[résolu] Mise en place authentification DKIM

Message par **kalistyan** » jeu. 21 juin 2012 14:03

L'un de mes clients recontre des problèmes avec sa messagerie. D'après certains destinataires, les mails n'arriveraient pas à tous les coups... Utilisant un service externe pour la partie SMTP, ai ouvert un ticket. Voici leur réponse.

Impossible de voir si vous rencontrez des problèmes de délivrabilité tant que les SPF et DKIM de vos domaines ne sont pas encore réglés. En effet, ces paramètres permettent de nous authentifier comme expéditeur autorisé à envoyer des messages à votre place.

Pour la partie SPF, c'est opérationnel. Par contre, grosse galère pour l'authentication DKIM.

La zone DNS est géré chez Online, ai ouvert un ticket. Voici leur réponse :

Code : Tout sélectionner


> Yannick a ecrit: 
> > Afin de mettre en place l'authentification DKIM, j'ai rajouté un enregistrement TXT à la zone DNS.
 > > 
> > smtp.com._domainkey.domaine.fr v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOj3q4OrQQUEOXvsqNuk5cQix3bcVKwY17MypduGIi6rNPp/+7f0C7HwZWD/iSIj6PAi3W2QIDAQAB
 > > 
> > La modification a bien été validée. Mais après vérification, seul l'enregistrement TXT pour le SPF est détecté.
 > > 
> > Pourriez vous m'indiquer la marche à suivre ?
 > > 
> > Dans l'attente,
 > > 
> > -- 
> > Yannick

Code : Tout sélectionner

> 
> 
> L'enregistrement que vous avez effectué est bien visible en faisant une requête sur le serveur DNS:
 > 
> 
> dig @ns0.online.net domaine.fr axfr
 > 
> ;  DiG 9.7.1-P2  @ns0.online.net domaine.fr axfr
 > ; (1 server found)
 > ;; global options: +cmd
 > domaine.fr. 14400 IN SOA nsmaster.nic.fr. hostmaster.nic.fr. 1313011316 3600 1800 3600000 5400
 > domaine.fr. 14400 IN A 9x.1xx.xx3.xx1
 > domaine.fr. 14400 IN MX 10 domaine.fr.
 > domaine.fr. 14400 IN NS ns0.online.net.
 > domaine.fr. 14400 IN NS ns1.online.net.
 > domaine.fr. 14400 IN TXT "v=spf1 include:spf.smtp.com ip4:9x.1xx.xx3.xx1 a mx mx:domaine.fr ~all"
 > domaine.fr. 14400 IN TXT "_domainkey.domaine.fr"
 > *.domaine.fr. 14400 IN A 9x.1xx.xx3.xx1
 > mail.domaine.fr. 14400 IN CNAME domaine.fr.
 > www.domaine.fr. 14400 IN A 88.190.253.248
 > domaine.fr. 14400 IN SOA nsmaster.nic.fr. hostmaster.nic.fr. 1313011316 3600 1800 3600000 5400
 > ;; Query time: 5 msec
 > ;; SERVER: 88.191.253.51#53(88.191.253.51)
 > ;; WHEN: Thu Jun 21 12:49:56 2012
 > ;; XFR size: 11 records (messages 11, bytes 679)
 > 
> 
> 
> Si votre enregistrement DKIM ne fonctionne pas c'est qu'il a mal été entré sur l'interface.
 > L'enregistrement actuel n'est d'ailleurs pas celui que vous me copiez dans ce ticket
 > 
> 
> Cordialement, 
> -- 
> L'assistance technique Online

Code : Tout sélectionner

Bonjour,
 
Peut être mal saisi dans l'interface, mais aucune erreur ne m'a été retourné... Merci de m'indiquer la procédure/syntaxe exact.
 
Effectivment l'enregistrement copiez dans le tickiet a été supprimé, car invisible... même après 24h. Alors que celui-ci "_domainkey.domaine.fr" l'a été immédiatement.
 
Afin de repartir à zéro, je viens de rajouter :
 
smtp.com._domainkey.domaine.fr. v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOj3q4OrQQUEOXvsqNuk5cQix3bcVKwY17MypduGIi6rNPp/+7f0C7HwZWD/iSIj6PAi3W2QIDAQAB 
Dans l'attente,
 
Cordialement,
 -- 
Yannick

Wait & see...

Message par **asriel** » jeu. 21 juin 2012 20:09

je me sers aussi de dkim (pas par online, postfix + opendkim + bind)
dans ton enregistrement, le v=DKIM1 ne sert pas, tu peux l'enlever, le k=rsa; p=ta_clé_publique; suffisent.
après, faut surtout voir si le soft qui envoie le mail signe bien l'email, et dans les headers, voir que l'enregistrement 'smtp.com' (avant _domainkey.domaine.fr) est bien la.

Message par **kalistyan** » sam. 23 juin 2012 15:44

Pour le domaine chez Online, voici l'erreur retournée :

domaine.fr with selector test does not have dkim string

Pour celui chez Gandi :

Server can't find test._domainkey.domaine.fr

Testé ici

Message par **asriel** » sam. 23 juin 2012 18:28

il deconne ce site...
je viens de le tester sur mon nom de domaine, et il me sort une erreur "domain mondomaine.fr doest not have dkim string" [:guitoux84:9]
(oué, me suis pas fait ch***, j'ai pris dkim._domainkey.mondomain.fr c'est plus simple à retenir...

enfin bon, pour le tester tu fais normalement un

Code : Tout sélectionner

dig test._domainkey.domaine.fr txt

et tu devris avoir l'enregistrement contenant k=rsa; p=ta_clé_publique;

edit: pour tester ta clé dkim, tu peux aller la

http://dkimcore.org/tools/dkimrecordcheck.html

Message par **kalistyan** » sam. 23 juin 2012 19:06

Ah c'est bon à savoir, avais déjà testé avec ton lien. Voici l'erreur retournée.

