Installer la signature DKIM sur Postfix avec DKIMproxy

« Un script de monitoring ultra simpliste - A la découverte de Jelix, l'essayer c'est »

Installer la signature DKIM sur Postfix avec DKIMproxy

Par Yves Tannier le mercredi, mars 12 2008, 10:00 - Le pingouin - Lien permanent

Je vous propose dans ce billet l'installation de la signature DKIM sur vos mails sortants. Ceci fait suite à mon billet concernant l'implémentation de DomainKeys avec Postfix et Amavis via Dkfilter.

Dkfilter ne gère en effet que le protocole DomainKeys de Yahoo! maintenant remplacé par DKIM (DomainKeys Identified Mail) , un protocole plus avancé et standardisé par la RFC 4871. Très très brièvement, DKIM permet de « renforcer » l'identité des expéditeurs.

En remplacement de dkfilter, l'auteur de ce programme nous propose DKIMproxy pour gérer la signature DKIM et/ou DomainKeys.

Si vous utilisez Amavis, comme c'est mon cas, sachez quelques petites choses :

Il semble que Amavisd-new gère la signature DKIM des mails sortants à partir de la version 2.6.0. Mais sur Debian Etch, nous en sommes à la version 2.4. C'est donc l'intérêt de ce billet. Je n'ai pas testé la version 2.6.0. je ne peux donc pas vous en dire plus.

DKIMproxy permet également une vérification des mails entrants. Cette vérification ne nous intéresse pas forcément puisque Amavis propose déjà cette fonctionnalité via Spamassassin qui utilise la librairie perl Mail::DKIM.

Comme pour mon précédent billet, c'est un howto « copié/collé » pour les informaticiens ~~fainéants~~ pressés. J'ai également fais pas mal de copié/collé de l'ancien billet puisque la configuration est sensiblement la même sur de nombreux points.

Installer DKIMproxy

Placez-vous dans /usr/src et téléchargez DKIMproxy

cd /usr/src
wget http://kent.dl.sourceforge.net/sourceforge/dkimproxy/dkimproxy-1.0.1.tar.gz

Décompressez l'archive et placez-vous dans le nouveau répertoire

tar zxvf dkimproxy-1.0.1.tar.gz
cd dkimproxy-1.0.1

Si vous n'avez pas encore le module perl Mail::Dkim, il faut l'installer via CPAN pour disposer d'une version suffisamment récente la version Debian Etch est trop ancienne).

perl -MCPAN -e shell
install Mail::DKIM
exit

Préparez l'installation de dkimproxy dans /usr/local/dkimproxy

mkdir /usr/local/dkimproxy
./configure --prefix=/usr/local/dkimproxy

Compilez et installez

make install

Déplacez-vous dans le répertoire dkimproxy et renommez les fichiers de configuration des daemons

cd /usr/local/dkimproxy
mv etc/dkimproxy_in.conf.example etc/dkimproxy_in.conf
mv etc/dkimproxy_out.conf.example etc/dkimproxy_out.conf

Créer l'utilisateur et le groupe dkim

adduser dkim --no-create-home --disabled-password --disabled-login

Installer le script de démarrage de dkimproxy

Copiez le script de démarrage proposé dans les sources de dkimproxy dans /etc/init.d/

cp /usr/src/dkimproxy-1.0.1/sample-dkim-init-script.sh /etc/init.d/dkimproxy

Editez-le. Normalement, il n'y a rien a changer dans ce fichier si on utilise les paramètres « standards »

vi /etc/init.d/dkimproxy

Créer une clé publique/privée

Chaque domaine possèdera sa propre clé. On crée un dossier dans lequel on stockera les clés.

mkdir /usr/local/dkimproxy/keys
cd /usr/local/dkimproxy/keys

On suppose que vous avez le paquet OpenSSL installé et que votre domaine est exemple.tld

