Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
technique:adminserv:mail:update_dkim [2021/01/07 01:05] – [Motivation] qduchemitechnique:adminsys:mail:maintenance:update_dkim [2022/05/24 21:00] (Version actuelle) ppom
Ligne 3: Ligne 3:
 # Renouveler les clés DKIM # Renouveler les clés DKIM
  
-<bootnote>DKIM est un protocole permettant d'authentifier l'expéditeur du message et de vérifier son intégrité par des moyens cryptographiques. En savoir plus [[etudes:mail:protocoles:smtp:limites#dkim|ici]].</bootnote>+<bootnote>DKIM est un protocole permettant d'authentifier l'expéditeur du message et de vérifier son intégrité par des moyens cryptographiques. En savoir plus [[technique:old:etudes:mail:protocoles:smtp:limites#dkim|ici]].</bootnote>
  
 ## Motivation ## Motivation
Ligne 28: Ligne 28:
 L'idée n'est pas vraiment de discuter si cet effet de bord est souhaitable, mais plutôt de noter que ce n'est pas le but de DKIM ni ce à quoi on s'attend en envoyant un mail. Lorsque j'envoie un mail que je ne signe pas moi-même, je ne m'attends pas à ce que le serveur mail l'authentifie cryptographiquement à vie. L'idée n'est pas vraiment de discuter si cet effet de bord est souhaitable, mais plutôt de noter que ce n'est pas le but de DKIM ni ce à quoi on s'attend en envoyant un mail. Lorsque j'envoie un mail que je ne signe pas moi-même, je ne m'attends pas à ce que le serveur mail l'authentifie cryptographiquement à vie.
  
-L'auteur de l'article argumente que cet effet de bord peut créer des incitatifs au piratage de mail et au chantage, bien que dans certains leaks on apprécier l'authentification.+L'auteur de l'article argumente que cet effet de bord peut créer des incitatifs au piratage de mail et au chantage. D'un autre côté, on pourrait argumenter que l'authenticité garantie par DKIM dans les mails concernant des scandales politiques est une bonne chose.
  
-<bootnote>L'argument consiste finalement à dire que le mail n'est pas censé empêché le **déni plausible** (ou *plausible deniability* en anglais), terme couramment employé dans les communications chiffrées pour désigner que malgré une forme d'authentification, personne ne peut prouver cryptographiquement que j'ai bien envoyé tel ou tel message. Par exemple, [Signal garantit le déni plausible](https://signal.org/blog/simplifying-otr-deniability/) : les messages peuvent avoir été écrits par l'une ou l'autre des parties d'une conversation sans que l'on puisse prouver quoi que ce soit.</bootnote>+<bootnote>L'argument consiste finalement à dire que le mail n'est pas censé empêcher le **déni plausible** (ou *plausible deniability* en anglais), terme couramment employé dans les communications chiffrées pour désigner que personne ne peut prouver cryptographiquement que j'ai bien envoyé tel ou tel message. Par exemple, [Signal garantit le déni plausible](https://signal.org/blog/simplifying-otr-deniability/) : les messages peuvent avoir été écrits par l'une ou l'autre des parties d'une conversation sans que l'on puisse prouver quoi que ce soit. Les utilisateurs de mail devraient pouvoir choisir s'ils souhaitent renoncer à vie au déni plausible.</bootnote>
  
 Pour éviter cet effet de bord, il faut donc : Pour éviter cet effet de bord, il faut donc :
Ligne 39: Ligne 39:
 ## Renouvellement ## Renouvellement
  
-Inspiré de [[technique:mail:dkim|la création d'une clé DKIM]].+Inspiré de [[technique:adminsys:mail:config:dkim|la création d'une clé DKIM]].
  
 ### Créer une nouvelle clé ### Créer une nouvelle clé
Ligne 71: Ligne 71:
 ### Publier la nouvelle clé publique dans le DNS ### Publier la nouvelle clé publique dans le DNS
  
-Le fichier `.txt` contient déjà l'enregistrement DNS pré-formaté, ce qui rend facile sa publication. Il suffit de le rajouter au fichier de zone et de redémarrer le serveur DNS. On trouvera un peu de documentation sur le serveur DNS de Picasoft [[technique:adminsys:dns|sur cette page]].+Le fichier `.txt` contient déjà l'enregistrement DNS pré-formaté, ce qui rend facile sa publication. Il suffit de le rajouter au fichier de zone et de redémarrer le serveur DNS. On trouvera un peu de documentation sur le serveur DNS de Picasoft [[technique:adminsys:dns:picasoft|sur cette page]].
  
 On peut ensuite vérifier que l'opération a bien fonctionné avec la commande suivante : On peut ensuite vérifier que l'opération a bien fonctionné avec la commande suivante :
Ligne 81: Ligne 81:
 ### Modifier le sélecteur utilisé par Postfix ### Modifier le sélecteur utilisé par Postfix
  
-La troisième étape est de modifier la clé DKIM utilisée par Postfix. À ce jour, la modification se fait dans le [docker-compose.yml](https://gitlab.utc.fr/picasoft/projets/dockerfiles/-/blob/master/pica-mail/docker-compose.yml) du serveur de mail, via la variable d'environnement `DKIM_SELECTOR`.+La troisième étape est de modifier la clé DKIM utilisée par Postfix. À ce jour, la modification se fait dans le [docker-compose.yml](https://gitlab.utc.fr/picasoft/projets/services/mail-system/-/blob/master/docker-compose.yml) du serveur de mail, via la variable d'environnement `DKIM_SELECTOR`.
  
 Une fois la modification faite, on redémarrage le conteneur Postfix. Une fois la modification faite, on redémarrage le conteneur Postfix.
  • technique/adminsys/mail/maintenance/update_dkim.txt
  • de ppom