Configuration de DKIM

DKIM est un acronyme qui signifie DomainKeys Identified Mail. Il est le fruit de la fusion de deux technologies, la première (DomainKeys) développée pat Yahoo et l’autre (Identified Internet Mail) développée par Cisco. Elle permet de signer numériquement un message envoyé à partir d’un domaine donné et vérifier par la même occasion si le message n’a pas été altéré pendant son trajet.


Dans ce scénario, nous utilisons Fortimail 100C comme passerelle de messagerie, tous les messages entrant et sortant transitent par ce boitier.

 Etape 1 : génération de la paire de clés privé – publique.

Accéder au Forimail puis aller à Paramètres de la messagerie puis Domaines. Choisir le domaine pour lequel vous voulez ajouter le DKIM puis cliquer sur Modifier.


Ensuite, cliquer sur Paramètres avancés puis développer Paramètres DKIM


Taper un texte qui sera utilisé comme sélecteur puis cliquer sur le bouton Créer.  Une fois le sélecteur créé, cliquer dessus puis cliquer sur le bouton Télécharger.  Un fichier texte d’extension dkim est téléchargé. Il contient en autres la clé publique à mettre sur votre serveur DNS externe. Son contenu ressemble à :
selecteur._domainkey IN           TXT        "t=y; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC2nAKoXUmKmsWPvO3A+BzXq1DUuCuUrr4hpgz+76xIQwY+ZPrgL3/toGKm0ZMpaHTdHeOrCjb2KckfaZxsZutiiG4PduNwR/v9x7


La clé privée est gérée par Fortimail.

Etape 2 : Forcer la signature de tous les messages sortant

Toujours sur le Fortimail, Aller dans la section Politique puis le lien Politiques
Cliquer sur la session qui correspond au flux sortant (sur la figure suivante par exemple c'est session strict)


Développer la section validation de l’émetteur puis cocher Activer la signature DKIM des messages sortants


Etape 3 : Création de l’enregistrement sur le serveur DNS

Se connecter au serveur DNS externe, puis créer un enregistrement de type TXT et de nom Selecteur._domainkey.  Selecteur étant celui créé sur le Fortimail.


En plus de la clé publique désignée par p, on précise la version de DKIM (v=DKIM1), le type de chiffrement (rsa) etc.

Etape 4 : Tests

On peut vérifier que tout marche correctement en effectuant des tests sur l'enregistrement DNS relatif à DKIM ou bien en faisant un test grandeur nature en envoyant un mail à gmail et voir si le message a bien été signé.

Pour le premier test, on peut utiliser l’adresse: http://dkimcore.org/tools/


Une autre adresse qui peut nous aider à vérifier la bonne configuration du DNS est https://www.mail-tester.com/spf-dkim-check



Une fois le DNS synchronisé (j’ai dû attendre 24H), gmail reconnait que le message sont bien envoyé à partir du domaine configuré et ajoute cette information au message comme quoi le message est signé par tel domaine



Un dernier test que l’on peut faire si on n a pas de compte sur gmail est d’envoyer un mail à  check-auth@verifier.port25.com et au bout de quelques secondes on obtient une réponse avec le résultat des tests.


Commentaires

Posts les plus consultés de ce blog

Surveiller l’espace disque sur un serveur Windows 2008

Impossible de joindre un fichier dans OWA

Installation de glpi 0.9 sur un serveur Windows 2012 R2