OVH Community, votre nouvel espace communautaire.

Ajout d'un nouveau entrée DNS DKIM (signature électronique)


abdelbim
17/08/2016, 16h24
Bonjour,

Le problème est résolu avec la même configuration. Normalement j'ai dû attendre suffisamment le temps pour la propagation de DNS.

Merci à tous d'avoir m'aider,

Nowwhat
13/08/2016, 16h02
Utilisation:
Citation Envoyé par abdelbim
.....
$ named-checkzone mondomaine.com /var/lib/bind/mondomaine.com.hosts
Ce qui va donner :
zone mondomaine.com/IN: loaded serial 2016081301
OK

(ton sérial est récent ?!)

Citation Envoyé par abdelbim
.....
opendkim[241575]: xxxxxxxxxxxxxxx: DKIM-Signature field added (s=mail, d=mondomaine.com)
... et ce même mail, envoyé vers gmail doit donc montrer cette signature:

......
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mondomaine.com; s=mail;
t=1471096773; bh=+W+i4LmlNXjgAPk1XrO9oCL/SYmelXdo6TsEcVv/puI=;
h=Date:Subject:From:To:Sender;
b=RVpEv1BBi8urZRZevdcrjVlsazpa49fLNcepdw7p/IdQz+RB3lq8DVabE74LONAjs
JZRsaYm4WtFO0ybCtZuEtfJQFdYqiXPYSsnKQCF1o0IZJxBw+w 7rmtWOT2ZvRvp6pv
VXdFLH9/PRLtO0zPPxzjf7sMquKkC3EJTy6rKLDA=
.....
et plus haut ceci :
Authentication-Results: mx.google.com;
dkim=pass header.i=@mondomaine.com;
spf=pass (google.com: domain of toi@mondomaine.com designates 2001:41d0:2:927b::2 as permitted sender) smtp.mailfrom=toi@mondomaine.com;
dmarc=pass (p=REJECT dis=NONE) header.from=mondomaine.com
Correct ?

NicolasFR
13/08/2016, 09h52
Pour ma part, j'ajoute un champs TXT supplémentaire :

_domainkey In TXT "o=-"

abdelbim
12/08/2016, 11h13
Merci @Nowwhat

Je vais vous fournir plus de détail sur ma configuration DNS de mon nom de domaine "mondomaine.com" et comment j'ai y inclu un enregistrement DKIM:

********************
voici la configuration de la zone de mon domaine:
zone "mondomaine.com" {
type master;
file "/var/lib/bind/mondomaine.com.hosts";
allow-transfer {
xxx.xxx.xxx.xxx;
localnets;
};
};



J'ai ensuite ajouté un enregistrement dkim dans "/var/lib/bind/mondomaine.com.hosts", ce dernier contient ça :

$ttl 86400
mondomaine.com. IN SOA mondomaine.com. maitreposte.mondomaine.com. (
2014071601
21600
3600
604800
86400 )
mondomaine.com. IN NS ns321201.ip-188-165-254.eu.
mondomaine.com. IN NS sdns2.ovh.net.
mondomaine.com. IN MX 10 mail.mondomaine.com.
IN A xxx.xxx.xxx.xxx
www IN A xxx.xxx.xxx.xxx
mail IN A xxx.xxx.xxx.xxx
smtp IN A xxx.xxx.xxx.xxx
pop IN A xxx.xxx.xxx.xxx
pop3 IN A xxx.xxx.xxx.xxx
imap IN A xxx.xxx.xxx.xxx
sql IN A xxx.xxx.xxx.xxx
mysql IN A xxx.xxx.xxx.xxx

mail._domainkey IN TXT ("v=DKIM1; k=rsa; p=[my key ]);

Est ce comme ça on procède pour ajouter un e,registrement dkim?

Et puis named-checkzone donne :

$ named-checkzone mail._domainkey.mondomaine.com /var/lib/bind/mondomaine.com.hosts

/var/lib/bind/mondomaine.com.hosts:2: ignoring out-of-zone data (mondomaine.com)
/var/lib/bind/mondomaine.com.hosts:8: ignoring out-of-zone data (mondomaine.com)
/var/lib/bind/mondomaine.com.hosts:9: ignoring out-of-zone data (mondomaine.com)
/var/lib/bind/mondomaine.com.hosts:10: ignoring out-of-zone data (mondomaine.com)
/var/lib/bind/mondomaine.com.hosts:12: www.mail._domainkey.mondomaine.com: bad owner name (check-names)
/var/lib/bind/mondomaine.com.hosts:13: mail.mail._domainkey.mondomaine.com: bad owner name (check-names)
/var/lib/bind/mondomaine.com.hosts:14: smtp.mail._domainkey.mondomaine.com: bad owner name (check-names)
/var/lib/bind/mondomaine.com.hosts:15: pop.mail._domainkey.mondomaine.com: bad owner name (check-names)
/var/lib/bind/mondomaine.com.hosts:16: pop3.mail._domainkey.mondomaine.com: bad owner name (check-names)
/var/lib/bind/mondomaine.com.hosts:17: imap.mail._domainkey.mondomaine.com: bad owner name (check-names)
/var/lib/bind/mondomaine.com.hosts:18: sql.mail._domainkey.mondomaine.com: bad owner name (check-names)
/var/lib/bind/mondomaine.com.hosts:19: mysql.mail._domainkey.mondomaine.com: bad owner name (check-names)
zone mail._domainkey.mondomaine.com/IN: has 0 SOA records
zone mail._domainkey.mondomaine.com/IN: has no NS records
zone mail._domainkey.mondomaine.com/IN: not loaded due to errors.