La clé privée

openssl genrsa -out exempletld.key 1024

La clé publique

openssl rsa -in exempletld.key -pubout -out exempletld_pub.key

Changer les droits sur la clé privée pour la rendre uniquement accessible à l'utilisateur dkim

chown dkim:dkim exempletld.key
chmod 640 exempletld.key

Ajouter l'enregistrement TXT à la zone DNS

Une fois la clé générée, il va falloir ajouter un enregistrement TXT à la zone de chaque domaine. Prenons encore l'exemple du domaine exemple.tld

On édite le fichier de zone /var/cache/bind/exemple.tld.hosts et on ajoute l'enregistrement TXT suivant. La valeur de "p=" correspond à la clé publique sur une seule ligne. Notez également le nom exempletld qui sera utile pour la suite (nous l'appellerons "sélecteur"). Le t=y; signifie que votre installation est en test. Vous pourrez retirer cette information quand tout sera opérationnel

; DKIM
_domainkey.exemple.tld.                  IN TXT  "t=y; o=-;"
exempletld._domainkey.exemple.tld.    IN TXT "k=rsa; t=s; p=ici_la_cle_publique_hyper_longue"

N'oubliez pas d'incrémenter le numéro de série de votre zone pour que les changements soient pris en compte et relancer bind :

/etc/init.d/bind9 restart

Créer le fichier de configuration de DKIM

Il faut maintenant créer le fichier de configuration qu'utilisera DKIMproxy au lancement du service. Celui ci contient les différentes informations pour chacun des domaines signés.

vi /usr/local/dkimproxy/sender_map

Toujours l'exemple avec exemple.tld. Ici, on demande la signature DKIM et la signature DomainKeys. Il est possible de choisir l'un ou l'autre uniquement. Je vous renvois sur les spécifications de DKIM pour les autres paramètres ! Sachez simplement que le paramètre « s » correspond au nom du sélecteur utilisé dans votre fichier de zone.

exemple.tld dkim(c=simple,s=exempletld,a=rsa-sha1,key=/usr/local/dkimproxy/keys/exemple.tld.key), domainkeys(c=nofws,s=exempletld,key=/usr/local/dkimproxy/keys/exempletld.key)

A lire avant de continuer : un « problème » subsiste dans mon howto. En effet, je lance toujours dkimproxy.in qui s'occupe de l'analyse de messages entrants alors que ce travail est déjà effectué par SpamAssasin via Amavis comme je le précise au début de ce billet. Je n'ai simplement pas pris le temps de modifier le script de démarrage et mon implémentation dans Postfix. Je modifierais ce billet dés que j'aurais nettoyé tout ça ! Ami lecteur, si tu l'as fais pour ta configuration, n'hésites pas à me le signaler

Ceci étant, la signature fonctionne tout de même... alors on continue !

Lancer DKIMproxy

Avant d'envisager la configuration de Postfix, il faut vérifier que DKIMproxy se lance correctement :

/etc/init.d/dkimproxy start

Si il n'y a pas d'erreur on vérifie que le service est fonctionnel :

ps aux | grep dkim

Il doit y avoir des lignes avec dkimproxy.in et des lignes avec dkimproxy.out.

Maintenant que la zone est modifié, DKIMproxy installé et fonctionnel, passons enfin à la configuration de Postfix.

Configurer de Postfix

La configuration n'est pas différente de celle pour dkfilter. Je colle ici le contenu de mon précédent billet.

Dans ma configuration, avant l'installation de DKIM et DomainKeys, j'utilise déjà Amavisd-new pour le filtrage antivirus (clamav) et antispam (spamassassin et dspam). J'ajoute donc DKIMproxy dans le process avant l'analyse par Amavis.

