**Ceci est une ancienne révision du document !**
DMARC
Cette page concerne l’implémentation du protocole DMARC chez Picasoft. Pour une explication théorique de celui-ci, voir ce paragraphe.
La configuration de DMARC pour Picasoft se fait en deux temps :
- l’insertion d’un enregistrement
TXT
dans le DNS, - la configuration d’un programme chargé d’appliquer DMARC aux mails entrant.
Publication de notre politique DMARC dans le DNS
L’enregistrement DMARC dans le DNS permet de spécifier au monde entier la procédure qu’on souhaite voir appliquée aux mails dont le champ from termine en @picasoft.net
. Celle-ci peut être :
none
: aucune action n’est faite,quarantine
: le mail est transmis mais un drapeau (flag) le fera atterrir dans le dossierIndésirables
,reject
: le mail est détruit.
Dans les trois cas, un rapport peut être envoyé si une adresse mail est renseignée dans cet enregistrement DNS.
La rédaction de cet enregistrement peut se faire manuellement. Sinon, le site officiel propose une configuration interactive et aboutit à la rédaction de cet enregistrement, à insérer tel quel dans le DNS. À titre d’exemple, l’entrée dans le DNS de Picasoft est :
_dmarc.picasoft.net. IN TXT "v=DMARC1; p=none; rua=mailto:postmaster@picasoft.net; sp=none; ri=86400"
On peut aussi le retrouver avec la commande :
dig -t txt _dmarc.picasoft.net
Attention à bien penser à incrémenter le serial du DNS après modification de celui-ci.
Configuration de OpenDMARC
Le programme utilisé pour appliquer les politiques DMARC des autres sur nos mails entrant est opendmarc
(paquet du même nom). Lors de l’installation de celui-ci, un fichier /etc/opendmarc.conf
est créé, ainsi qu’un utilisateur système et un groupe opendmarc
.
La configuration est similaire à celle de OpenDKIM, en plus simplifiée (il n’y a que les sockets et le fichier /etc/opendmarc.conf
à configurer).
Les spécificités de cette configuration sont :
- dans
/etc/opendmarc.conf
:AuthservID mail.test.picasoft.net TrustedAuthservIDs mail.test.picasoft.net IgnoreHosts /etc/opendmarc/ignore.hosts
- et dans
/etc/opendmarc/ignore.hosts
:localhost 192.168.0.0/24
Pour configurer plus finement OpenDMARC, se reporter à la documentation officielle.
À noter : indépendamment de la politique de l’émetteur, OpenDMARC permet au destinataire de choisir de supprimer ou non les mails qui échouent au test DMARC avec le paramètre RejectFailures false
.