DKIM : Différence entre versions

De Vulgum Techus
Aller à : Navigation, rechercher
(Tester avec Yahoo Mail)
 
(39 révisions intermédiaires par un utilisateur sont masquées)
Ligne 1 : Ligne 1 :
 +
<!-- Links checked 11/02/19 -->
 
[[Catégorie:Normes]]
 
[[Catégorie:Normes]]
 +
[[Catégorie:Messagerie]]
 +
[[Catégorie:Sécurité]]
 +
'''[[Lien court]]''' vers cette page : https://vt.cx/DKIM
 +
'''[[QR code]]''' vers cette page : https://vt.cx/DKIM.qr
 +
<html>
 +
<script type="text/javascript"><!--
 +
google_ad_client = "ca-pub-3341840374417340";
 +
/* VT2 */
 +
google_ad_slot = "6349432125";
 +
google_ad_width = 468;
 +
google_ad_height = 60;
 +
//-->
 +
</script>
 +
<script type="text/javascript"
 +
src="//pagead2.googlesyndication.com/pagead/show_ads.js">
 +
</script>
 +
</html>
 +
 
= Présentation =
 
= Présentation =
'''DKIM''' pour '''DomainKey Identification ''' est un norme d'authentification qui est basé sur deux clés, l'une publique, l'autre privée. L'utilisation des clés '''DKIM''' diffère qu'il s'agisse de :
+
DKIM pour '''[[DomainKey Identification]]''' est une norme d'authentification basée sur deux clés, l'une publique, l'autre privée. L'utilisation des clés DKIM diffère qu'il s'agisse de :
 
* Certifier des '''[[emails]]''' envoyés
 
* Certifier des '''[[emails]]''' envoyés
* Vérifier l'authenticité de '''[[email]]''' reçus
+
* Vérifier l'authenticité des emails reçus
  
= Certifier des emails envoyés =
+
= Certifier des [[emails]] envoyés =
Configurer un serveur de mail pour qu'il authentifie les '''[[emails]]''' envoyés à l'aide d'une clé '''DKIM''' se fait en 3 étapes pour un '''domaine''' donné (exemple pour vulgumtechus.com)
+
Configurer un serveur de mail pour qu'il authentifie les emails envoyés à l'aide d'une clé DKIM se fait en 3 étapes pour un domaine donné (exemple pour vulgumtechus.com)
 
# Génération des clés (publique et privée)
 
# Génération des clés (publique et privée)
# Création d'un champs DNS avec la clé publique
+
# Création d'un champs '''[[DNS]]''' avec la clé publique
# Configuration de la messagerie pour signer l''''[[email]]''' (sous réserve qu'elle soit compatible '''DKIM''')
+
# Configuration de la messagerie pour signer l''''[[email]]''' (sous réserve qu'elle soit compatible DKIM)
  
 
== 1 - Génération des clés DKIM ==
 
== 1 - Génération des clés DKIM ==
Les clés sont générées très simplement sous '''[[Linux]]''' ou via des générateurs en ligne (wizard) de clés '''DKIM''' comme :
+
Les clés sont générées très simplement sous '''[[Linux]]''' ou via des générateurs en ligne (wizard) de clés DKIM comme :
  http://www.socketlabs.com/services/dkwiz
+
  https://dkimcore.org/tools/
  http://www.port25.com/support/support_dkwz.php
+
https://www.dnswatch.info/dkim/create-dns-record
Sous linux les clés sont générées grâce au programme openssl et les syntaxes sont les suivantes :
+
  https://www.socketlabs.com/services/dkwiz
 +
Sous linux les clés sont générées grâce au '''[[programme]]''' openssl et les syntaxes sont les suivantes :
 
  Clé privée mise dans le fichier rsa.private :
 
  Clé privée mise dans le fichier rsa.private :
  openssl genrsa -out rsa.private 1024
+
  [[openssl]] genrsa -out rsa.private 1024
 
  clé publique mise dans le fichier rsa.public
 
  clé publique mise dans le fichier rsa.public
 
  openssl rsa -in rsa.private -out rsa.public -pubout -outform PEM
 
  openssl rsa -in rsa.private -out rsa.public -pubout -outform PEM
  
== 2 - Création d'un champs DNS ==
+
== 2 - Création d'un champs [[DNS]] ==
Prendre la clé publique de 1024 caractères et l'insérer dans un champs DNS intitulé DKIM et renseigné comme suit :  
+
Prendre la clé publique de 1024 caractères et l'insérer dans un champs '''[[DNS]]''' intitulé DKIM renseigné comme suit :  
  k=rsa; p=XXXXXXXXXXXXXXXXXXXXX où XXXXXXXXXXXXXXXXXXXXXX est la clé publique de 1024 caractère
+
  k=rsa; p=XXXXXXXXXXXXXXXXXXXXX où XXXXXXXXXXXXXXXXXXXXXX est la clé publique de 1024 caractères
Il est possible de vérifier, au lien qui suit, que la clé est bien reconnue après que le '''DNS''' avec la '''clé''' ait été diffusé (peut prendre plusieurs heures)
+
Il est possible de vérifier, aux liens qui suivent, que la clé est bien reconnue après que le DNS avec la clé ait été diffusé (peut prendre plusieurs heures). Il faut généralement indiquer l''''[[URL]]''' et le sélecteur (selector).
  http://dkimcore.org/tools/keycheck.html
+
https://mxtoolbox.com/dkim.aspx
 +
  https://dkimcore.org/tools/keycheck.html
  
