Re: [sympa-fr] champ From:

[David Verdin <adresse@cachée>]

Et pour préciser la notions d'alignement, voir la page 8 de la RFC (https://datatracker.ietf.org/doc/draft-kucherawy-dmarc-base/?include_text=1), c'est assez simple :

"

   Identifier Alignment:  When the domain in the RFC5322.From address
      matches a domain validated by SPF or DKIM (or both), it has
      Identifier Alignment.


"

Voilà voilà...

Heureusement, DMARC est assez peu utilisé en France pour le moment. C'est surtout yahoo.com qui pose problème avec son "p=reject".
Mais il y a gros à parier que cette RFC va faire des émules.

Bonne journée,

David

Le 04/03/15 11:07, David Verdin a écrit :

adresse@cachée"> Bonjour (et merci de ce retour),

Le 04/03/15 07:36, Patrick Proniewski a écrit :

Bonjour,

J'ai peut être raté quelque chose, quoi qu'il en soit j'ai une méthode bien différente pour régler ce problème de DMARC, et autant que je puisse dire, elle fonctionne.

Ah... J'y ai cru en te lisant, mais après réflexion... voir la fin du message.

J'utilise à titre perso Mailman,

C'est pas grave. Personne ne te juge. :-P

mais la logique est théoriquement la même :

Mon serveur de mail perso dispose d'un enregistrement SPF, signe les messages avec DKIM, et publie une politique DMARC. Comme il utilise SRS au moment de l'envoi pour réécrire les adresses From *de l'enveloppe uniquement* je ne rencontre pas de soucis, alors même que l'entête "From: " du message reste inchangée.
SRS permet de dire au serveur distant que j'assume la responsabilité du message, l'adresse originale de l'expéditeur présentée dans l'enveloppe pendant la transaction SMTP est encodée pour utiliser mon propre nom de domaine, auquel correspond un enregistrement SPF. Ça donne ce genre de choses :

srs_forward: <adresse@cachée> rewritten as <adresse@cachée>

SPF est donc validé par le receveur (et en cas de bounce, la procédure srs_reverse assure la livraison du message d'erreur à l'expéditeur original).

Quant à DKIM, comme je resigne tout ce qui sort, il n'y a normalement pas de souci : au moins une signature DKIM est valide pour le message.
Normalement DMARC doit être valide si SPF est valide et qu'une signature DKIM est valide.

Mais bon, peut être que quelque chose m'échappe :)

Je pense que tu ne respectes pas l'alignement.
D'après ce que tu me présente, SRS te sauve en effet pour SPF. Après tout, ça a été fait pour ça.
Mais ça ne suffit pas pour DMARC (pas plus que la présence de la signature DKIM valide). En effet, la notion d'alignement rajoute un cran d'exigence. En gros, il faut que le champ "d=" de la signature DKIM corresponde au domaine de l'expéditeur (strictement ou au moins un sous-domaine, si on est en DMARC "relaxed) et il faut que le champ From: du message contienne un domaine valide du point de vue de SPF. Avec SRS, tu vérifies bien la validation SPF, mais sans l'alignement du domaine pour lequel SPF est validé et du champ From: Je pense donc que ça échoue.

Il y a eu plusieurs discussions sur le sujet :

• http://lists.dmarc.org/pipermail/dmarc-discuss/2013-March/001697.html
• http://comments.gmane.org/gmane.ietf.dmarc/149
  

J'avoue à ma grande honte que je ne connaissais pas SRS avant ton message - comme quoi on en apprend tous les jours. Je vais lire plus sur le sujet.

Bonne journée !

David

--
A bug in Sympa? Quick! To the bug tracker!

David Verdin Études et projets applicatifs
Tél : +33 2 23 23 69 71 Fax : +33 2 23 23 71 21   www.renater.fr	RENATER 263 Avenue du Gal Leclerc 35042 Rennes Cedex

--
A bug in Sympa? Quick! To the bug tracker!

David Verdin Études et projets applicatifs
Tél : +33 2 23 23 69 71 Fax : +33 2 23 23 71 21   www.renater.fr	RENATER 263 Avenue du Gal Leclerc 35042 Rennes Cedex

Attachment: png1mLgNf15Mb.png
Description: PNG image

Attachment: smime.p7s
Description: Signature cryptographique S/MIME