Cela entraînera l'ajout d'un en-tête `DKIM-Signature:` à tous les messages qui correspondent à la configuration d'OpenDKIM.
Si vous utilisez l'option `Mode sv` ou `Mode v` dans la configuration d'OpenDKIM, cela entraînera une vérification des signatures DKIM des emails reçus, et l'ajout d'un en-tête du type :
### Authentication-Results (AR)
Si vous utilisez OpenDKIM en mode "verifier" (avec l'option `Mode sv` ou `Mode v` dans la configuration d'OpenDKIM) cela entraînera
une vérification des signatures DKIM des emails reçus, et l'ajout d'un en-tête `Authentication-Results` (AR) :
Attention, si vous utilisez aussi [Amavis](HowtoAmavis), vérifiez bien que `/etc/postfix/master.cf` a bien l'option `no_milters` dans son option `-o receive_override_options` pour le process SMTPD de retour d'Amavis (en général `127.0.0.1:10025`) sinon OpenDKIM pourrait signer aussi les emails entrants au retour d'Amavis (cela dépend évidemment de votre `SigningTable`) :
Note : `receiver=<UNKNOWN>` est une anonymisation pour des raisons de confidentialité, cf l'option par défaut `Hide_Receiver = Yes`
Cet entête pourra notamment être utilisé par des filtres, SpamAssassin, etc.
> *Note* : attention, pour les emails locaux, cela n'ajoutera pas l'entête `Received-SPF` ce qui peut poser des soucis avec les outils s'appuyant dessus, notamment SpamAssassin ou OpenDMARC.
@ -1411,7 +1423,7 @@ _dmarc IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com"
On pourra spécifier :
* `p=none` si l'on ne veut pas que les emails non conformes soient rejetés
* `p=reject` si l'on veut que les emails non conformes soient rejetés
* `p=reject` si l'on veut que les emails non conformes soient rejetés (rarement utilisé)
* `p=quarantine` si l'on veut que les emails non conformes soient mis de côté (dans une sous-boîte Spam en général)
Attention, si vous spécifiez `rua=mailto:dmarc@example.com` vous recevrez pas mal de rapports
@ -1426,7 +1438,13 @@ _dmarc IN TXT "v=DMARC1;p=reject;rua=mailto:dmarc+aggr@example.com;ruf=mailto:dm
#### Vérification DMARC
Pour vérifier la politique DMARC des emails :
Pour vérifier la politique des emails nous utilisons [OpenDMARC](https://github.com/trusteddomainproject/OpenDMARC).
OpenDMARC s'appuie sur [DKIM](HowtoOpenDKIM) qui ajoute l'entête `Authentication-Results`,
il faut donc au préalable avoir installé et configuré [OpenDKIM](HowtoOpenDKIM).
OpenDKIM s'appuye également sur l'entête `Received-SPF` mais il peut également faire la vérification SPFlui-même.
On installe :
~~~
# apt install opendmarc
@ -1440,19 +1458,34 @@ On configure via `/etc/opendmarc.conf` :
AuthservID mail.example.com
PidFile /var/run/opendmarc/opendmarc.pid
PublicSuffixList /usr/share/publicsuffix
Socket inet:8892@localhost
Socket inet:8893@localhost
#Socket local:/var/run/opendmarc/opendmarc.sock
Syslog true
UMask 0002
UserID opendmarc
IgnoreHosts /etc/opendmarc/ignore.hosts
SPFSelfValidate true
IgnoreAuthenticatedClients true
~~~
OpenDMARC s'appuie sur l'entête `Received-SPF`, il faut donc avoir installé [la vérification DKIM](#dkim).
Par défaut, OpenDMARC se contente de vérifier et d'ajouter l'entête `Authentication-Results` (AR).
Si l'on veut que les emails avec une politique DMARC invalide soit rejeté (mais c'est rare car `p=reject`