====== DMARC =====

Cette page concerne l'implémentation du protocole DMARC chez Picasoft. Pour une explication théorique de celui-ci, voir ce [[technique:old:etudes:mail:protocoles:smtp:limites#dmarc|paragraphe]].

La configuration de DMARC pour Picasoft se fait en deux temps :
  - l'insertion d'un enregistrement ''TXT'' dans le DNS,
  - la configuration d'un programme chargé d'appliquer DMARC aux mails entrant.

===== Publication de notre politique DMARC dans le DNS =====

L'enregistrement DMARC dans le DNS permet de spécifier au monde entier la procédure qu'on souhaite voir appliquée aux mails dont le champ //from// termine en ''@picasoft.net''. Celle-ci peut être :
  * ''none'' : aucune action n'est faite,
  * ''quarantine'' : le mail est transmis mais un drapeau (//flag//) le fera atterrir dans le dossier ''Indésirables'',
  * ''reject'' : le mail est détruit.

Dans les trois cas, un rapport peut être envoyé si une adresse mail est renseignée dans cet enregistrement DNS. 

La rédaction de cet enregistrement peut se faire manuellement. Sinon, le [[https://dmarc.globalcyberalliance.org/|site officiel]] propose une configuration interactive et aboutit à la rédaction de cet enregistrement, à insérer tel quel dans le DNS.
À titre d'exemple, l'entrée dans le DNS de Picasoft est :
<code>
_dmarc.picasoft.net. IN TXT "v=DMARC1; p=none; rua=mailto:tech@picasoft.net; sp=none; adkim=s; aspf=r; ri=604800"
</code>

Explications :

* `p=none` : en cas de problème, ne pas bloquer le mail. Les problèmes ne sont pas forcément malveillants, il est intéressant d'examiner les rapports.
* `rua=mailto:tech@picasoft.net` : l'adresse mail qui recevra les rapports
* `sp=none` : pas de politique spéciale pour les sous-domaines
* `adkim=s` : impose que le domaine concerné par la clé DKIM soit exactement le même que celui du header `From:`
* `aspf=f` : relâche la vérification de l'alignement entre le header `From:` l'**entête d'enveloppe** (`MAIL FROM`, commande `SMTP`). En effet, dans le cas de mails relayés, l'alignement casse mécaniquement.
* `ri=604800` : envoyer un rapport par semaine

On peut aussi le retrouver avec la commande :
  dig -t txt _dmarc.picasoft.net
:!: Attention à bien penser à incrémenter le //serial// du DNS après modification de celui-ci.    

===== Configuration de OpenDMARC =====

Le programme utilisé pour appliquer les politiques DMARC des autres sur nos mails entrant est ''opendmarc'' (paquet du même nom). Lors de l'installation de celui-ci, un fichier ''/etc/opendmarc.conf'' est créé, ainsi qu'un utilisateur système et un groupe ''opendmarc''.

La configuration est similaire à celle de [[technique:adminsys:mail:config:dkim#configuration_de_opendkim|OpenDKIM]], en plus simplifiée (il n'y a que les sockets et le fichier ''/etc/opendmarc.conf'' à configurer).
Les spécificités de cette configuration sont :
  * dans ''/etc/opendmarc.conf'' : <code>AuthservID mail.test.picasoft.net
TrustedAuthservIDs mail.test.picasoft.net
IgnoreHosts /etc/opendmarc/ignore.hosts</code>
  * et dans ''/etc/opendmarc/ignore.hosts'' : <code>localhost
192.168.0.0/24</code>

Pour configurer plus finement OpenDMARC, se reporter à la [[http://www.trusteddomain.org/opendmarc/|documentation officielle]].

**À noter :** indépendamment de la politique de l'émetteur, OpenDMARC permet au destinataire de choisir de supprimer ou non les mails qui échouent au test DMARC avec le paramètre ''RejectFailures false''.