Re: [sympa-fr] clés DKIM multiples sur robots

[David Verdin <adresse@cachée>]

Bonjour Mickael et désolé de cette réponse tardive.

Je confirme que le chemin vers la clé (private_key_path) peut être déclaré dans robot.conf.

Tu peux n'utiliser qu'une seule clé, en même temps. Du moment que tu déclares la clé publique dans le DNS, ça marche pareil. Ces clés ne sont pas des certificats, ce ne sont que des chaînes de caractères qui servent à calculer la signature.

Pour ton message "remove_invalid_dkim_signature", c'est sans doute, oui, la suppression de la signature DKIM entrante qui est - quasi - sytématiquement cassée par les traitements que Sympa fait subir à un message de liste.

Ce serait bien que tu nous montre tes configs (sympa.conf et robot.conf) DKIML pour qu'on comprenne comment tu as configuré ton serveur.

Bonne journée,

David

Le 19/05/2016 à 09:55, Mickael DEQUIDT (via sympa-fr Mailing List) a écrit :

Bonjour,

merci pour cet éclaircissement ; de nouvelles questions apparaissent, du coup.

Si la clé unique est rattachée au nom de domaine du MTA, cela implique qu'il n'est pas possible de signer correctement les mails partant de robots secondaires, dont le nom de domaine est différent, non ?

De mon côté, j'observe un comportement étrange : les mails du robot principal sont correctement signés. Les mails d'un second robot sont aussi correctement signés, mais ne devraient pas l'être puisque l'unique clé a été généré avec le nom de domaine du premier robot ; et les mails d'un troisième robot ne sont pas signés du tout, alors que la config est la même !

Par ailleurs, pour les trois robots, j'observe dans les logs cette information :

May 19 09:45:12 vsympamako bulk[19785]: info Sympa::Message::remove_invalid_dkim_signature() DKIM signature of message Sympa::Message <id-message/z/shelved:dkim_sign> is invalid, removing

qui, je pense, correspond à l'élimination de la signature DKIM de l'émetteur du message - mais je signale, au cas où ce ne serait pas cela.

Qu'en pensez-vous ?

Le 18/05/2016 à 16:32, Christophe Lecerf (via sympa-fr Mailing List) a écrit :

Bonjour à tous,

A mon expérience, on ne peut utiliser qu'une seule clé DKIM, déclarée dans le robot principal, et rattachée au nom de domaine utilisé par le MTA.

Par ailleurs, pour le cas où d'autres gestionnaires SYMPA seraient tentés par DKIM, sachez que les versions de SYMPA 6.1.xx (>=17) n'acceptent pas DKIM sur les serveurs Debian 8 (Jessie). C'est un bug déclaré depuis 2014 qui n'a pas été exploré/corrigé (voir Bug [#9493] HTML mails go wrong : LE RETOUR .... et l'explication : DKIM est cassé).

Enfin, quand je dis "n'acceptent pas DKIM", c'est plus précisément "DKIM et les messages expédiés en HTML".

Bon travail à tous,
Christophe Lecerf

Le 18 /05/16 (20) à 13:34, Mickael DEQUIDT (via sympa-fr Mailing List) a écrit :

Bonjour à tous,

je me suis lancé hier dans la mise en place de dkim sur mon serveur SYMPA, mais je bloque sur quelque chose qui est peut-être tout simple :

pour le robot principal, aucun soucis : j'active dkim dans sympa.conf, je renseigne le sélecteur et la localisation de la clé privée, je publie la clé publique, je positionne dans robot.conf le nom de domaine, et après un restart, les mails des listes du robots sont correctement signés, tout va bien.

Vient le tour du second robot : ayant généré un nouveau couple de clés, je commente le chemin vers la clé dans sympa.conf, je modifie le robot.conf du premier robot pour lui donner le chemin vers la première clé, puis dans le deuxième robot.conf, je lui donne le chemin de la deuxième clé, en plus des paramètres qui vont bien.

Et surprise, non seulement la signature échoue sur le deuxième robot, mais elle a disparu des mails du premier ! J'obtiens le message d'erreur suivant :

Sympa::Tools::DKIM::get_dkim_parameters#82 Could not read dkim private key chemin/vers/la/clé: No such file or directory

Sachant que chemin/vers/la/clé est l'ancien chemin, renseigné au départ dans sympa.conf, que j'ai préalablement commenté. D'où ma suspicion : il faut signer les domaines de chaque robot avec la même clé, celle dont le chemin est renseigné dans sympa.conf.

Peut-on me confirmer qu'il n'est pas possible de renseigner un chemin de clé privée dans les robot.conf ?
Merci d'avance !

-- 
Mickaël DEQUIDT
IFREMER - Service IMN/IDM/RIC
Centre Ifremer Bretagne - ZI de la pointe du diable
CS 10070 - 29280 Plouzané
Tel : +33 (0)2 98 22 46 04 - Fax : +33 (0)2 98 22 46 47 

-- 
Mickaël DEQUIDT
IFREMER - Service IMN/IDM/RIC
Centre Ifremer Bretagne - ZI de la pointe du diable
CS 10070 - 29280 Plouzané
Tel : +33 (0)2 98 22 46 04 - Fax : +33 (0)2 98 22 46 47 

--
A bug in Sympa? Quick! To the bug tracker!

David Verdin Études et projets applicatifs
Tél : +33 2 23 23 69 71 Fax : +33 2 23 23 71 21   www.renater.fr	RENATER 263 Avenue du Gal Leclerc 35042 Rennes Cedex

Attachment: smime.p7s
Description: Signature cryptographique S/MIME