Annonce

Lorsque vous exposez un problème que vous rencontrez sur votre site, n’omettez pas de bien préciser l’adresse de la page (URL) concernée.

Ouvrez un nouveau sujet de discussion pour poser une question, n'utilisez pas une discussion déjà ouverte si votre problème est différent.
Lorsque votre sujet est résolu, indiquez-le en cliquant sur le lien "Passer le sujet en résolu".

Pour les possesseurs de sites Minecraft : Tous les ports TCP/UDP en sortie sont ouverts.
Pour en savoir plus : https://www.franceserv.fr/wiki/minecraft

#1 11/09/2013 18:32:06

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 471
Site Web

Signature DKIM et SPF en place pour tous les noms de domaines

Bonjour,

Jusqu'à maintenant, seul le mécanisme SPF pour l'authentification des envois de mails via la plateforme de FranceServ Hébergement était pleinement appliqué pour les mails sortants avec l'aide de la zone DNS du nom de domaine.

En entrant, le mécanisme SPF et DKIM étaient par contre tous les deux vérifiés.

Cette vérification a pour but de s'assurer de la légitimité de l'origine d'émission du mail en fonction de ce qui est déclaré dans la zone DNS du nom de domaine concerné. Sauf que le SPF a été progressivement abandonné à la place de DKIM, bien que le SPF soit encore utilisé par Google Mail par exemple.

C'est pour cette raison que j'ai mis en place, en plus du SPF, la signature DKIM des adresses mails envoyés depuis la plateforme de FranceServ Hébergement afin de suivre les recommandations des anti-spam de par le monde.

Cette signature DKIM est définie uniquement pour les noms de domaine dont les NS et le MX sont ceux de de la plateforme DNS/Mail de FranceServ Hébergement, ceci pour ne pas bloquer les envois effectués depuis d'autres serveurs mail légitimes que je ne gère pas.

Les serveurs de messagerie souhaitant ainsi vérifier les signatures DKIM peuvent le faire via les clés publiques de signature (seule la clé privée est connue du serveur d'émission du domaine concerné). La méthode afin de vérifier cette signature s'effectue avec la zone DNS du nom de domaine.

C'est pour cette raison que le serveur mail de FranceServ Hébergement signe tous les messages qu'il émet à l'aide de DKIM en utilisant le sélecteur "fsh1". Ce sélecteur est ajouté automatiquement dans un champ TXT de chacun des nom de domaines hébergés et gérés par la plateforme DNS.

Il est possible bien entendu d'utiliser plusieurs sélecteur, c'est pour cette raison que j'utilise "fsh1" à la place de "default" qui est la valeur par défaut, ceci pour ne pas vous perturber dans votre propre gestion DNS.

La signature DKIM est ajoutée au message, dans un en-tête spécifique ainsi :

DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=franceserv.com;
	s=fsh1; t=1378923022;
	bh=/a1FQ8a0YXke5l5H8Zc8HoMqyp3uGjGa/xsViIZuxyo=;
	h=To:Subject:Message-Id:Date:From;
	b=HIyNQFBKbdfwnk8lG1uKEiKpTUwaVFkZkUwElX+g0MLdX+0rFkyVxd0NT4zFCfSfs
	 xkcy+ev+R9G8tjiYy6XxgqYxTvvC70g2y1/+Yqjve9ORqC7BhTQ+m6jzmDj8yHx0LE
	 74PTy2dHEPg6qMj1Dm06aVuBg+vUOjBtM46Me96s=

Le serveur de réception du message peut ainsi rechercher l'enregistrement TXT nommé "fsh1" dans la zone DNS du nom de domaine. Le mécanisme DKIM signe le mail d'une manière toujours différente, afin que la signature ne puisse pas être reproduite par un autre serveur mail souhaitant usurper le véritable expéditeur.

C'est ainsi que le serveur mail de FranceServ Hébergement est pleinement compatible avec la sécurité SPF et DKIM.

Voici un exemple de vérification DKIM :

DKIM Information:

DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=franceserv.com;
    s=fsh1; t=1378923063;
    bh=/a1FQ8a0YXke5l5H8Zc8HoMqyp3uGjGa/xsViIZuxyo=;
    h=To:Subject:Message-Id:Date:From;
    b=b0EzbGsWR2Xve6BdkxTph0uNjn6Dpzt3blZ9xK1IW3UszgcKMDXo5Fl/T6ZT+yelS
     Hxqf9T5/aiaSb2L4mHwscwzaoY+iyB/f0LPls+7aspp3yVhd8CfGgUcQAn4uTGPH9N
     QFoMS/JcoMQzn03bCdB3XM7Bxml4zaZgiPghy4mE=
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=franceserv.com;
    s=fsh1; t=1378923062;
    bh=/a1FQ8a0YXke5l5H8Zc8HoMqyp3uGjGa/xsViIZuxyo=;
    h=To:Subject:Message-Id:Date:From;
    b=r2WGhaCpcVBznm8DjMBK3n8dAkE6NpkRD3Z8VPjsQv0W1AlleAy+27mKYbbFrB5UM
     kbE6Z80nXpRhkzAfSxpqoqza0Qe+Mn88hOISiJGB8P6p3J8vwh+oF0u0AFCuKCt2yt
     cjXv+sjF3vsFkrIw8/4B/3lI7CG7fFs4BGmGLtzs=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          simple/simple
d= Domain:          franceserv.com
s= Selector:        fsh1
q= Protocol:       
bh=                 /a1FQ8a0YXke5l5H8Zc8HoMqyp3uGjGa/xsViIZuxyo=
h= Signed Headers:  To:Subject:Message-Id:Date:From
b= Data:            b0EzbGsWR2Xve6BdkxTph0uNjn6Dpzt3blZ9xK1IW3UszgcKMDXo5Fl/T6ZT+yelS
     Hxqf9T5/aiaSb2L4mHwscwzaoY+iyB/f0LPls+7aspp3yVhd8CfGgUcQAn4uTGPH9N
     QFoMS/JcoMQzn03bCdB3XM7Bxml4zaZgiPghy4mE=
Public Key DNS Lookup

Building DNS Query for fsh1._domainkey.franceserv.com
Retrieved this publickey from DNS: v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCzvJKXqpi2wTeQgf7YGb2ReLmouppFCzG5gnBSIea49VSK8i++KLREVXCuhAphFTraVRopMSrP0NP4lNX4QLI1N5Ru9WTqytuggO/8Mo5xR2XV68QK7d5hetjJrW1zCPGYWF13VeCQhqu7HN6DvxcI4A8sT0HUMrQPzZVJiYRVIwIDAQAB
Validating Signature

result = pass

Et voici la seconde vérification en SPF :

SPF Information:

Using this information that I obtained from the headers

Helo Address = mx.franceserv.com
From Address = admin@franceserv.com
From IP      = ***
SPF Record Lookup

Looking up TXT SPF record for franceserv.com
Found the following namesevers for franceserv.com: ns.franceserv.com ns2.franceserv.com
Retrieved this SPF Record: v=spf1 a:mx.franceserv.fr mx:franceserv.fr ~all (TTL = 3600)
using authoritative server {ns.franceserv.com} directly for SPF Check
Result: pass (Mechanism 'a:mx.franceserv.fr' matched)

Result code: pass
Local Explanation: franceserv.com: *** is authorized to use 'admin@franceserv.com' in 'mfrom' identity (mechanism 'a:mx.franceserv.fr' matched)
spf_header = Received-SPF: pass (franceserv.com: *** is authorized to use 'admin@franceserv.com' in 'mfrom' identity (mechanism 'a:mx.franceserv.fr' matched)) receiver=yen; identity=mailfrom; envelope-from="admin@franceserv.com"; helo=mx.franceserv.com; client-ip=***

C'est magique !

Ainsi, les serveurs mails destinataires ne classerons plus facilement les mails envoyés depuis la plateforme mail en tant que SPAM smile


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#2 12/09/2013 09:26:04

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 471
Site Web

Re : Signature DKIM et SPF en place pour tous les noms de domaines

Le robot qui permet de générer la signature DKIM est en place de manière automatique.

Il parcours tous les noms de domaine dont le MX est celui de la plateforme Mail de FranceServ Hébergement.

Lorsqu'il ne connait pas encore le domaine, il génère une signature DKIM automatiquement et la charge dans le service des signatures opendkim. Puis il insert cette signature automatiquement dans la zone DNS du nom de domaine via un champ de type TXT et de nom "fsh1._domainkey", si le champ existe déjà il le supprime puis le recrée.

Lorsqu'une signature n'est plus présente parmi les domaines hébergés dont le MX est celui de FSH, la signature est retirée du service opendkim et le champ "fsh1._domainkey" de type TXT est supprimé dans la zone DNS du nom de domaine concerné.

Le serial du nom de domaine au niveau DNS est incrémenté de 1 à chaque modification.

J'ai également modifié le gestionnaire DNS MyAdmin écrit en PHP afin que les enregistrements RR de nom "*._domainkey" DKIM soient dans la partie supérieure de la zone DNS, au même niveau que le champ TXT du SPF pour que ça soit plus logique.

Voilà smile


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#3 12/09/2013 10:25:18

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 471
Site Web

Re : Signature DKIM et SPF en place pour tous les noms de domaines

Le robot fonctionne tellement bien que j'ai ajouté la gestion SPF en plus de DKIM smile

Le principe reste le même.


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

Pied de page des forums

[ Générées en 0.024 secondes, 11 requêtes exécutées - Utilisation de la mémoire : 624.25 Kio (pic d'utilisation : 663.8 Kio) ]