Re: [sympa-fr] clés DKIM multiples sur robots

[Mickael DEQUIDT <adresse@cachée>]

Bonjour Christophe et David,

merci pour ces précieuses informations !

De mon côté j'ai poursuivi les recherches ; je suis arrivé à un ensemble à première vue fonctionnelle, bien que j'admette ne pas trop savoir pourquoi ! Finalement je signe tous les robots avec la même clé, mais je ne suis parvenu à stabiliser le tout qu'avec cette configuration, en sympa 6.2.12 :

sympa.conf :

dkim_feature    on
dkim_add_signature_to   robot,list
dkim_signature_apply_on any
dkim_private_key_path   /chemin/vers/la/seule/clé
dkim_signer_domain      nomdurobotprincipal

pour chaque robot.conf :

dkim_signer_domain  nomdurobot
dkim_private_key_path  /chemin/vers/la/seule/clé (paramètre redondant, mais étrangement mes robots ne signaient pas sans)

Avec le résultat suivant : les mails de tous les robots sont signés, et la signature est correctement déchiffrée par gmail et outlook (dkim=pass) pour les différents noms de domaine. Cependant, sur laposte, seules les signature du robot principal sont acceptées. Les mails des autres robots sont envoyés en spam. Mais cela vient peut-être du système particulier de laposte.net plus que de sympa lui-même.

Le 19/05/2016 à 15:49, Christophe Lecerf (via sympa-fr Mailing List) a écrit :

Bonjour Michel,

Exact. J'avais contourné la contrainte en ayant une clé DKIM par domaine, et un robot principal par domaine, puis des robots pour les sous-domaines de chaque domaine.

Je n'ai pas de piste d'explication pour le comportement incohérent de vos trois robots, envoyez vos logs à David comme il le suggère.

Aujourd'hui, si la virtualisation vous est accessible, je me demande si il ne serait pas plus simple de créer une VM pour chaque robot/domaine plutôt que de se battre avec la configuration DKIM de SYMPA et du MTA.

Bon travail,

C. Lecerf

Le 19 /05/16 (20) à 09:55, Mickael DEQUIDT (via sympa-fr Mailing List) a écrit :

Bonjour,

merci pour cet éclaircissement ; de nouvelles questions apparaissent, du coup.

Si la clé unique est rattachée au nom de domaine du MTA, cela implique qu'il n'est pas possible de signer correctement les mails partant de robots secondaires, dont le nom de domaine est différent, non ?

De mon côté, j'observe un comportement étrange : les mails du robot principal sont correctement signés. Les mails d'un second robot sont aussi correctement signés, mais ne devraient pas l'être puisque l'unique clé a été généré avec le nom de domaine du premier robot ; et les mails d'un troisième robot ne sont pas signés du tout, alors que la config est la même !

Par ailleurs, pour les trois robots, j'observe dans les logs cette information :

May 19 09:45:12 vsympamako bulk[19785]: info Sympa::Message::remove_invalid_dkim_signature() DKIM signature of message Sympa::Message <id-message/z/shelved:dkim_sign> is invalid, removing

qui, je pense, correspond à l'élimination de la signature DKIM de l'émetteur du message - mais je signale, au cas où ce ne serait pas cela.

Qu'en pensez-vous ?

Le 18/05/2016 à 16:32, Christophe Lecerf (via sympa-fr Mailing List) a écrit :

Bonjour à tous,

A mon expérience, on ne peut utiliser qu'une seule clé DKIM, déclarée dans le robot principal, et rattachée au nom de domaine utilisé par le MTA.

Par ailleurs, pour le cas où d'autres gestionnaires SYMPA seraient tentés par DKIM, sachez que les versions de SYMPA 6.1.xx (>=17) n'acceptent pas DKIM sur les serveurs Debian 8 (Jessie). C'est un bug déclaré depuis 2014 qui n'a pas été exploré/corrigé (voir Bug [#9493] HTML mails go wrong : LE RETOUR .... et l'explication : DKIM est cassé).

Enfin, quand je dis "n'acceptent pas DKIM", c'est plus précisément "DKIM et les messages expédiés en HTML".

Bon travail à tous,
Christophe Lecerf

Le 18 /05/16 (20) à 13:34, Mickael DEQUIDT (via sympa-fr Mailing List) a écrit :

Bonjour à tous,

je me suis lancé hier dans la mise en place de dkim sur mon serveur SYMPA, mais je bloque sur quelque chose qui est peut-être tout simple :

pour le robot principal, aucun soucis : j'active dkim dans sympa.conf, je renseigne le sélecteur et la localisation de la clé privée, je publie la clé publique, je positionne dans robot.conf le nom de domaine, et après un restart, les mails des listes du robots sont correctement signés, tout va bien.

Vient le tour du second robot : ayant généré un nouveau couple de clés, je commente le chemin vers la clé dans sympa.conf, je modifie le robot.conf du premier robot pour lui donner le chemin vers la première clé, puis dans le deuxième robot.conf, je lui donne le chemin de la deuxième clé, en plus des paramètres qui vont bien.

Et surprise, non seulement la signature échoue sur le deuxième robot, mais elle a disparu des mails du premier ! J'obtiens le message d'erreur suivant :

Sympa::Tools::DKIM::get_dkim_parameters#82 Could not read dkim private key chemin/vers/la/clé: No such file or directory

Sachant que chemin/vers/la/clé est l'ancien chemin, renseigné au départ dans sympa.conf, que j'ai préalablement commenté. D'où ma suspicion : il faut signer les domaines de chaque robot avec la même clé, celle dont le chemin est renseigné dans sympa.conf.

Peut-on me confirmer qu'il n'est pas possible de renseigner un chemin de clé privée dans les robot.conf ?
Merci d'avance !

-- 
Mickaël DEQUIDT
IFREMER - Service IMN/IDM/RIC
Centre Ifremer Bretagne - ZI de la pointe du diable
CS 10070 - 29280 Plouzané
Tel : +33 (0)2 98 22 46 04 - Fax : +33 (0)2 98 22 46 47 

-- 
Mickaël DEQUIDT
IFREMER - Service IMN/IDM/RIC
Centre Ifremer Bretagne - ZI de la pointe du diable
CS 10070 - 29280 Plouzané
Tel : +33 (0)2 98 22 46 04 - Fax : +33 (0)2 98 22 46 47 

-- 
Mickaël DEQUIDT
IFREMER - Service IMN/IDM/RIC
Centre Ifremer Bretagne - ZI de la pointe du diable
CS 10070 - 29280 Plouzané
Tel : +33 (0)2 98 22 46 04 - Fax : +33 (0)2 98 22 46 47