clarification sur la gestion de KeyTable / SigningTable

ajout d'infos sur l'entête AR
ajout d'infos pour DKIM
2024-04-24 15:38:29 +02:00 · 2024-04-24 15:28:18 +02:00 · 2024-04-24 15:28:18 +02:00
2 changed files with 14 additions and 6 deletions
--- a/HowtoOpenDKIM.md
+++ b/HowtoOpenDKIM.md
@ -168,22 +168,21 @@ $ systemctl status opendkim

 ~~~
 *@example.com foo._domainkey.example.com
-*@example.org foo._domainkey.example.com
 ~~~

-S'il n'existe pas, ne pas oublier d'ajuster les droits :
+Ne pas oublier d'ajuster les droits lors de la création :

 ~~~
 # chown -R opendkim:opendkim /etc/opendkim/KeyTable
 # chmod 640 /etc/opendkim.conf /etc/opendkim/KeyTable
 ~~~

-S'il y a plusieurs clés, pourra mettre :
+S'il y a plusieurs domaines, on peut spécifier la même clé ou une clé différente d'après ce qui est déclaré dans `/etc/opendkim/KeyTable` :

 ~~~
 *@example.com foo._domainkey.example.com
-*@example1.org bar._domainkey.example.org
-*@example2.org bar._domainkey.example.org
+*@example.org foo._domainkey.example.com
+*@example.net bar._domainkey.example.org
 ~~~

 Puis, recharger OpenDKIM :
@ -300,7 +299,13 @@ Authentication-Results: antispam.example.com; dkim=pass
        dkim-adsp=pass; dkim-atps=neutral
 ~~~

-Vu que l'on force l'option `AlwaysAddARHeader` si il n'y a pas d'entête DKIM cela donnera :
+En cas d'échec, par exemple la clé n'est pas bien mis dans la zone DNS, on aura quelque chose du type :
+
+~~~
+Authentication-Results: antispam.example.com; dkim=permerror (0-bit key) …
+~~~
+
+Et que l'on force l'option `AlwaysAddARHeader` si il n'y a pas de signature DKIM cela donnera :

 ~~~
 Authentication-Results: antispam.example.com; dkim=none; dkim-atps=neutral
--- a/HowtoSympa.md
+++ b/HowtoSympa.md
@ -217,6 +217,7 @@ dkim_feature on
 dkim_private_key_path /etc/ssl/private/sympa2018.private
 dkim_signer_domain lists.example.com
 dkim_selector sympa2018
+#dkim_signature_apply_on any
 ~~~

 On peut ainsi configurer DKIM dans les paramètres de chaque liste de diffusion.
@ -227,6 +228,8 @@ Sauf si votre liste est ouverte à n'importe quel expéditeur, on conseille de s
 dkim_signature_apply_on any
 ~~~

+On peut aussi mettre dans la configuration globale `dkim_signature_apply_on any` (par défaut cela va signer que les emails déjà signés).
+
 ### scenari

 De nombreux scénarii (configurations de distribution des listes) sont proposés par défaut (cf. `/usr/share/sympa/default/scenari/`), mais il est possible de préparer un ou plusieurs scénarios pour des besoins spécifiques et récurrents en les plaçant dans `/etc/sympa/scenari/`. Voici un exemple qui supprime simplement le paramètre `quiet` afin de recevoir une notification en cas de rejet.
Author	SHA1	Message	Date
Gregory Colpart	0fae6796fc	clarification sur la gestion de KeyTable / SigningTable	2024-04-24 15:38:29 +02:00
Gregory Colpart	411df0ad3c	ajout d'infos sur l'entête AR	2024-04-24 15:28:18 +02:00
Gregory Colpart	7dd3628021	ajout d'infos pour DKIM	2024-04-24 15:28:18 +02:00