FAQ by LinKuFF.com

Outils pour utilisateurs

Outils du site

Piste:
install:dkim

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
install:dkim [2013/11/22 11:29]
linkuff 		install:dkim [2017/06/23 21:44]
linkuff
Ligne 9: Ligne 9:
  
 On commence par l'installer de manière classique : On commence par l'installer de manière classique :
-<code>apt-get install opendkim</code>+<code>apt-get install opendkim opendkim-tools</code>
  
 Le fichier de configuration principale se trouve dans /etc/opendkim.conf et voici le contenu à indiquer pour une config. standard et fonctionnelle. Le fichier de configuration principale se trouve dans /etc/opendkim.conf et voici le contenu à indiquer pour une config. standard et fonctionnelle.
Ligne 17: Ligne 17:
  
 # Log to syslog # Log to syslog
-Syslog                  yes+Syslog yes
 # Required to use local socket with MTAs that access the socket as a non- # Required to use local socket with MTAs that access the socket as a non-
 # privileged user (e.g. Postfix) # privileged user (e.g. Postfix)
-#UMask                  002+#UMask 002
  
-# Sign for example.com with key in /etc/mail/dkim.key using+# Sign for example.com with key in /etc/dkimkeys/dkim.key using
 # selector '2007' (e.g. 2007._domainkey.example.com) # selector '2007' (e.g. 2007._domainkey.example.com)
-Domain                  example.com +#Domain example.com 
-KeyFile         /etc/mail/dkim.key +#KeyFile /etc/dkimkeys/dkim.key 
-Selector                dkim+#Selector 2007
  
 # Commonly-used options; the commented-out versions show the defaults. # Commonly-used options; the commented-out versions show the defaults.
-#Canonicalization       simple +#Canonicalization simple 
-#Mode                   sv +#Mode sv 
-#SubDomains             no +#SubDomains no
-#ADSPDiscard            no+
  
 # Always oversign From (sign using actual From and a null From to prevent # Always oversign From (sign using actual From and a null From to prevent
Ligne 39: Ligne 38:
 # because it is often the identity key used by reputation systems and thus # because it is often the identity key used by reputation systems and thus
 # somewhat security sensitive. # somewhat security sensitive.
-OversignHeaders         From+OversignHeaders From
  
-List domains to use for RFC 6541 DKIM Authorized Third-Party Signatures +##  ResolverConfiguration filename 
-# (ATPS) (experimental)+##      default (none) 
 +## 
 +##  Specifies a configuration file to be passed to the Unbound library that 
 +##  performs DNS queries applying the DNSSEC protocol.  See the Unbound 
 +##  documentation at http://unbound.net for the expected content of this file. 
 +##  The results of using this and the TrustAnchorFile setting at the same 
 +##  time are undefined. 
 +##  In Debian, /etc/unbound/unbound.conf is shipped as part of the Suggested 
 +##  unbound package
  
-#ATPSDomains            example.com</code>+ResolverConfiguration     /etc/unbound/unbound.conf 
 + 
 +##  TrustAnchorFile filename 
 +##      default (none) 
 +## 
 +## Specifies a file from which trust anchor data should be read when doing 
 +## DNS queries and applying the DNSSEC protocol.  See the Unbound documentation 
 +## at http://unbound.net for the expected format of this file. 
 + 
 +TrustAnchorFile       /usr/share/dns/root.key 
 +KeyTable           /etc/opendkim/KeyTable 
 +SigningTable       /etc/opendkim/SigningTable 
 +ExternalIgnoreList /etc/opendkim/TrustedHosts 
 +InternalHosts      /etc/opendkim/TrustedHosts 
 + 
 +LogWhy yes</code>
  
 les lignes importantes : les lignes importantes :
Ligne 55: Ligne 77:
 - InternalHosts: optionnel, fichier contenant la ou les adresses IP des machines utilisant votre postfix en relai pour envoyer des mails. une adresse ip par ligne, ou un masque de sous réseau (exemple 192.168.0.0/24) - InternalHosts: optionnel, fichier contenant la ou les adresses IP des machines utilisant votre postfix en relai pour envoyer des mails. une adresse ip par ligne, ou un masque de sous réseau (exemple 192.168.0.0/24)
  
