Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa
Archives de la liste
[sympa-fr] Multiple Host et signature DKIM : dkim_domain_signer pas pris en compte
- From: Christophe Lecerf <adresse@cachée>
- To: adresse@cachée
- Cc: galliard philippe <adresse@cachée>
- Subject: [sympa-fr] Multiple Host et signature DKIM : dkim_domain_signer pas pris en compte
- Date: Wed, 21 Sep 2011 19:42:57 +0200
Bonjour à tous,
Je gère plusieurs serveurs SYMPA en version 6.1.x qui abritent des centaines/milliers de listes de diffusions rattachées à des sous-domaines. Et j'essaie de valider les messages envoyés par ces serveurs par une signature DKIM.
Par exemple, pour un domaine comme machin.fr, j'ai les robots 01.machin.fr, 02.machin.fr, www.machin.fr, etc... (environ 120 sous-domaines par domaine).
Chacun de ces robots contrôle des dizaines de listes différentes, par exemple adresse@cachée ou adresse@cachée, bien qu'elles puissent porter le même nom (par exemple adresse@cachée n'est PAS la même liste que adresse@cachée).
Pour DKIM, comme il n'est pas raisonnable de créer les clés publiques DKIM correspondantes pour chacun de ces sous-domaines, la solution qui me paraissait évidente pour la signature DKIM en émission est de positionner le paramètre dkim_domain_signer du robot à la valeur du domaine (et pas du sous-domaine comme il est prévu par défaut), pour forcer la signature DKIM sur le champ <selecteur>._domainkey.machin.fr. Ce qui permet la vérification DKIM à la réception aisément, sans altérer les paramètres de listes liés au fonctionnement de SYMPA.
Le problème est que le paramètre dkim_domain_signer n'est pas réellement utilisé par SYMPA pour le champ "d" de la signature DKIM. Ni au niveau LISTE, ni au niveau ROBOT. En effet SYMPA positionne SYSTEMATIQUEMENT celui-ci à la valeur du domaine du robot, ici 01.machin.fr ou www.machin.fr. Ce qui fait échouer la vérification DKIM, bien sûr. Preuve :
---------------------------------------------------------- DKIM check details: ---------------------------------------------------------- Result: permerror (key "rsa1._domainkey.www.machin.fr" doesn't exist) ID(s) verified: Canonicalized Headers: list-unsubscribe:<mailto:adresse@cachée?subject=unsubscribe%20test-transfert>'0D''0A' list-subscribe:<mailto:adresse@cachée?subject=subscribe%20test-transfert>'0D''0A' list-post:<mailto:adresse@cachée>'0D''0A' list-owner:<mailto:adresse@cachée>'0D''0A' list-help:<mailto:adresse@cachée?subject=help>'0D''0A' list-archive:<http://www.machin.fr/wws/arc/test-transfert>'0D''0A' list-id:<test-transfert.www.machin.fr>'0D''0A' sender:adresse@cachée'0D''0A' subject:[test-transfert]'20'test'20'dkim'20'2'0D''0A' from:"C.'20'Lecerf"'20'<adresse@cachée>'0D''0A' content-transfer-encoding:7BIT'0D''0A' content-type:text/plain;'20'charset="US-ASCII"'0D''0A' mime-version:1.0'0D''0A' message-id:<adresse@cachée>'0D''0A' to:adresse@cachée'0D''0A' date:Wed,'20'21'20'Sep'20'2011'20'18:47:25'20'+0200'0D''0A' dkim-signature:v=1;'20'a=rsa-sha256;'20'q=dns/txt;'20'c=relaxed/relaxed;'20'd=www.machin.fr;'20's=rsa1;'20'h=List-Unsubscribe:List-Subscribe:List-Post:List-Owner:List-Help:List-Archive:List-Id:Sender:Subject:From:Content-Transfer-Encoding:Content-Type:MIME-Version:Message-ID:To:Date;'20'bh=sjhD19sEle4qea+Q/eQCFFyn3cVJeThX+GMYH3fWSFQ=;'20'b=;
Pourtant, les fichiers sont correctement remplis, la visualisation par http://www.machin.fr/wws/edit_config montre que la lecture de ceux-ci est correcte... (voir ci-dessous).
Conclusion : soit il y a un autre "truc" non documenté que je n'ai pas trouvé, soit ça sent le bogue... Les tests ont été menés sur une version 6.1.7.
