Différences

Ci-dessous, les différences entre deux révisions de la page.

--- technique:adminsys:mail:config:dmarc [2021/11/22 22:29] – ↷ Page déplacée de technique:internal_serv:mail:config:dmarc à technique:adminsys:mail:config:dmarc qduchemi
+++ technique:adminsys:mail:config:dmarc [2021/11/22 23:08] (Version actuelle) – ↷ Liens modifiés en raison d'un déplacement. qduchemi
@@ Ligne 1: / Ligne 1: @@
+====== DMARC =====
+Cette page concerne l'implémentation du protocole DMARC chez Picasoft. Pour une explication théorique de celui-ci, voir ce [[technique:old:etudes:mail:protocoles:smtp:limites#dmarc|paragraphe]].
+La configuration de DMARC pour Picasoft se fait en deux temps :
+  - l'insertion d'un enregistrement ''TXT'' dans le DNS,
+  - la configuration d'un programme chargé d'appliquer DMARC aux mails entrant.
+===== Publication de notre politique DMARC dans le DNS =====
+L'enregistrement DMARC dans le DNS permet de spécifier au monde entier la procédure qu'on souhaite voir appliquée aux mails dont le champ //from// termine en ''@picasoft.net''. Celle-ci peut être :
+  * ''none'' : aucune action n'est faite,
+  * ''quarantine'' : le mail est transmis mais un drapeau (//flag//) le fera atterrir dans le dossier ''Indésirables'',
+  * ''reject'' : le mail est détruit.
+Dans les trois cas, un rapport peut être envoyé si une adresse mail est renseignée dans cet enregistrement DNS.
+La rédaction de cet enregistrement peut se faire manuellement. Sinon, le [[https://dmarc.globalcyberalliance.org/|site officiel]] propose une configuration interactive et aboutit à la rédaction de cet enregistrement, à insérer tel quel dans le DNS.
+À titre d'exemple, l'entrée dans le DNS de Picasoft est :
+<code>
+_dmarc.picasoft.net. IN TXT "v=DMARC1; p=none; rua=mailto:tech@picasoft.net; sp=none; adkim=s; aspf=r; ri=604800"
+</code>
+Explications :
+* `p=none` : en cas de problème, ne pas bloquer le mail. Les problèmes ne sont pas forcément malveillants, il est intéressant d'examiner les rapports.
+* `rua=mailto:tech@picasoft.net` : l'adresse mail qui recevra les rapports
+* `sp=none` : pas de politique spéciale pour les sous-domaines
+* `adkim=s` : impose que le domaine concerné par la clé DKIM soit exactement le même que celui du header `From:`
+* `aspf=f` : relâche la vérification de l'alignement entre le header `From:` l'**entête d'enveloppe** (`MAIL FROM`, commande `SMTP`). En effet, dans le cas de mails relayés, l'alignement casse mécaniquement.
+* `ri=604800` : envoyer un rapport par semaine
+On peut aussi le retrouver avec la commande :
+  dig -t txt _dmarc.picasoft.net
+:!: Attention à bien penser à incrémenter le //serial// du DNS après modification de celui-ci.
+===== Configuration de OpenDMARC =====
+Le programme utilisé pour appliquer les politiques DMARC des autres sur nos mails entrant est ''opendmarc'' (paquet du même nom). Lors de l'installation de celui-ci, un fichier ''/etc/opendmarc.conf'' est créé, ainsi qu'un utilisateur système et un groupe ''opendmarc''.
+La configuration est similaire à celle de [[technique:adminsys:mail:config:dkim#configuration_de_opendkim|OpenDKIM]], en plus simplifiée (il n'y a que les sockets et le fichier ''/etc/opendmarc.conf'' à configurer).
+Les spécificités de cette configuration sont :
+  * dans ''/etc/opendmarc.conf'' : <code>AuthservID mail.test.picasoft.net
+TrustedAuthservIDs mail.test.picasoft.net
+IgnoreHosts /etc/opendmarc/ignore.hosts</code>
+  * et dans ''/etc/opendmarc/ignore.hosts'' : <code>localhost
+.168.0.0/24</code>
+Pour configurer plus finement OpenDMARC, se reporter à la [[http://www.trusteddomain.org/opendmarc/|documentation officielle]].
+**À noter :** indépendamment de la politique de l'émetteur, OpenDMARC permet au destinataire de choisir de supprimer ou non les mails qui échouent au test DMARC avec le paramètre ''RejectFailures false''.