 
== 3 - Configuration de la messagerie ==
 
== 3 - Configuration de la messagerie ==
Les configurations proposées ici peuvent reprendre les points 1 & 2 sous une autre forme. Dans ce cas, il est préférable d'annuler ce qui a été fait et de se conformer en intégralité à ce qui est indiqué dans les liens proposés.
+
C'est ici qu'intervient le paramétrage de la messagerie avec l'intégration de la clé plivée. Les configurations proposées ici peuvent reprendre les points 1 & 2 sous une autre forme. Dans ce cas, il est préférable d'annuler ce qui a été fait et de se conformer en intégralité à ce qui est indiqué dans les liens proposés.
  '''Qmail''' sans '''[[Plesk]]''' à http://notes.sagredo.eu/node/92
+
  '''[[Plesk]]''' à https://docs.plesk.com/fr-FR/onyx/administrator-guide/mail/outils-antispam/protection-dkim-spf-et-dmarc.59433/
  '''Qmail''' avec '''[[Plesk]] 8.x 9.x et 10.x''' à http://kb.parallels.com/1161
+
  '''Qmail''' sans Plesk à https://notes.sagredo.eu/node/92
  '''Postfix''' avec [[[Plesk]] 11.5''' à http://blog.matoski.com/articles/spf-dk-dkim-plesk-debian/
+
  '''Postfix''' avec Plesk 11.5 à https://blog.matoski.com/articles/spf-dk-dkim-plesk-debian/
  '''Postfix''' sous '''Debian Squeeze''' à http://monblog.system-linux.net/blog/2011/09/24/mettre-en-place-dkim-avec-postfix-sous-debian-sueeze/
+
  '''Postfix''' sous Debian Squeeze à https://monblog.system-linux.net/blog/2011/09/24/mettre-en-place-dkim-avec-postfix-sous-debian-sueeze/
  '''Postfix''' sous '''Ubuntu''' à http://terraltech.com/opendkim-to-sign-postfix-mails-on-ubuntu/
+
  '''Postfix''' sous Ubuntu à https://terraltech.com/opendkim-to-sign-postfix-mails-on-ubuntu/
  
 
= Vérifier les emails reçus =
 
= Vérifier les emails reçus =
Ici sont regroupé les procédures et addons permettant de vérifier l'authenticité des '''[[emails]]''' reçus.
+
Ici sont regroupé les procédures et addons permettant de vérifier l'authenticité des emails reçus.
  
 
== Extension, addsons, modules complémentaires ==
 
== Extension, addsons, modules complémentaires ==
  
 
=== Thunderbird ===
 
=== Thunderbird ===
*[https://addons.mozilla.org/fr/thunderbird/addon/dkim-verifier/ Addons Mozilla] '''DKIM verifier''' -> vérifier la clé '''DKIM''' d'un mail
+
* [https://addons.mozilla.org/fr/thunderbird/addon/dkim-verifier/ Addons Mozilla] '''DKIM verifier''' -> vérifier la clé DKIM d'un email
 +
 
 +
== Sites testeur de DKIM ==
 +
* [https://dkimvalidator.com dkimvalidator.com] '''DKIM Validator''' : analyse un mail test qu'on lui envoie
 +
* [https://dkimcore.org/c/keycheck dkimcore.org] '''DKIM Core''' : vérification d'un enregistrement DKIM
 +
* [https://www.dmarcanalyzer.com/fr/dkim-4/verification-de-dkim-record/ dmarcanalyzer.com] '''DMARC Analyzer''' : Vérification de DKIM record
 +
 
 +
== Tester avec [[Gmail]] ==
 +
Il est très simple de tester DKIM, DMARC et SPF avec Gmail en procédant comme suit :
 +
* Envoyer un email de la messagerie à tester à une adresse gmail
 +
* Ouvrir l'email dont on veut vérifier la validité de DKIM
 +
* Cliquer sur '''⋮''' et choisir '''Afficher l'original''' pour afficher l'en-tête de l'email et les différentes validations de gmail
 +
* Dans '''Message d'origine''', les mentions SPF, DKIM et DMARC indiquent si les validations Gmail ont été passées avec succès (mention '''PASS''')
 +
 
 +
== Tester avec [[Yahoo]] Mail ==
 +
Il est très simple de tester DKIM, DMARC et SPF avec Yahoo Mail en procédant comme suit :
 +
* Envoyer un email de la messagerie à tester à une adresse gmail
 +
* Ouvrir l'email dont on veut vérifier la validité de DKIM
 +
* Cliquer sur '''...''' et choisir '''View Raw Message''' pour afficher l'en-tête de l'email et les différentes validations de gmail
  
