technique:adminsys:mail:config:dmarc

DMARC

Cette page concerne l’implémentation du protocole DMARC chez Picasoft. Pour une explication théorique de celui-ci, voir ce paragraphe.

La configuration de DMARC pour Picasoft se fait en deux temps :

  1. l’insertion d’un enregistrement TXT dans le DNS,
  2. la configuration d’un programme chargé d’appliquer DMARC aux mails entrant.

L’enregistrement DMARC dans le DNS permet de spécifier au monde entier la procédure qu’on souhaite voir appliquée aux mails dont le champ from termine en @picasoft.net. Celle-ci peut être :

  • none : aucune action n’est faite,
  • quarantine : le mail est transmis mais un drapeau (flag) le fera atterrir dans le dossier Indésirables,
  • reject : le mail est détruit.

Dans les trois cas, un rapport peut être envoyé si une adresse mail est renseignée dans cet enregistrement DNS.

La rédaction de cet enregistrement peut se faire manuellement. Sinon, le site officiel propose une configuration interactive et aboutit à la rédaction de cet enregistrement, à insérer tel quel dans le DNS. À titre d’exemple, l’entrée dans le DNS de Picasoft est :

_dmarc.picasoft.net. IN TXT "v=DMARC1; p=none; rua=mailto:tech@picasoft.net; sp=none; adkim=s; aspf=r; ri=604800"

Explications :

  • p=none : en cas de problème, ne pas bloquer le mail. Les problèmes ne sont pas forcément malveillants, il est intéressant d’examiner les rapports.
  • rua=mailto:tech@picasoft.net : l’adresse mail qui recevra les rapports
  • sp=none : pas de politique spéciale pour les sous-domaines
  • adkim=s : impose que le domaine concerné par la clé DKIM soit exactement le même que celui du header From:
  • aspf=f : relâche la vérification de l’alignement entre le header From: l’entête d’enveloppe (MAIL FROM, commande SMTP). En effet, dans le cas de mails relayés, l’alignement casse mécaniquement.
  • ri=604800 : envoyer un rapport par semaine

On peut aussi le retrouver avec la commande :

dig -t txt _dmarc.picasoft.net

:!: Attention à bien penser à incrémenter le serial du DNS après modification de celui-ci.

Le programme utilisé pour appliquer les politiques DMARC des autres sur nos mails entrant est opendmarc (paquet du même nom). Lors de l’installation de celui-ci, un fichier /etc/opendmarc.conf est créé, ainsi qu’un utilisateur système et un groupe opendmarc.

La configuration est similaire à celle de OpenDKIM, en plus simplifiée (il n’y a que les sockets et le fichier /etc/opendmarc.conf à configurer). Les spécificités de cette configuration sont :

  • dans /etc/opendmarc.conf :
    AuthservID mail.test.picasoft.net
    TrustedAuthservIDs mail.test.picasoft.net
    IgnoreHosts /etc/opendmarc/ignore.hosts
  • et dans /etc/opendmarc/ignore.hosts :
    localhost
    192.168.0.0/24

Pour configurer plus finement OpenDMARC, se reporter à la documentation officielle.

À noter : indépendamment de la politique de l’émetteur, OpenDMARC permet au destinataire de choisir de supprimer ou non les mails qui échouent au test DMARC avec le paramètre RejectFailures false.

  • technique/adminsys/mail/config/dmarc.txt
  • de qduchemi