Dans le main.cf, je remplace :

content_filter = amavis:[127.0.0.1]:10024

par :

content_filter = dksign:[127.0.0.1]:12027

[Je ne sais pas pourquoi mais si je ne précise pas le content_filter dans le main.cf, les mails envoyés par des processus locaux (par exemple, la fonction mail de PHP) ne passe pas par amavis et dksign]

Dans le master.cf, voici la configuration :

Au début du fichier

# relayer sur dksign sur le port 10028
smtp      inet  n       -       -       -       200     smtpd
        -o receive_override_options=no_address_mappings
        -o content_filter=dksign:[127.0.0.1]:12027

# Le smtp securise SSL
smtps     inet  n       -       -       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o content_filter=dksign:[127.0.0.1]:12027
  -o receive_override_options=no_address_mappings
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

# envoyer directement a dksign
submission  inet  n     -       n       -       -       smtpd
    -o smtpd_etrn_restrictions=reject
    -o smtpd_sasl_auth_enable=yes
    -o content_filter=dksign:[127.0.0.1]:12027
    -o receive_override_options=no_address_mappings
    -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
    #-o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject

A la fin

# Pour amavis
amavis  unix    -   -   -   -   20  smtp
        -o smtp_helo_timeout=300 
        -o smtp_data_done_timeout=1200
        -o smtp_send_xforward_command=yes
    -o disable_dns_lookups=yes
127.0.0.1:10025 inet n - - - - smtpd
        -o content_filter=
        -o local_recipient_maps=
        -o relay_recipient_maps=
        -o smtpd_restriction_classes=
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o mynetworks=127.0.0.0/8
        -o strict_rfc821_envelopes=yes
        -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
        -o smtpd_bind_address=127.0.0.1
    -o disable_dns_lookups=yes

#
# signature dkim/domainkeys
#
dksign    unix  -       -       n       -       10      smtp
    -o smtp_send_xforward_command=yes
    -o smtp_discard_ehlo_keywords=8bitmime

#
# signature dkim/domainkeys
#
127.0.0.1:12028 inet  n  -      n       -       10      smtpd
    -o content_filter=amavis:[127.0.0.1]:10024
    -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
    -o smtpd_helo_restrictions=
    -o smtpd_client_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o mynetworks=127.0.0.0/8
    -o smtpd_authorized_xforward_hosts=127.0.0.0/8

Vous pouvez ensuite relancer postfix

/etc/init.d/postfix restart

Vérifier la signature

Envoyez un mail et regardez dans les logs :

tail -f /var/log/mail.info

Vous devez avoir pour un message envoyé par une adresse de exemple.tld :

... DKIM signing - signed; message-id=<47D7961B.6060505@exemple.tld>, signer=<yves@exemple.tld>, from=<yves@exemple.tld>

Pour les autres :

... DKIM signing - skipped; from=<test@autredomain.tld

Vous pouvez également vérifier votre configuration en envoyant un mail à l'adresse : check-auth ici_le_chez verifier.port25.com. Cette adresse vous renvoi les informations sur l'installation des différents protocoles d'authentification des mails sur votre domaine. Ainsi, si vous avez également configuré correctement SPF vous devez avoir tout bon :

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   pass
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

Vous devez aussi avoir les informations sur DKIM et DomainKeys dans l'entête du message signé :

DKIM-Signature: v=1; a=rsa-sha1; c=simple; d=exemple.tld; h=
	message-id:date:from:mime-version:to:subject:content-type:
	content-transfer-encoding; q=dns/txt; s=exempletld; bh=clepublique=
DomainKey-Signature: a=rsa-sha1; c=nofws; d=exemple.tld; h=message-id:
	date:from:mime-version:to:subject:content-type:
	content-transfer-encoding; q=dns; s=exemple.tld; b=clepublique=

Il me reste encore à comprendre complètement les différentes options de la spécification DKIM mais c'est un bon début

Commentaires

1. Le dimanche, avril 13 2008, 23:58 par mouss

je crois qu'il y a une coquille dans la ligne:

... TXT "k=rsa; t=s; ...

ca devrait etre t=y au lieu de t=s.

2. Le lundi, avril 14 2008, 07:32 par Yves Tannier

Le "y" est utilisé uniquement dans le cadre du test de l'implémentation de DKIM. Voir la RFC : http://www.dkim.org/specs/rfc4871-dkimbase.html#rfc.section.3.6.1

3. Le mercredi, mai 28 2008, 17:05 par pherminie

Ne faut-il pas modifier (comme pour les DomainKeys le fichier) DKIMPROXY et créer un fichier de conf pour qu'il soit utilisé lors du démarrage ?

DKIMPROXY_OUT_ARGS="

       --conf_file=$DKIMPROXY_OUT_CFG"

4. Le mercredi, juin 4 2008, 18:09 par Elekaj

Merci pour le tuto, cela m'a bien aidé.
Par contre, quand j'envoie des mails chez Yahoo c'est direction la boite à Spam, et chez Hotmail, le vide sidéral (je ne les recoit jamais).

Je me pose donc l'utilité de DKIM. Est ce que chez vous cela a résolu les problèmes de réception chez Yahoo Google Hotmail etc ?

5. Le vendredi, juin 13 2008, 16:50 par pherminie

Salut à tous et également merci pour le tuto.

J'ai pu envoyer un mail signé chez : gmail, voila, orange, wanadoo,laposte, free, ... chez Yahoo j'ai été mis également dans la boîte à Spam et en regardant l'en-tête Mime j'ai vu que j'avais "Authentication-Results: mta254.mail.re4.yahoo.com from=xxxx.net; domainkeys=neutral (no sign)".

Je crois que ma config Dk n'est pas bonne (je n'ai pas à la fois les signatures DKIM et DK).

Un bon forum (sur lequel le concepteur de DKIMProxy Jason Long répond) est sur https://sourceforge.net/forum. Il faut juste s'inscrire et causer un peu anglais.

Chez Hotmail, il est parti dans l'hyperspace mais sur un autre domaine cela fonctionne. Je m'explique mon serveur de messagerie (postfix) gère plusieurs domaines : .fr,.net, .eu, .biz. C'est OK pour les .biz, .fr et .net mais ça ne fonctionne pas pour le .eu. Peut-être que mondomaine.eu est blacklisté chez Hotmail ?

Un bon forum (sur lequel le concepteur de DKIMProxy Jason Long répond) est sur https://sourceforge.net/forum. Il faut juste s'inscrire et causer un peu anglais.

6. Le vendredi, juin 13 2008, 20:12 par Yves Tannier

Le mieux pour tester sa configuration est d'envoyer le mail sur check-auth comme indiqué dans mon tuto.

Sinon, sur un de mes serveurs, j'ai un amavis compilé et c'est beaucoup plus pratique car la dernière version d'amavis gère bel et bien la signature DKIM (pas DK par contre) !

Ceci étant, il faut savoir une chose si vous continuez à avoir des problèmes : les filtres antispam de Yahoo et autres se basent également sur la "popularité" de l'IP du serveur. Il apparait clairement que tous ce qui est IP résidentiel est un peu mis de côté.

Je ferais prochainement un billet pour expliquer d'autres optimisations à envisager pour maximiser ses chances de finir dans la boite de réception

7. Le mardi, juillet 8 2008, 16:57 par chump

Très bon tuto ! merci
j'ai un serveur avec postifx, tout roule mais un autre avec qmail.
je n'arrive pas a trouver un guide clair comme le tien pour la config de qmail, as tu des pistes ?

merci d'avance

8. Le mercredi, septembre 10 2008, 10:52 par Lamb

Bonjour, et merci pour le tuto !

J'ai installé DkimProxy sur ma Debian Lenny (aptitude install dkimproxy), et Postfix me retourne les erreurs suivantes : “ postfix/smtp11124: connect to 127.0.0.1127.0.0.1:12028: Connection refused “. Dkimproxy est bien en listen sur 12028 et en relay sur 12029 (et j'ai modifié le master.cf en conséquence, en partant de cette base: http://dkimproxy.sourceforge.net/po...), mais ça ne semble pas fonctionner.

Si je supprime la ligne “content_filter = dksign:127.0.0.1:12028”, les mails ne sont pas signés (mais pour le coup ils partent).