Code : Tout sélectionner

DKIM Record for test._domainkey.domaine.fr


This is not a good DKIM key record. You should fix the errors shown in red.

DNS query failed for 'test._domainkey.domaine.fr':NOERROR

A public-key (p=) is required

En faisant un Perform DNS query ici la fin de la clé publique est sur une seconde ligne. Le problème vient peut être de là...

Message par **asriel** » sam. 23 juin 2012 19:15

ha vi, tout doit être sur une seule ligne, sinon c'est pas valide

accessoirement, si c'est pas indiscret, tu peux me filer le nom de ton NDD en mp ? je regarderai si y'a un truc qui me choque

Message par **kalistyan** » lun. 25 juin 2012 13:27

Réponse du support Online

Un enregistrement DNS fait au maximum 255 caractères, s'il fait plus que ça, la fin de l'enregistrement est envoyé sur une ligne différente, il s'agit du fonctionnement classique des enregistrements longs.
Si cela ne fonctionne pas pour vous, il faudra réduire la taille de votre enregistrement pour qu'il ne dépasse plus.

En cours de test avec Gandi, si cela fonctionne... Vais transférer le domaine, si le client valide...

Message par **asriel** » lun. 25 juin 2012 20:06

ha oui, voila...

pourtant, quand je génere une clé dkim avec openssl, je fais :

Code : Tout sélectionner

# private
openssl genrsa -out dkim.priv 1024
# public
openssl rsa -in dkim.priv -pubout -out dkim.pub

puis je réunis toutes les lignes de la clé publique en virant les retours a la ligne
et au final, avec le k=rsa; p=clé_publique; j'en ai pour ~225/230 caractères

Message par **kalistyan** » lun. 25 juin 2012 23:50

En continuant mes recherches, ai trouvé ceci :

Selector Record :

Code : Tout sélectionner

selector._domainkey.domaine.fr IN TXT "k=rsa; p=clé public"

Policy Record :

Code : Tout sélectionner

_domainkey.domaine.fr IN TXT "t=y; o=~;"

Edit : Via l'interface de Gandi cela donne ceci :

Code : Tout sélectionner

@ 10800 IN TXT "test.domaine._domainkey k=rsa; p=ma clé"
@ 10800 IN TXT "_domainkey.domaine.fr"

Reste à attendre la mise à jour...

Message par **kalistyan** » mar. 26 juin 2012 14:58

Ai réussi à trouver la syntaxe (Gandi).

Via le prestataire : Votre configuration DomainKey semble bonne !

Via dkimcore.org : This is a valid DKIM key record !

Via le mail envoyé à check-auth2@verifier.port25.com :

Summary of Results
==========================================================
SPF check: pass
DomainKeys check: pass
DKIM check: pass
Sender-ID check: pass
SpamAssassin check: ham

Reste à appliquer la syntaxe sur Online.net !!!!

Message par **kalistyan** » mer. 27 juin 2012 00:27

Enjoy

DKIM opérationnelle sur tous les domaines.

Edit : merci de ton aide asriel.

La bonne syntaxe à saisir dans votre zone DNS

Code : Tout sélectionner

selector._domainkey 10800 IN TXT	"k=rsa; p=clé public"

Ce qui donne lors la vérification :

Code : Tout sélectionner

selector._domainkey.domaine.fr "k=rsa; p=clé public"

Message par **asriel** » mer. 27 juin 2012 18:25

ha c'est cool ça

Message par **bbr241** » jeu. 22 nov. 2012 17:17

Hello

Je rebondit sur le topic, je me posais la question des entrées DNS :

1._domainkey.domaine.fr IN TXT "t=y; o=~;"

Vous savez à quoi elles servent ces entrées la ? Sur mon DNS j'ai le même type d'entrée sans le "t=y"..

Quelqu'un utilise la solution port25 ici ?

Message par **kalistyan** » jeu. 22 nov. 2012 17:39

Cette entrée

Code : Tout sélectionner

._domainkey.domaine.fr IN TXT "t=y; o=~;"

sert à activer l'authentification DKIM.

"t="

(−−[no]testmode) Indicates the generated key record should be tagged such that verifiers are aware DKIM is in test at the signing domain.

J'ai utilisé port25 pour tester.

Message par **bbr241** » jeu. 22 nov. 2012 18:00

Dans ma conf port25 j'ai ce genre de chose si ça te parle :

[cpp]mail-from /newsletter.toto.com/ virtual-mta=newsletter_toto

virtual-mta newsletter_toto1
virtual-mta newsletter_toto2
virtual-mta newsletter_toto3
virtual-mta newsletter_toto4
virtual-mta newsletter_toto5
[/cpp]

[cpp]
smtp-source-host 192.168.X.X newsletter_toto1.toto.com
[/cpp]
etc pour chaque IP.

Un NAT est fait au niveau du FW pour attaquer ces IP privées et un enregistrement MX & SPF au niveau DNS avec chaque newsletter_toto1.toto.com

Du coup je me demandais si ces entrées étaient vraiment utiles au niveau DNS ou si les passerelles forwardaient vers newsletter_toto.toto.com et non newsletter_toto1.toto.com

D'habitude je bosse pas sur ces sujets la du coup j'attaques doucement le dossier..

Message par **kalistyan** » ven. 23 nov. 2012 02:28

Euh...Désolé, mais cela ne me parle pas du tout. ^^