-Ensuite, on édite le fichier /etc/default/dkim-filter dans lequel on configure sur quelle adresse ip et port le démon va écouter.+Ensuite, on édite le fichier /etc/default/opendkim dans lequel on configure sur quelle adresse ip et port le démon va écouter.
 par défaut, on a plusieurs lignes commentées, et une non commentée : par défaut, on a plusieurs lignes commentées, et une non commentée :
 <code>SOCKET=inet:8891@localhost</code> <code>SOCKET=inet:8891@localhost</code>
Ligne 61: Ligne 83:
 Signifie que le démon écoutera en local sur 127.0.0.1 sur le port 8891 Signifie que le démon écoutera en local sur 127.0.0.1 sur le port 8891
 A présent, on va générer notre couple de clé privée/publique. A présent, on va générer notre couple de clé privée/publique.
-<code>mkdir /etc/dkim-filter +<code>for domain in linkuff.com 
-cd /etc/dkim-filter +do 
-openssl genrsa -out private.key 1024 +mkdir -p /etc/opendkim/keys/$domain 
-openssl rsa -in private.key -pubout -out public.key</code>+cd /etc/opendkim/keys/$domain 
 +opendkim-genkey -r -d $domain 
 +chown opendkim:opendkim default.private 
 +echo "default._domainkey.$domain $domain:default:/etc/opendkim/keys/$domain/default.private" >> /etc/opendkim/KeyTable 
 +echo "$domain default._domainkey.$domain" >> /etc/opendkim/SigningTable 
 +done</code>
  
-Attention à garder très précieusement la clé privée. vous devez être le seul à la connaitre sous peine de voir votre authenticité remise en cause lors d"envois d'emails.... +Attention à garder très précieusement la clé privée. vous devez être le seul à la connaitre sous peine de voir votre authenticité remise en cause lors d'envois d'emails.... 
  
 Maintenant, on va déclarer notre enregistrement DNS, qui est de type TXT, et de nom selecteur._domainkey.votre_domaine.com Maintenant, on va déclarer notre enregistrement DNS, qui est de type TXT, et de nom selecteur._domainkey.votre_domaine.com
-"selecteur" correspond à la ligne Selector indiqué dans dkim-filter.conf. En l'occurrence dkim.+"selecteur" correspond à la ligne Selector indiqué dans opendkim.conf. En l'occurrence "dkim".
 Si vous aviez mis dans votre fichier "Selector machin", alors votre enregistrement txt aura comme nom machin._domainkey.votre_domaine.com  Si vous aviez mis dans votre fichier "Selector machin", alors votre enregistrement txt aura comme nom machin._domainkey.votre_domaine.com 
  
 Pour ceux qui ont un Bind comme serveur DNS, voici la ligne à rajouter dans la zone décrivant votre domaine. Pour ceux qui ont un Bind comme serveur DNS, voici la ligne à rajouter dans la zone décrivant votre domaine.
 <code>dkim._domainkey.votre_domaine.com IN TXT "k=rsa; t=y; p=votre_clé_publique;"</code> <code>dkim._domainkey.votre_domaine.com IN TXT "k=rsa; t=y; p=votre_clé_publique;"</code>
-remplacez "votre_clé_publique" par le contenu de votre fichier public.key, en n'oubliant pas d'enlever la 1è ligne (-BEGIN RSA PRIVATE KEY-) et la dernière (-END RSA PRIVATE KEY-)+remplacez "votre_clé_publique" par la clé indiquée dans votre fichier dkim.txt
  
-Une fois votre démon dkim-filter configuré aux p'tis oignons, redémarrez le service +Une fois votre démon opendkim configuré aux p'tis oignons, redémarrez le service 
-<code>/etc/init.d/dkim-filter restart</code>+<code>/etc/init.d/opendkim restart</code>
  
-Enfin, on va configurer postfix pour lui indiquer de passer les emails sortant à dkim-filter afin de les signer. +Enfin, on va configurer postfix pour lui indiquer de passer les emails sortant à opendkim afin de les signer. 
-On édite le fichier /etc/postfix/main.conf et on rajoute ces quelques lignes :+On édite le fichier /etc/postfix/main.cf et on rajoute ces quelques lignes :
 <code>milter_default_action = accept <code>milter_default_action = accept
 milter_protocol = 2 milter_protocol = 2
Ligne 102: Ligne 129:
  
 Une autre bonne solution pour le tester est d'envoyer un mail sur une adresse gmail. Une autre bonne solution pour le tester est d'envoyer un mail sur une adresse gmail.
 +<code>echo "le corps du mail" | mail -s "Sujet du mail" adresse_du_destinataire</code>
 +
 En le consultant depuis le webmail Gmail, vous trouverez en haut une ligne en plus disant signé par votre_domaine.com En le consultant depuis le webmail Gmail, vous trouverez en haut une ligne en plus disant signé par votre_domaine.com
 Et la, c'est gagné !  Et la, c'est gagné ! 
install/dkim.txt · Dernière modification: 2017/06/23 21:44 de linkuff

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 3.0 Unported
CC Attribution-Noncommercial-Share Alike 3.0 Unported Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki