Configuration de DKIM
DKIM est un acronyme qui signifie DomainKeys Identified
Mail. Il est le fruit de la fusion de deux technologies, la première (DomainKeys)
développée pat Yahoo et l’autre (Identified Internet Mail) développée par
Cisco. Elle permet de signer numériquement un message envoyé à partir d’un
domaine donné et vérifier par la même occasion si le message n’a pas été altéré
pendant son trajet.
Dans ce scénario, nous utilisons Fortimail 100C comme passerelle
de messagerie, tous les messages entrant et sortant transitent par ce boitier.
Accéder au Forimail puis aller à Paramètres de la messagerie
puis Domaines. Choisir le domaine pour lequel vous voulez ajouter le DKIM puis
cliquer sur Modifier.
Ensuite, cliquer sur Paramètres avancés puis développer
Paramètres DKIM
Taper un texte qui sera utilisé comme sélecteur puis cliquer
sur le bouton Créer. Une fois le
sélecteur créé, cliquer dessus puis cliquer sur le bouton Télécharger. Un fichier texte d’extension dkim est
téléchargé. Il contient en autres la clé publique à mettre sur votre serveur DNS externe.
Son contenu ressemble à :
selecteur._domainkey IN TXT "t=y;
k=rsa;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC2nAKoXUmKmsWPvO3A+BzXq1DUuCuUrr4hpgz+76xIQwY+ZPrgL3/toGKm0ZMpaHTdHeOrCjb2KckfaZxsZutiiG4PduNwR/v9x7
La clé privée est gérée par Fortimail.
Etape 2 : Forcer la signature de tous les messages
sortant
Toujours sur le Fortimail, Aller dans la section Politique
puis le lien Politiques
Cliquer sur la session qui correspond au flux sortant (sur
la figure suivante par exemple c'est session strict)
Développer la section validation de l’émetteur puis cocher
Activer la signature DKIM des messages sortants
Etape 3 :
Création de l’enregistrement sur le serveur DNS
Se connecter au serveur DNS externe, puis créer un enregistrement de
type TXT et de nom Selecteur._domainkey. Selecteur étant celui créé sur le Fortimail.
En plus de la clé publique désignée par p, on précise la
version de DKIM (v=DKIM1), le type de chiffrement (rsa) etc.
Etape 4 : Tests
On peut vérifier que tout marche correctement en effectuant
des tests sur l'enregistrement DNS relatif à DKIM ou bien en faisant un test grandeur nature en envoyant un
mail à gmail et voir si le message a bien été signé.
Pour le premier test, on peut utiliser l’adresse: http://dkimcore.org/tools/
Une autre adresse qui peut nous aider à vérifier la bonne
configuration du DNS est https://www.mail-tester.com/spf-dkim-check
Une fois le DNS synchronisé (j’ai dû attendre 24H), gmail
reconnait que le message sont bien envoyé à partir du domaine configuré et
ajoute cette information au message comme quoi le message est signé par tel
domaine
Commentaires