Merci de vos avis. Histoire de vous convaincre, je vous joins les fichiers de configuration ci-dessous.
Cordialement,
C. Lecerf
### le fichier robot.conf
cat etc/www.machin.fr/robot.conf
host www.machin.fr
http_host www.machin.fr
wwsympa_url http://www.machin.fr/wws
title Listes sur www.machin.fr
log_level 0
listmaster adresse@cachée
email sympa
lang fr
create_list public_listmaster
default_home home
cookie_domain www.machin.fr
verp_rate 10%%
dkim_feature on
dkim_signer_domain machin.fr.
dkim_private_key_path /home/sympa/etc/dkim.private.rsa1
dkim_selector rsa1
dkim_add_signature_to list,robot
dkim_signature_apply_on dkim_authenticated_messages,editor_validated_messages
### remarque : DKIM_feature ou dkim_feature : même résultat bien que la doc indique les majuscules.
### et aussi le fichier config de la liste
visibility conceal
reply_to_header
apply forced
value sender
web_archive
access public
serial 7
subject test-transfert
subscribe closed
clean_delay_queuemod 15
editor
reception mail
email adresse@cachée
visibility noconceal
editor
reception mail
email adresse@cachée
visibility noconceal
gecos Verifier port25.com
unsubscribe open_notify
topics computers/software
creation
email adresse@cachée
date 20 nov 2008 at 20:38:57
date_epoch 1227209937
update
email adresse@cachée
date 21 sept. 2011 at 17:59:03
date_epoch 1316620743
review owner
dkim_parameters
header_list from:sender:reply-to:subject:date:message-id:to:cc:list-id:list-help:list-unsubscribe:list-subscribe:list-post:list-owner:list-archive:in-reply-to:references:resent-date:resent-from:resent-sender:resent-to:resent-cc:resent-message-id:mime-version:content-type:content-transfer-encoding:content-id:content-description
private_key_path /home/sympa/etc/dkim.private.rsa1
selector rsa1
signer_domain machin.fr.
default_user_options
reception html
visibility noconceal
send private
status open
reject_mail_from_automates_feature off
available_user_options
reception html,mail,nomail,txt
rfc2369_header_fields archive,help,owner,post,subscribe,unsubscribe
dkim_signature_apply_on any
owner
reception mail
profile privileged
email adresse@cachée
visibility noconceal
gecos C. Lecerf
archive
period year
access owner
remind_task 2month
custom_subject test-transfert
##################
## Et la visualisation par wwsympa après paramétrage forcé et redémarrage :
DKIM
parameter name | value | apply to | default |
---|---|---|---|
dkim_feature | on | www.machin.fr | off |
dkim_add_signature_to | list,robot | www.machin.fr | robot,list |
dkim_signature_apply_on | dkim_authenticated_messages,editor_validated_messages | www.machin.fr | md5_authenticated_messages,smime_authenticated_messages,dkim_authenticated_messages,editor_validated_messages |
dkim_private_key_path | /home/sympa/etc/dkim.private.rsa1 | www.machin.fr | |
dkim_selector | rsa1 | www.machin.fr | |
dkim_signer_domain | machin.fr. | www.machin.fr | |
dkim_signer_identity | www.machin.fr | ||
dkim_header_list | from:sender:reply-to:subject:date:message-id:to:cc:list-id:list-help:list-unsubscribe:list-subscribe:list-post:list-owner:list-archive:in-reply-to:references:resent-date:resent-from:resent-sender:resent-to:resent-cc:resent-message-id:mime-version:content-type:content-transfer-encoding:content-id:content-description | www.machin.fr | from:sender:reply-to:subject:date:message-id:to:cc:list-id:list-help:list-unsubscribe:list-subscribe:list-post:list-owner:list-archive:in-reply-to:references:resent-date:resent-from:resent-sender:resent-to:resent-cc:resent-message-id:mime-version:content-type:content-transfer-encoding:content-id:content-description |
-
[sympa-fr] Multiple Host et signature DKIM : dkim_domain_signer pas pris en compte,
Christophe Lecerf, 21/09/2011
- Re: [sympa-fr] Multiple Host et signature DKIM : dkim_domain_signer pas pris en compte, Guillaume Tournat, 21/09/2011
Archives gérées par MHonArc 2.6.19+.