 
= Liens utiles =
 
= Liens utiles =
*[http://dkimcore.org/tools/keycheck.html DKIMCore] Testeur la clé '''DKIM''' sur un site
+
* [https://www.dkim.org dkim.org] '''DKIM.ORG'''
*[http://dkimcore.org/tools/ DKIMCode] Générateur de clés '''DKIM'''
+
* [https://support.google.com/a/answer/180504 support.google.com] Activer la signature DKIM sous Gmail
 +
 
 +
= Articles [[Vulgum Techus]] =
 +
* [[email]]
 +
* [[DMARC]]
 +
* [[enregistrement SPF]]
 +
* [[spam]]
 +
* [[OpenSSL]]
 +
 
 +
= Commentaires =
 +
{{#widget:DISQUS
 +
|id=vulgumtechus
 +
}}

Version actuelle en date du 6 juillet 2019 à 11:57

Lien court vers cette page : https://vt.cx/DKIM
QR code vers cette page : https://vt.cx/DKIM.qr

Présentation

DKIM pour DomainKey Identification est une norme d'authentification basée sur deux clés, l'une publique, l'autre privée. L'utilisation des clés DKIM diffère qu'il s'agisse de :

  • Certifier des emails envoyés
  • Vérifier l'authenticité des emails reçus

Certifier des emails envoyés

Configurer un serveur de mail pour qu'il authentifie les emails envoyés à l'aide d'une clé DKIM se fait en 3 étapes pour un domaine donné (exemple pour vulgumtechus.com)

  1. Génération des clés (publique et privée)
  2. Création d'un champs DNS avec la clé publique
  3. Configuration de la messagerie pour signer l'email (sous réserve qu'elle soit compatible DKIM)

1 - Génération des clés DKIM

Les clés sont générées très simplement sous Linux ou via des générateurs en ligne (wizard) de clés DKIM comme :

https://dkimcore.org/tools/
https://www.dnswatch.info/dkim/create-dns-record
https://www.socketlabs.com/services/dkwiz

Sous linux les clés sont générées grâce au programme openssl et les syntaxes sont les suivantes :

Clé privée mise dans le fichier rsa.private :
openssl genrsa -out rsa.private 1024
clé publique mise dans le fichier rsa.public
openssl rsa -in rsa.private -out rsa.public -pubout -outform PEM

2 - Création d'un champs DNS

Prendre la clé publique de 1024 caractères et l'insérer dans un champs DNS intitulé DKIM renseigné comme suit :

k=rsa; p=XXXXXXXXXXXXXXXXXXXXX où XXXXXXXXXXXXXXXXXXXXXX est la clé publique de 1024 caractères

Il est possible de vérifier, aux liens qui suivent, que la clé est bien reconnue après que le DNS avec la clé ait été diffusé (peut prendre plusieurs heures). Il faut généralement indiquer l'URL et le sélecteur (selector).

https://mxtoolbox.com/dkim.aspx
https://dkimcore.org/tools/keycheck.html

3 - Configuration de la messagerie

C'est ici qu'intervient le paramétrage de la messagerie avec l'intégration de la clé plivée. Les configurations proposées ici peuvent reprendre les points 1 & 2 sous une autre forme. Dans ce cas, il est préférable d'annuler ce qui a été fait et de se conformer en intégralité à ce qui est indiqué dans les liens proposés.

Plesk à https://docs.plesk.com/fr-FR/onyx/administrator-guide/mail/outils-antispam/protection-dkim-spf-et-dmarc.59433/
Qmail sans Plesk à https://notes.sagredo.eu/node/92
Postfix avec Plesk 11.5 à https://blog.matoski.com/articles/spf-dk-dkim-plesk-debian/
Postfix sous Debian Squeeze à https://monblog.system-linux.net/blog/2011/09/24/mettre-en-place-dkim-avec-postfix-sous-debian-sueeze/
Postfix sous Ubuntu à https://terraltech.com/opendkim-to-sign-postfix-mails-on-ubuntu/

Vérifier les emails reçus

Ici sont regroupé les procédures et addons permettant de vérifier l'authenticité des emails reçus.

Extension, addsons, modules complémentaires

Thunderbird

Sites testeur de DKIM

Tester avec Gmail

Il est très simple de tester DKIM, DMARC et SPF avec Gmail en procédant comme suit :

  • Envoyer un email de la messagerie à tester à une adresse gmail
  • Ouvrir l'email dont on veut vérifier la validité de DKIM
  • Cliquer sur et choisir Afficher l'original pour afficher l'en-tête de l'email et les différentes validations de gmail
  • Dans Message d'origine, les mentions SPF, DKIM et DMARC indiquent si les validations Gmail ont été passées avec succès (mention PASS)

Tester avec Yahoo Mail

Il est très simple de tester DKIM, DMARC et SPF avec Yahoo Mail en procédant comme suit :

  • Envoyer un email de la messagerie à tester à une adresse gmail
  • Ouvrir l'email dont on veut vérifier la validité de DKIM
  • Cliquer sur ... et choisir View Raw Message pour afficher l'en-tête de l'email et les différentes validations de gmail

Liens utiles

Articles Vulgum Techus

Commentaires

blog comments powered by Disqus