| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| technique:adminsys:mail:maintenance:dmarc_reports [2021/11/22 22:29] – ↷ Page déplacée de technique:internal_serv:mail:maintenance:dmarc_reports à technique:adminsys:mail:maintenance:dmarc_reports qduchemi | technique:adminsys:mail:maintenance:dmarc_reports [2022/09/23 10:18] (Version actuelle) – modification externe 127.0.0.1 |
|---|
| ### Préambule | ### Préambule |
| |
| <bootnote learn>[[technique:etudes:mail:protocoles:smtp:limites#dmarc|DMARC]] vérifie, entre autres la concordance des domaines trouvés par [[technique:etudes:mail:protocoles:smtp:limites#spf|SPF]] et [[technique:etudes:mail:protocoles:smtp:limites#dkim|DKIM]] avec le domaine de l’en-tête `From:`. En particulier, DMARC vérifie que le nom de domaine de la machine ayant été autorisée à envoyer le mail (SPF) correspond à l'adresse de l'émetteur (`From:`) et que le domaine de la clé ayant signé le mail (DKIM) correspond au header `From:`.</bootnote> | <bootnote learn>[[technique:old:etudes:mail:protocoles:smtp:limites#dmarc|DMARC]] vérifie, entre autres la concordance des domaines trouvés par [[technique:old:etudes:mail:protocoles:smtp:limites#spf|SPF]] et [[technique:old:etudes:mail:protocoles:smtp:limites#dkim|DKIM]] avec le domaine de l’en-tête `From:`. En particulier, DMARC vérifie que le nom de domaine de la machine ayant été autorisée à envoyer le mail (SPF) correspond à l'adresse de l'émetteur (`From:`) et que le domaine de la clé ayant signé le mail (DKIM) correspond au header `From:`.</bootnote> |
| |
| <bootnote>C'est la [[technique:internal_serv:mail:config:dmarc|politique DMARC]], publiée comme enregistrement DNS, qui indique quoi faire en cas d'erreur, par exemple</bootnote> | <bootnote>C'est la [[technique:adminsys:mail:config:dmarc|politique DMARC]], publiée comme enregistrement DNS, qui indique quoi faire en cas d'erreur, par exemple</bootnote> |
| |
| Dans [[technique:internal_serv:mail:config:dmarc|notre enregistrement DNS]], on trouve une adresse mail de *reporting* : `tech@picasoft.net`. L'idée est de demander à tous les fournisseurs de mail qui vérifient la politique DMARC de nous envoyer un rapport **hebdomadaire**, qui donne le statut de la vérification des e-mails. | Dans [[technique:adminsys:mail:config:dmarc|notre enregistrement DNS]], on trouve une adresse mail de *reporting* : `tech@picasoft.net`. L'idée est de demander à tous les fournisseurs de mail qui vérifient la politique DMARC de nous envoyer un rapport **hebdomadaire**, qui donne le statut de la vérification des e-mails. |
| |
| <bootnote warning>La vaste majorité des fournisseurs mails ne vérifient pas la politique DMARC, et moins encore envoient un rapport. Aujourd'hui, nous recevons des rapports quasiment exclusivement en provenance de Google.</bootnote> | <bootnote warning>La vaste majorité des fournisseurs mails ne vérifient pas la politique DMARC, et moins encore envoient un rapport. Aujourd'hui, nous recevons des rapports quasiment exclusivement en provenance de Google.</bootnote> |
| |
| * Identifiant : `tech@picasoft.net` | * Identifiant : `tech@picasoft.net` |
| * Mot de passe : [[technique:tips:password_store:start|sur le pass]] | * Mot de passe : [[asso:tuto:vaultwarden|sur le vaultwarden]] |
| |
| Thunderbird trouve automatiquement la configuration. Sinon, on utilisera `mail.picasoft.net`, port 587 pour SMTP, port 143 pour IMAP, avec STARTTLS. | Thunderbird trouve automatiquement la configuration. Sinon, on utilisera `mail.picasoft.net`, port 587 pour SMTP, port 143 pour IMAP, avec STARTTLS. |
| #### DMARC Capable | #### DMARC Capable |
| |
| {{ :technique:internal_serv:mail:maintenance:dmarc_capable.png |}} | {{ technique:adminsys:mail:maintenance:dmarc_capable.png |}} |
| |
| Tout est au vert, la `Compliance` est de 100%. | Tout est au vert, la `Compliance` est de 100%. |
| |
| L'alignement `DKIM` est respecté, c'est-à-dire que tous les mails envoyés depuis le serveur mail de Picasoft ont été signés avec une clé dont le domaine de validité (ici `picasoft.net`) correspond au header `From:`, qui se termine en `@picasoft.net`. Le [[technique:internal_serv:mail:config:dkim|sélecteur de la clé DKIM]] est ici `janv2021`. | L'alignement `DKIM` est respecté, c'est-à-dire que tous les mails envoyés depuis le serveur mail de Picasoft ont été signés avec une clé dont le domaine de validité (ici `picasoft.net`) correspond au header `From:`, qui se termine en `@picasoft.net`. Le [[technique:adminsys:mail:config:dkim|sélecteur de la clé DKIM]] est ici `janv2021`. |
| |
| L'alignement SPF est respecté, c'est-à-dire que le header `From:` provient du même domaine que l'enveloppe d'en-tête (indiquée avec la commande SMTP `MAIL FROM`). En effet, SPF vérifie seulement que l'IP du serveur de `MAIL FROM` est autorisée à envoyer des e-mails pour le domaine `picasoft.net`. Mais elle ne prévient pas la falsification du header `From:`. Avec cette vérification d'alignement, on empêche l'expéditeur de falsifier une adresse, en faisant croire que le mail est envoyé depuis un autre domaine. | L'alignement SPF est respecté, c'est-à-dire que le header `From:` provient du même domaine que l'enveloppe d'en-tête (indiquée avec la commande SMTP `MAIL FROM`). En effet, SPF vérifie seulement que l'IP du serveur de `MAIL FROM` est autorisée à envoyer des e-mails pour le domaine `picasoft.net`. Mais elle ne prévient pas la falsification du header `From:`. Avec cette vérification d'alignement, on empêche l'expéditeur de falsifier une adresse, en faisant croire que le mail est envoyé depuis un autre domaine. |
| C'est une autre histoire : | C'est une autre histoire : |
| |
| {{ :technique:internal_serv:mail:maintenance:dmarc_forwarders.png |}} | {{ technique:adminsys:mail:maintenance:dmarc_forwarders.png |}} |
| |
| Déjà, on constate que l'alignement SPF est systématiquement cassé. | Déjà, on constate que l'alignement SPF est systématiquement cassé. |
| DKIM est préservé pour les adresses mail en `utc.fr` ayant demandé de relayer les mails, ce qui suffit à valider la conformité à la politique DMARC : | DKIM est préservé pour les adresses mail en `utc.fr` ayant demandé de relayer les mails, ce qui suffit à valider la conformité à la politique DMARC : |
| |
| {{ :technique:internal_serv:mail:maintenance:dmarc_compliant.png |}} | {{ technique:adminsys:mail:maintenance:dmarc_compliant.png |}} |
| |
| En revanche, DKIM est cassé pour `univ-amu.fr`. La `Compliance` est à 0%. | En revanche, DKIM est cassé pour `univ-amu.fr`. La `Compliance` est à 0%. |