Quelqu'un aurait il déjà rencontré ce soucis ?

9. Le vendredi, septembre 12 2008, 08:07 par Yves Tannier

dans les process qui tourne, tu vois bien dkimproxy sur ces ports là ? Je n'ai pas eu ce type de problème...

10. Le mardi, octobre 14 2008, 18:04 par anhj

Salut,

Merci pour le tuto, bien pratique.

Je pense que ton fichier /usr/local/dkimproxy/sender_map ne sert à rien (sauf à l'appeler explicitement dans /etc/init.d/dkimproxy). En effet, si on suit tes explications, les paramètres qu'il contient sont déjà dans /etc/dkimproxy_out.

Bonne continuation (et je pense lire le reste de ton blog...)

11. Le samedi, décembre 20 2008, 11:55 par shumisha

Bonjour,
et merci pour ce tuto. Il y a un petit problème de port je crois : partout où il est mentionné 12027 ou 12028, il faut utiliser 10027 ou 10028, car ce sont les ports listen/relay par défaut de dkim.
Après cette correction, cela marche bien pour moi
Encore merci...

12. Le mercredi, mai 27 2009, 16:41 par nico

bonjour,

Petit problème pour moi: j'ai la signature DKIM qui fonctionne correctement lorsque j'envoie un mail via mon webmail qui se connecte en IMAP.... mais lorsque j'utilise la fonction Shell mail ou php mail() ... Aucune signature n'ai ajouté.

Auriez-vous une idée svp ?

13. Le jeudi, juin 4 2009, 17:49 par Sami

Bonjour,
Je suis bloqué à la commande de test :
/usr/local/dkimproxy/keys# /etc/init.d/dkimproxy start

Voilà ce que ça me donne :
Starting inbound DKIM-proxy (dkimproxy.in)...Can't locate Crypt/OpenSSL/RSA.pm in @INC (@INC contains: /usr/local/dkimproxy/lib /etc/perl /usr/local/lib/perl/5.8.4 /usr/local/share/perl/5.8.4 /usr/lib/perl5 /usr/share/perl5 /usr/lib/perl/5.8 /usr/share/perl/5.8 /usr/local/lib/site_perl . /usr/local/dkimproxy/lib) at /usr/local/share/perl/5.8.4/Mail/DKIM/PublicKey.pm line 270.
BEGIN failed--compilation aborted at /usr/local/share/perl/5.8.4/Mail/DKIM/PublicKey.pm line 270.
Compilation failed in require at /usr/local/share/perl/5.8.4/Mail/DKIM/Signature.pm line 13.
BEGIN failed--compilation aborted at /usr/local/share/perl/5.8.4/Mail/DKIM/Signature.pm line 13.
Compilation failed in require at /usr/local/share/perl/5.8.4/Mail/DKIM/Verifier.pm line 13.
BEGIN failed--compilation aborted at /usr/local/share/perl/5.8.4/Mail/DKIM/Verifier.pm line 13.
Compilation failed in require at /usr/local/dkimproxy/bin/dkimproxy.in line 31.
BEGIN failed--compilation aborted at /usr/local/dkimproxy/bin/dkimproxy.in line 31.
failed.

Je n'ai pas pu installer Crypt/OpenSSL/RSA.pm, sachant que je suis sous DEBIAN ETCH, j'ai lancé un "aptitude install libcrypt-openssl-rsa-perl" qui semble ok, mais toujours le même problème. J'ai aussi testé sous CPAN : il me dit qu'il doit installer Random mais à la fin il se termine anormalement !!!

Merci d'avance

14. Le jeudi, juin 4 2009, 23:34 par PtitFox

Salut Sami,

Il faut que tu fasse un : apt-get install libssl-dev
Ensuite un "install Crypt::OpenSSL::RSA" et normalement cela devrait être bon.

15. Le mardi, juin 9 2009, 11:15 par Sami

Merci PtitFox, je n'ai plus ce message d'erreur

16. Le mardi, juin 9 2009, 11:21 par Yves Tannier

OK. je vois que tout le monde se débrouille Désolé pas eu le temps de répondre !

