** permet aux clients mails de récupérer la clé publique, pour vérifier la signature DKIM. On le met en sous-domaine du domaine : `<SELECTOR>._domainkey.example.com`.
|
Note : un **sélecteur** est une expression qui sert aux clients à trouver le sous-domaine de l'enregistrement TXT qui contient la clé publique DKIM du domaine (via `<SELECTOR>._domainkey.example.com`).
|
||||||
|
|
||||||
**Générer une clé** avec les commandes :
|
**Générer une clé** avec les commandes :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# opendkim-genkey -h sha256 -b 4096 -D /etc/ssl/private/ -s dkim-<HOSTNAME>-key1 -v
|
# opendkim-genkey -h sha256 -b 4096 -D /etc/ssl/private/ -d example.com -s foo -v
|
||||||
opendkim-genkey: generating private key
|
opendkim-genkey: generating private key
|
||||||
opendkim-genkey: private key written to dkim-<HOSTNAME>-key1.private
|
opendkim-genkey: private key written to foo.private
|
||||||
opendkim-genkey: extracting public key
|
opendkim-genkey: extracting public key
|
||||||
opendkim-genkey: DNS TXT record written to dkim-<HOSTNAME>-key1.txt
|
opendkim-genkey: DNS TXT record written to foo.txt
|
||||||
|
|
||||||
# mv /etc/ssl/private/dkim-<HOSTNAME>-key1.{private,key1}
|
# chown opendkim:opendkim /etc/ssl/private/foo.private
|
||||||
# chown opendkim:opendkim /etc/ssl/private/dkim-<HOSTNAME>-key1.key
|
# chmod 640 /etc/ssl/private/foo.private
|
||||||
# chmod 640 /etc/ssl/private/dkim-<HOSTNAME>-key1.key
|
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Ajouter la **clé privée**, que l'on nomme `key1`, et son **sélecteur DNS** dans `/etc/opendkim/KeyTable` :
|
Ajouter la **clé privée**, que l'on nomme `foo._domainkey.example.com`, et son **sélecteur** dans `/etc/opendkim/KeyTable` :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
key1 %:dkim-<HOSTNAME>-key1:/etc/ssl/private/dkim-<HOSTNAME>.key
|
foo._domainkey.example.com example.com:foo:/etc/ssl/private/foo.private
|
||||||
~~~
|
|
||||||
|
|
||||||
Note : s'il y a déjà une clé pour un domaine, on peut remplacer le domaine par `%`, ou bien ajouter la nouvelle clé à la suite (en la renommant `key2`) :
|
|
||||||
|
|
||||||
~~~
|
|
||||||
old_key example.com:old_key_selector:old_key_path
|
|
||||||
key2 %:dkim-<HOSTNAME>-key2:/etc/ssl/private/dkim-<HOSTNAME>-key2.key
|
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Les lignes sont traitées dans l'ordre, seul le premier match est utilisé, sauf si `MultipleSignatures` est activé.
|
Les lignes sont traitées dans l'ordre, seul le premier match est utilisé, sauf si `MultipleSignatures` est activé.
|
||||||
|
@ -175,8 +167,8 @@ $ systemctl status opendkim
|
||||||
**Le fichier `/etc/opendkim/SigningTable` indique le nom de la clé privée (définit dans `/etc/opendkim/KeyTable`) à utiliser pour signer un message en fonction de son champ `From:`** :
|
**Le fichier `/etc/opendkim/SigningTable` indique le nom de la clé privée (définit dans `/etc/opendkim/KeyTable`) à utiliser pour signer un message en fonction de son champ `From:`** :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
*@example.com key1
|
*@example.com foo._domainkey.example.com
|
||||||
*@example.org key1
|
*@example.org foo._domainkey.example.com
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
S'il n'existe pas, ne pas oublier d'ajuster les droits :
|
S'il n'existe pas, ne pas oublier d'ajuster les droits :
|
||||||
|
@ -189,9 +181,9 @@ S'il n'existe pas, ne pas oublier d'ajuster les droits :
|
||||||
S'il y a plusieurs clés, pourra mettre :
|
S'il y a plusieurs clés, pourra mettre :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
*@example.com old_key
|
*@example.com foo._domainkey.example.com
|
||||||
*@example1.org key2
|
*@example1.org bar._domainkey.example.org
|
||||||
*@example2.org key2
|
*@example2.org bar._domainkey.example.org
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Puis, recharger OpenDKIM :
|
Puis, recharger OpenDKIM :
|
||||||
|
@ -201,7 +193,7 @@ $ systemctl reload opendkim
|
||||||
$ systemctl status opendkim
|
$ systemctl status opendkim
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Ensuite, récupérer l'enregistrement DNS dans `/etc/ssl/private/dkim-<HOSTNAME>-key1.txt` (généré à la création de la clé privée), et l'ajouter dans la zone DNS du domaine en question :
|
Ensuite, récupérer l'enregistrement DNS dans `/etc/ssl/private/foo.private` (généré à la création de la clé privée), et l'ajouter dans la zone DNS du domaine en question :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
dkim-<HOSTNAME>-key1._domainkey IN TXT ( "v=DKIM1; h=sha256; k=rsa; "
|
dkim-<HOSTNAME>-key1._domainkey IN TXT ( "v=DKIM1; h=sha256; k=rsa; "
|
||||||
|
@ -212,7 +204,7 @@ dkim-<HOSTNAME>-key1._domainkey IN TXT ( "v=DKIM1; h=sha256; k=rsa; "
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
### Configuration simplifiée avec une seule clé privée (non utilisé à Evolix)
|
### Configuration simplifiée avec une seule clé privée (déconseillé)
|
||||||
|
|
||||||
Générer une paire de clés avec le sélecteur `dkim-<SERVER_NAME>` (par exemple) dans le répertoire `/etc/opendkim/keys/` :
|
Générer une paire de clés avec le sélecteur `dkim-<SERVER_NAME>` (par exemple) dans le répertoire `/etc/opendkim/keys/` :
|
||||||
|
|
||||||
|
|
Loading…
Reference in a new issue