diff --git a/HowtoOpenDKIM.md b/HowtoOpenDKIM.md index 2a8fe0db..794f25d4 100644 --- a/HowtoOpenDKIM.md +++ b/HowtoOpenDKIM.md @@ -387,6 +387,11 @@ On peut vérifier que l'enregistrement ADSP est bien pris en compte avec la comm ### Pas d'en-tête DKIM-Signature Si vous ne constatez pas l'ajout de la signature DKIM, vérifiez votre configuration, vérifiez que vous utilisez bien un champ `From:` correct et correspondant à un domaine à signer. +Si besoin activé le « mode debug », cf ci-dessous. + + +## Logs de signature (mode debug) + Il peut aussi être intéressant d'activer les options suivantes dans `/etc/opendkim.conf` pour avoir davantage de logs : ~~~ @@ -395,8 +400,16 @@ SyslogSuccess yes LogWhy yes ~~~ +On verra ainsi des logs dans `/var/log/mail.log` du type : -### Logs de vérification +~~~ +opendkim[18086]: E4DB722DFA: mail-ej1-f53.google.com [209.85.218.53] not internal +opendkim[18086]: E4DB722DFA: not authenticated + +opendkim[18086]: 18F02230B9: DKIM-Signature field added (s=dkim-foo, d=example.com) +~~~ + +### Logs de vérification (mode debug) Il peut être intéressant d'activer l'option suivante /etc/opendkim.conf` pour avoir des logs pour chaque signature vérifiée par *opendkim* : @@ -404,7 +417,6 @@ Il peut être intéressant d'activer l'option suivante /etc/opendkim.conf` pour LogResults true ~~~ - ### Requêtes DNS externes pour ADSP Attention, par défaut OpenDKIM effectue ses vérifications ADSP en faisant de multiples requêtes DNS sans utiliser le resolver local, @@ -420,7 +432,6 @@ DisableADSP true Informations de Gmail/Google à propos de DKIM : . - ### Problème de header (dkim-filter: no sender header found) Avec dkim-filter, en Debian 7, il se peux que, suite a une règle de ce type dans postfix : @@ -431,7 +442,6 @@ Avec dkim-filter, en Debian 7, il se peux que, suite a une règle de ce type dan cela casse dkim-filter, car il ne vois pas si le sender est correct dans le header du mail, et donc il ne sais pas si c'est un domaine qu'il doit signé ou pas. - ### Regenérer la zone DNS Lorsqu'une clé a déjà été générée mais que le fichier contenant la zone DNS n'est plus disponible, il est possible de la régénérer avec la commande suivante : @@ -449,7 +459,6 @@ Cela peut venir de lignes trop longues (cf plus bas). D'après les lignes d'un email ne doivent pas être trop longues sinon elles peuvent se faire découper par un serveur SMTP entre le départ et l'arrivée (inclus)... ce qui changer le payload du message car il aura notamment des sauts de ligne en plus.. et donc le body hash de la signature DKIM ne sera plus valide. - ### Signer tous les emails avec la même clé ? Pour signer tous les domaines avec un même clé, on peut mettre un *wildcard* dans `/etc/opendkim/SigningTable` :