Re: [sympa-fr] Configuration de DKIM et SPF pour Sympa

[David Verdin <adresse@cachée>]

Bonjour,

Le 08/07/14 16:37, Anne Durand a écrit :

adresse@cachée"> Bonjour
Bien que j'aie installé la version 6.1.22, nous avons toujours des problèmes avec les abonnés, hotmail, yahoo, ...

Une réponse courte : as-tu appliqué les recommandations de la page concernant DMARC : https://www.sympa.org/manual/dmarc ?

Cordialement,

David

adresse@cachée"> J'ai rajouté dans sympa.conf quelques options concernant DKIM

dkim_feature    on
dkim_add_signature_to    robot,list
dkim_signature_apply_on any
dkim_private_key_path /chemin/dkim.key
dkim_signer_domain openedition.org
dkim_selector monserveur

Les messages envoyés par la liste sont authentifiés par

monserveur.fr; dkim=pass reason="1024-bit key; insecure key" header.d=openedition.org adresse@cachée header.b=Wo/38p3y; dkim-adsp=pass; dkim-atps=neutral

Il me semble que c'est un bon début. Je vais regénérer une clé de 2048 bits.

Actuellement, l'enregistrement dans le DNS est le suivant :

monserveur._domainkey.openedition.org. IN TXT "v=DKIM1; g=*; k=rsa; p=MIGfMA0GC******62htjCYrYmj6GeQboBRJciHCeF4msniQIDAQAB"

Dans le document https://2009.jres.org/planning_files/article/pdf/28.pdf , "En effet, en signant tous les messages émis, on prend le risque de signer les messages qui seraient émis suite à la corruption d'une
machine : on risque de signer du spam. Il est donc évident que la signature DKIM doit être insérée non pas sur le MTA de sortie des messages mais sur le ou les MSA de façon à ne signer que les messages authentifiés."
Si je ne signe que les messages émis par Sympa (avec un enregistrement spécifique pour le robot), est-ce que c'est suffisant?
Mon robot sympa est groups.openedition.org, je  crois donc qu'il faudrait générer un enregistrement spécifique pour ce robot soit un enregistrement du genre :

monserveurDeListes._domainkey.groups.openedition.org. IN TXT "v=DKIM1; g=*; k=rsa; p=MIGf----MA0GC******62htjCYrYmj6GeQboBR------JciHCeF4msniQIDAQAB"

Est-ce qu'il faut configurer quelque chose au niveau de sympa pour avoir dkim-atps=pass plutôt que dkim-atps=neutral ?

Dans le champ Authentication-result, nous avons :

mx.google.com; spf=neutral (google.com: adresse@cachée does not designate permitted sender hosts) adresse@cachée; dkim=pass adresse@cachée

Est-ce que cet enregistrement est correct?

groups.openedition.org. IN TXT "v=SPF1 a -all"

Si nous mettons en place SPF et DKIM, quels sont les effets de bord négatifs à craindre? Que faut-il particulièrement surveiller?

Merci
Anne

--
A bug in Sympa? Quick! To the bug tracker!

David Verdin Études et projets applicatifs
Tél : +33 2 23 23 69 71 Fax : +33 2 23 23 71 21   www.renater.fr	RENATER 263 Avenue du Gal Leclerc 35042 Rennes Cedex

Attachment: smime.p7s
Description: Signature cryptographique S/MIME