17. Le mardi, juin 9 2009, 11:36 par Sami

par contre j'ai un autre message d'erreur :

@@Starting inbound DKIM-proxy (dkimproxy.in)...Pid_file already exists for running process (22439)... aborting
done.
Starting outbound DKIM-proxy (dkimproxy.out)...Error: cannot read keyfile /full/path/to/private.key@@

Quel fichier faut-il modifier pour que DKIM trouve la clé privée ?

Sinon j'ai eu un autre petit pb : le fichier "/var/cache/bind/exemple.tld.hosts" n'existe pas chez moi, par contre j'ai "/var/cache/bind/db.exemple.tld", faut-il modifier ce dernier ? car en fait j'ai uniquement créé le fichier "exemple.tld.hosts" !!

Encore un petit truc : N'oubliez pas d'incrémenter le numéro de série de votre zone... : j'ai pas compris ça !!! c'est quoi le numéro de série d'une zone? comment l'incrémenter ?

Encore merci

18. Le vendredi, juin 12 2009, 08:01 par Yves Tannier

Très rapidement :

Pour les chemins, voir dans le sender_map si tu l'utilises ou dans les scripts de démarage dans "/etc/init.d/". Fais une recherche sur private.key

Pour BIND, tu dois changer le numéro de série de la zone que tu as trouvé (/var/cache/bind/db.exemple.tld) pour que les changements soit pris en compte par les autres serveurs. Une recherche rapide sur le net de "BIND serial" ou "Bind numéro de série" t'en dira plus.

++ Yves

19. Le lundi, juin 29 2009, 12:32 par tdldp

Perso ca ne marche pas...
outre les problemes de ports (100xx au lieu de 120xx) j'ai un probleme de boucle continue dans le header et finalement un rejet complet du message pour cause de too many hops..

A premiere vu, c'est l'implementation DKIM qui pose probleme, (boucle dans le content filter : DKIM), mais je ne connais pas assez postfix, pour savoir ce que je dois verifier...

Si qq'un à une idée ?

20. Le lundi, juin 29 2009, 17:50 par tdldp

Bon j'ai resolu mon probleme, en fait je bouclais sur DKIM au lieu de passer à amavis, et retourner sur Postfix...

Reste plus qu'a comprendre pourquoi en ayant une clef publique et privée, je n'arrive pas passer les tests et j'obtiens toujours :
DomainKeys check: fail
DKIM check: fail
Result: fail (bad signature)
ID(s) verified: header.From=contact@domaine.fr DNS record(s):

   mserv1._domainkey.domaine.fr. 14290 IN TXT "k=rsa; t=y; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/70YrinUeAH+fPoZbOo74MQI4KVewsHJzgZbVOts8B9hro1Wxs6ZlshKq+Hu+5R/mehPuxLa370Q0n0W42wSL+UtpQGrvYKMaxSHg+YqjphipzEDNExoXTGvkZ6yN28bHzUMd965aS2i64PEqAViZyBny2iQPTUAxkhZRH4e6RQIDAQAB"

21. Le dimanche, février 14 2010, 13:10 par Knostra

Bonjour et merci,

Doit-on changer le selecteur quand on as plusieurs domaines?
Par exemple pour le domaine Numero 1:
mserv1._domainkey.domaine.numero1.fr. 14290 IN TXT "k=rsa; t=y; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/70YrinUeAH+fPoZbOo74MQI4KVewsHJzgZbVOts8B9hro1Wxs6ZlshKq+Hu+5R/mehPuxLa370Q0n0W42wSL+UtpQGrvYKMaxSHg+YqjphipzEDNExoXTGvkZ6yN28bHzUMd965aS2i64PEqAViZyBny2iQPTUAxkhZRH4e6RQIDAQAB"
et pour le domaine numero 2:
mserv2._domainkey.domaine.numero2.fr. 14290 IN TXT "k=rsa; t=y; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/70YrinUeAH+fPoZbOo74MQI4KVewsHJzgZbVOts8B9hro1Wxs6ZlshKq+Hu+5R/mehPuxLa370Q0n0W42wSL+UtpQGrvYKMaxSHg+YqjphipzEDNExoXTGvkZ6yN28bHzUMd965aS2i64PEqAViZyBny2iQPTUAxkhZRH4e6RQIDAQAB"

Ou le selceteur peut être le même?

