Re: [sympa-fr] Multiple Host et signature DKIM : dkim_domain_signer pas pris en compte

[Guillaume Tournat <adresse@cachée>]

Le 21/09/2011 19:42, Christophe Lecerf a écrit : Bonjour à tous,

Je gère plusieurs serveurs SYMPA en version 6.1.x qui abritent des centaines/milliers de listes de diffusions rattachées à des sous-domaines. Et j'essaie de valider les messages envoyés par ces serveurs par une signature DKIM.

Par exemple, pour un domaine comme machin.fr, j'ai les robots 01.machin.fr, 02.machin.fr, www.machin.fr, etc... (environ 120 sous-domaines par domaine).

Chacun de ces robots contrôle des dizaines de listes différentes, par exemple adresse@cachée ou adresse@cachée, bien qu'elles puissent porter le même nom (par exemple adresse@cachée n'est PAS la même liste que adresse@cachée).

Pour DKIM, comme il n'est pas raisonnable de créer les clés publiques DKIM correspondantes pour chacun de ces sous-domaines, la solution qui me paraissait évidente pour la signature DKIM en émission est de positionner le paramètre dkim_domain_signer du robot à la valeur du domaine (et pas du sous-domaine comme il est prévu par défaut), pour forcer la signature DKIM sur le champ <selecteur>._domainkey.machin.fr. Ce qui permet la vérification DKIM à la réception aisément, sans altérer les paramètres de listes liés au fonctionnement de SYMPA.

Le problème est que le paramètre dkim_domain_signer n'est pas réellement utilisé par SYMPA pour le champ "d" de la signature DKIM. Ni au niveau LISTE, ni au niveau ROBOT. En effet SYMPA positionne SYSTEMATIQUEMENT celui-ci à la valeur du domaine du robot, ici 01.machin.fr ou www.machin.fr. Ce qui fait échouer la vérification DKIM, bien sûr.

Et en utilisant, dans la zone DNS, un petit wildcard  ?

$ORIGIN machin.fr.
rsa1._domainkey.*    IN    TXT    ...