Accéder au contenu.
Menu Sympa

fr - [sympa-fr] Configuration de DKIM et SPF pour Sympa

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

[sympa-fr] Configuration de DKIM et SPF pour Sympa

Chronologique Discussions  
    < Chronologique >       < Discussions >
  • From: Anne Durand <adresse@cachée>
  • To: adresse@cachée
  • Subject: [sympa-fr] Configuration de DKIM et SPF pour Sympa
  • Date: Tue, 08 Jul 2014 16:37:28 +0200
Bonjour
Bien que j'aie installé la version 6.1.22, nous avons toujours des problèmes avec les abonnés, hotmail, yahoo, ...
J'ai rajouté dans sympa.conf quelques options concernant DKIM

dkim_feature    on
dkim_add_signature_to    robot,list
dkim_signature_apply_on any
dkim_private_key_path /chemin/dkim.key
dkim_signer_domain openedition.org
dkim_selector monserveur

Les messages envoyés par la liste sont authentifiés par
monserveur.fr; dkim=pass reason="1024-bit key; insecure key" header.d=openedition.org adresse@cachée header.b=Wo/38p3y; dkim-adsp=pass; dkim-atps=neutral

Il me semble que c'est un bon début. Je vais regénérer une clé de 2048 bits.

Actuellement, l'enregistrement dans le DNS est le suivant :
monserveur._domainkey.openedition.org. IN TXT "v=DKIM1; g=*; k=rsa; p=MIGfMA0GC******62htjCYrYmj6GeQboBRJciHCeF4msniQIDAQAB"
Dans le document https://2009.jres.org/planning_files/article/pdf/28.pdf , "En effet, en signant tous les messages émis, on prend le risque de signer les messages qui seraient émis suite à la corruption d'une
machine : on risque de signer du spam. Il est donc évident que la signature DKIM doit être insérée non pas sur le MTA de sortie des messages mais sur le ou les MSA de façon à ne signer que les messages authentifiés."
Si je ne signe que les messages émis par Sympa (avec un enregistrement spécifique pour le robot), est-ce que c'est suffisant?
Mon robot sympa est groups.openedition.org, je  crois donc qu'il faudrait générer un enregistrement spécifique pour ce robot soit un enregistrement du genre :
monserveurDeListes._domainkey.groups.openedition.org. IN TXT "v=DKIM1; g=*; k=rsa; p=MIGf----MA0GC******62htjCYrYmj6GeQboBR------JciHCeF4msniQIDAQAB"

Est-ce qu'il faut configurer quelque chose au niveau de sympa pour avoir dkim-atps=pass plutôt que dkim-atps=neutral ?

Dans le champ Authentication-result, nous avons :
mx.google.com; spf=neutral (google.com: adresse@cachée does not designate permitted sender hosts) adresse@cachée; dkim=pass adresse@cachée
Est-ce que cet enregistrement est correct?
groups.openedition.org. IN TXT "v=SPF1 a -all"
Si nous mettons en place SPF et DKIM, quels sont les effets de bord négatifs à craindre? Que faut-il particulièrement surveiller?

Merci
Anne

Archives gérées par MHonArc 2.6.19+.

Haut de le page