Parce que j'ai 2 domaines et j'ai fais exactement la même manip pour chaque domaine seulement le premier me retourne:

DomainKeys check: pass

Alors que le deuxieme me retourne:
DomainKeys check: neutral

En faite il ne trouve pas la clé publique apparement donc je me demande si il ne faut pas que je change tout simplement le selecteur et pas mettre le même?

22. Le samedi, mars 6 2010, 08:26 par worm

salut

tout d'abord merci cela m'a parmis de resoudre un petit probleme
par contre les mail entrant de l'exterieur sont signe par mon server !!!! une idée?

merci

23. Le samedi, mars 6 2010, 08:29 par worm

Knostra

2 domaines = 2 clees differentes non?

24. Le jeudi, mars 11 2010, 10:13 par Yves Tannier

Oui, 2 domaines = 2 clés différentes. J'ai d'ailleurs posté un script pour l'ajout de clé :

http://www.grafactory.net/blog/post/2008/10/20/script-de-generation-des-cles-DKIM

25. Le lundi, octobre 4 2010, 22:49 par evets

j'ai suivi tout le tuto sur Fedora. Tout a l'air de fonctionner mais je souhaiterais savoir comment vous testez l'envoi ? Quel port utilisez vous ? Moi je fais ceci :
telnet localhost 10027
EHLO monsiiteweb.fr
MAIL FROM: postmaster@monsiiteweb.fr
250 2.1.0 Ok
RCPT TO: <toto@yahoo.fr>
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Subject: Remerciements
Bonjour, Nous vous remercions pour votre inscription sur notre site web
.
250 2.0.0 Ok: queued as 8536F1A3B
QUIT

Or je ne recois rien dans toto@yahoo.Fr Utilisez vous le port 10027 ? Est-ce ma redirection freebox qui pose pb ? qu'avez-vous configuré sur votre routeur ?

Merci pour votre aide !

26. Le mercredi, octobre 13 2010, 19:48 par Yves Tannier

Il y a une incompréhension sur l'utilisation des ports. Le port 10027 est un port de communication entre postfix et dkimproxy (pour simplifier).

27. Le dimanche, octobre 17 2010, 20:49 par sami_c

Bonjour,
J'ai beau essayé de faire tourner DKIM Proxy mais j'ai fini par laisser tomber. Par contre j'ai "presque" pu installer DKIM Milter en qq minutes, c'est plus facile que DKIM Proxy je trouve ! Le pb est que lorsque j'envoi un mail de test à ma boite gmail, je trouve dans le header 2 infos contradictoires :
...dkim=neutral (no signature) ...
ET
...DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple...

La commande tail -f /var/log/mail.info n'indique rien concernant une éventuelle signature !
Le plus bizarre c'est qu'en envoyant un test à partir d'un domaine qui n'utilise pas DKIM, je n'au aucune mention à DKIM dans le header ! Quelqu'un peut m'expliquer ce qui ne va pas ? on dirait que j'ai une demi signature
merci

28. Le mercredi, octobre 20 2010, 17:07 par Jul

Bonsoir,

Félicitation pour ton tuto tout d'abord. J'aurais aimer savoir si il était possible de signer tous les mails entrant sans spécifier le domaine. je m'explique:

sender:test@domaine.com // cette email est bien signé en domaine.com
sender:test1@domaine.fr // cette email est signé en domaine.fr

En gros que DKIMproxy, signe tous les emails selon le domaine du sender sans à avoir besoin de préciser les domaines dans domains = ....

L'appartement