Information concernant les mails…

Support Debian
#1

Bonjour à tous,

Je suis occupé à me documenter sur la protection des emails…
Il m’est apparu différentes techniques et j’aimerais avoir votre avis ainsi que certains éclaircissements.

Voici ce que j’ai pu trouver :

SPF : assez simple, permet de définir un rang d’IP ou entré DNS qui peuvent envoyer des emails.
=> je termine l’entrée par un -all pour refuser tout autre serveur à envoyer un mail avec le domaine concerné.

DKIM : un rien plus complexe permet à l’aide une clé publique et privée de vérifier que le serveur peut bien envoyer des emails pour le domaine concerné.
=> Idem, un enregistrement DNS viendra compléter le dispositif

ADSP : est un enregistrement DNS qui va informer si le mail devrait être signé ou pas

DMARC : aussi un enregistrement DNS, son rôle est d’envoyer un feedback concernant le SPF / DKIM. Avec possibilité de mettre le mail en quarantaine ou d’indiquer au destinataire que s’il ne répond pas aux critères peut simplement être supprimée.

Jusque-là, je pense avoir compris… Si je me trompe, pourriez-vous corriger ?

Ma question intervient au niveau du SPF… j’ai indiqué dans le spf l’ip4 du serveur et je viens de faire un mailing via mailchimp… et le mail est passé (SPF validé sur mon adresse gmail). => Avez-vous une idée du pourquoi ?

Seconde question, au niveau du DKIM, comment envisager un rejet des emails alors que nous travaillons avec deux serveurs et plusieurs domaines sur ce serveur… l’alignement ne sera donc pas parfait… et le “risque” de rejet semble assez grand ?

Merci de m’avoir lu !
Et très belle journée à tous.

#2

En gros, c’est ça.

  • SPF (et son cousin dégénéré senderID) permettent d’authentifier le serveur expéditeur par son adresse IP et/ou son nom de domaine.
  • DKIM permet d’authentifier le serveur expéditeur par la possession de la clé privée correspondant à la clé publique publiée via le DNS.
  • DMARC est un complément aux deux techniques ci-dessus. Cela permet juste d’imposer une politique précise au serveur recevant les emails et accessoirement à recevoir un feedback.
  • ADSP est obsolète.

Là, il faudra que tu nous montre le début du message tel que reçu par gmail.

A noter que SPF permet juste d’authentifier le serveur expéditeur. Il ne précise pas forcément ce qu’il faut faire avec les emails dont le serveur expéditeur n’aurait pas été authentifié. Et on peut très bien avoir un enregistrement SPF qui ajouterait les serveurs de mailchimp.

Déjà, on ne parle d’alignement que dans le cadre de DMARC.

Concernant DKIM, tu peux très bien partager un même couple clé publique / clé privée entre plusieurs serveurs et/ou entre plusieurs domaines, même si c’est ignoble.
Tu peux aussi avoir plusieurs paires de clé. Une pour chaque serveur pour tous les domaines ou une pour chaque serveur pour chaque domaine.
Ce qui compte, c’est que le serveur expéditeur signe les emails avec la bonne clé privée. Avec Postfix/OpenDKIM, c’est très facile. Avec Exim, ça demande juste un peu plus d’huile de coude.


AnonymousCoward

#3

C’est une bonne idée, ça ?
Tu veux empêcher les gens d’envoyer des mails depuis chez eux, avec un client mail ?

#4

" -all " signifie qu’un email doit être rejeté si son expéditeur n’a pas été autorisé par les différents mécanisme. C’est ce qui s’applique par défaut. Et c’est une bonne idée.

Wikipedia - Sender Policy Framework


AnonymousCoward

#5

Merci pour toutes les informations.

Effectivement -all empêche un client d’envoyer un mail depuis son client mail s’il passe par son provider, on demande donc une connection à notre serveur afin de l’authentifier.

Une idée comment inspecter tous les logs DMARC ??

Merci

#6

Bonjour,

Une fois que tu as mis en place l’enregistrement DNS pour DMARC avec une adresse email de RUA et que tu commence à recevoir des rapports, il te faut un petit outil.

Dans les backports pour Wheezy, il y a le paquet rddmarc qui semble faire ça. - packages.debian.org


AnonymousCoward

#7

C’est une bonne idée, ça ?
Tu veux empêcher les gens d’envoyer des mails depuis chez eux, avec un client mail ?[/quote]
Ça me semble une bonne idée pour éviter que n’importe qui puisse envoyer des mails en ton nom … genre du SPAM