Le mail log contient exactement le meme de ce que vous avez cité:

opendkim[241575]: xxxxxxxxxxxxxxx: DKIM-Signature field added (s=mail, d=mondomaine.com)


Je pense mes émails sont bein signés, reste à savoir pourquoi la clé ne s s'ajouté pas à l'entête de l'émail??!!


J'ai fait la meme chose de ce qui est dans le tutoriel et j'ai rien ajouté de ma part, donc je vois pas intérêt d'ajouter la configuration de mon dkim.

Merci encore l'aide.

Nowwhat
11/08/2016, 21h55
Citation Envoyé par abdelbim
...
J'ai donc pris le temps de suivre ce tuto (https://www.digitalocean.com/communi...-debian-wheezy)
pour réaliser ma configuration complète (directement sur mon serveur dédié sans passer par le portail d'ovh). tout s'est bien passé mais le test de DKIM n'a pas donné de résultat.. .
Donc tout s'est pas bien passé

Citation Envoyé par abdelbim
...
J'ai envoyé un mail à mon compte Gmail pour vérifier ma signature et le contenu original de l'émail contient ça:

Authentication-Results: mx.google.com;
dkim=temperror (no key for signature) header.i=@mondomaine.com;
Vu comme ça - ton serveur mail n'a pas ajouté le cle DKIM dans les entêtes.
Mais bon, tu nous le cache ...

Pour savoir si le mail sortent est signé, rien est plus simple.
'tail' ton log mail (le log de ton serveur),
Typiquement, exécute ceci:
tail -f /var/log/mail.og
(hyper important, ces logs - toutes les réponses sont là !!)

Puis, fait sortir un mail.

Dans ton log, tu retrouve

Aug 11 21:59:21 ns311465 opendkim[8877]: 7F40F63E0F7C: DKIM-Signature field added (s=default, d=mon-domaine.tld)
Preuve que le mail est signé.


opendkim-testkey retorune un erreur.
De plus, "named-checkzone" retourne des erreurs ...

Sans connaitre toute la config ..... dur, dur.

abdelbim
11/08/2016, 17h43
Merci pour vos réponses,

J'ai donc pris le temps de suivre ce tuto (https://www.digitalocean.com/communi...-debian-wheezy)
pour réaliser ma configuration complète (directement sur mon serveur dédié sans passer par le portail d'ovh). tout s'est bien passé mais le test de DKIM n'a pas donné de résultat..


*****************
Voici ma configuration DNS pour l'enregistrement DKIM:

mail._domainkey IN TXT ("v=DKIM1; k=rsa; p=[ clé public ici ]");

*****************


*****************
J'ai envoyé un mail à mon compte Gmail pour vérifier ma signature et le contenu original de l'émail contient ça:

Authentication-Results: mx.google.com;
dkim=temperror (no key for signature) header.i=@mondomaine.com;

*****************


*****************
Le test par la commande "opendkim-testkey ":

$ opendkim-testkey -d mondomaine.com -s mail -k mail.private -vvv

opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: key loaded from mail.private
opendkim-testkey: checking key 'mail._domainkey.mondomaine.com'
opendkim-testkey: 'mail._domainkey.mondomaine.com' unexpected reply class/type (-1/-1)

*****************


*****************
vérification des zones DNS:
$ named-checkzone mail._domainkey.mondomaine.com /var/lib/bind/mondomaine.com.hosts

named-checkzone mail._domainkey.mondomaine.com /var/lib/bind/mondomaine.com.hosts
zone mail._domainkey.mondomaine.com/IN: has 0 SOA records
zone mail._domainkey.mondomaine.com/IN: has no NS records
zone mail._domainkey.mondomaine.com/IN: not loaded due to errors.
*****************


Je pense que ma clé de signature n'est pas inclue dans le Header de l'émail envoyé et que mon enregistrement DNS n'est pas reconnu!
Pouvez vous svp me dire où et le problème?

Merci d'avance.

Nowwhat
08/08/2016, 15h40
Bonjour,
Citation Envoyé par abdelbim
....
Pouvez vous me dire comment peut-on avoir cette clé?
....
T'as un serveur dédié ou VPS, et j'espère un "Debian" : rien est plus simple.
Exemple : http://blog.tjitjing.com/index.php/2...nd-debian.html
C'est la commande:
opendkim-genkey
qui va s'occuper de tout.

Je te conseille quand même de lire:
man opendkim-genkey

janus57
08/08/2016, 13h26
Bonjour,

la clé généré par le serveur doit servir à signer les mails puis la clé public doit être mis dans le manager OVH (de mémoire c'est un peu "tricky" car faut le faire en mode avancé et non via l'interface "simplifié").

Si y a juste la clé sur le serveur et pas sur les DNS ou inversement cela ne va pas fonctionner et les mails ont 99% de se faire rejeter.

Exemple de config (dkim+postfix sur google) : https://www.linode.com/docs/email/po...ix-on-debian-8

Cordialement, janus57

abdelbim
08/08/2016, 13h13
Merci NicolasFR pour la réponse,

Par contre avez-vous une idée comment peut-on avoir cette clé soit sur le portail OVH ou directement sur mon serveur dédié?

NicolasFR
07/08/2016, 09h22
Le plus logique c'est que c'est ton serveur email qui va la signature DKIM et donc c'est lui qui te fournira ladite clé lors de ta création du DKIM.

abdelbim
06/08/2016, 11h27
Bonjour,

J'ai passé des jours en essayant à ajouter une entrée DNS pour DKIM ( signature électronique) sur l'interface de gestion de domaine d'OVH. J'ai googlé sur le sujet mais j'arrive pas à trouver des tutos complets.

L'ajout d'un dns dkim sur ladite interface nécessite la spécification d'une clé publique de base 64, d'où je ne sais où puis-je trouver cette clé ou comment la générer ?!
Pouvez vous me dire comment peut-on avoir cette clé?

Merci d'avance