aboutsummaryrefslogtreecommitdiff
diff options
context:
space:
mode:
authorAlex Auvolat <alex@adnab.me>2023-03-17 13:57:30 +0100
committerAlex Auvolat <alex@adnab.me>2023-03-17 13:57:30 +0100
commit22d1d1ea0d1e2f9a5493e984879a4e3be7944594 (patch)
treeaa0eda777fe0102405d076d64877e21a8d6d3342
parentc76d05c09c1959e07b77a13f50e04f8e853cb300 (diff)
downloadguide.deuxfleurs.fr-22d1d1ea0d1e2f9a5493e984879a4e3be7944594.tar.gz
guide.deuxfleurs.fr-22d1d1ea0d1e2f9a5493e984879a4e3be7944594.zip
Nouvelles instructions pour les domaines email
-rw-r--r--content/operations/email.md13
1 files changed, 9 insertions, 4 deletions
diff --git a/content/operations/email.md b/content/operations/email.md
index 32d5105..03ed149 100644
--- a/content/operations/email.md
+++ b/content/operations/email.md
@@ -18,25 +18,25 @@ Deuxfleurs peut héberger vos e-mails, même s'ils ne finissent pas en `@deuxfle
1. L'entrée MX pour recevoir les emails
```bind
-@ MX 10 email-in.deuxfleurs.fr.
+@ MX 10 smtp.deuxfleurs.fr.
```
1. L'entrée SPF pour autoriser notre IP à délivrer des emails en votre nom :
```bind
-@ TXT "v=spf1 mx:out.deuxfleurs.fr -all"
+@ TXT "v=spf1 include:deuxfleurs.fr -all"
```
1. L'entrée DKIM pour autoriser notre postfix+opendkim à délivrer des emails en votre nom :
```
-smtp._domainkey TXT "v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtdZp4qrgZR+6R7HeAkuLGJ/3L/6Ungvf5zwrMq6T8Tu931j2G4lYuPtsxyn9fZkT4y7DlX0waktLDBOCwf7X78nLEWjAFWiJTeWGRGhRdYRUFpscs9NUN0P+46jKlabibG3XTKd1DeAmywTu6o1oO03yiolrgKD1zgyDRFeUTfSwZIdPrdbcBSA1arda4WFtcBIrSygM9b4jtlqfQwGDrsMLbCBfVHDn4WfmDWyNg0gDAkuLrYClNETk6aqIyj9fC8srKri0Qp3cRagCn+fjBvuxP35qWWJH7Rnnh/tuEDr1ufuNYO2KgJZ7JdMidUotxXE8cfU+OrEWQf4mIYeJ4wIDAQAB"
+smtp._domainkey CNAME smtp._domainkey.deuxfleurs.fr.
```
1. L'entrée DMARC pour indiquer le comportement à adopter si les contraintes précédentes ne sont pas satisfaites :
```
-_dmarc TXT "v=DMARC1; p=reject; sp=reject; adkim=s; fo=1; aspf=s; ruf=mailto:prod-sysadmin@deuxfleurs.fr; rf=afrf; pct=100; ri=86400"
+_dmarc CNAME _dmarc.deuxfleurs.fr.
```
1. C'est tout ! Vous devrez probablement attendre 24/48h que les changements se propagent.
@@ -56,6 +56,7 @@ _dmarc TXT "v=DMARC1; p=reject; sp=reject; adkim=s; fo=1; aspf=s; ruf=mailto:p
| nom | type | valeur | signification |
| --- | ---- | ------ | ------------- |
| `@` | `MX` | `12 email-in.deuxfleurs.fr` | Serveur que chercheront à joindre les gens qui veulent envoyer un courrier à une addresse `@deuxfleurs.fr` |
+| `out | `MX` | `12 orion[-v6].deuxfleurs.fr` | Addresses IP pouvant envoyer des messages pour SPF (voir ci-dessous) |
| `default._domainkey` | `TXT` | `v=DKIM1; h=sha256; k=rsa; p=<clef publique>` | Enregistrement DKIM (voir ci-dessous) |
| `smtp._domainkey` | `TXT` | `v=DKIM1; h=sha256; k=rsa; p=<clef publique>` | Enregistrement DKIM (voir ci-dessous) |
| `@` | `TXT` | `"v=spf1 mx:out.deuxfleurs.fr ip4:<addresse ip> [...] -all" | Enregistrement SPF (voir ci-dessous) |
@@ -119,6 +120,8 @@ Cette signature contient les champs suivants :
- `t` (recomandé) donne le timestamp de la signature, i.e. sa date et son heure
- `c` est un paramètre additionnel de la méthode de calcul de la signature
+**Chez Deuxfleurs:** L'en-tête de signature est rajouté par notre serveur Postfix. La clef privée est stockée dans Consul, et est injéctée dans le conteneur Postfix au lancement. Les enregistrements DNS sont installés manuellement.
+
## SPF
L'enregistrement SPF sert à aider le serveur de destination à déterminer si le message reçu est légitime ou non, en vérifiant des contraintes sur l'addresse IP par laquelle il a été reçu.
@@ -158,6 +161,8 @@ Par exemple, dans les exemples ci-dessous, voici comment interpréter les diffé
- `-all` : rejeter strictement tous les messages venant d'une autre addresse IP
+**Chez Deuxfleurs:** L'enregistrement SPF, installé manuellement, contient `mx:out.deuxfleurs.fr`, ce qui signifie que les addresses IP sont celles présentes dans l'enregistrement `MX` pour `out.deuxfleurs.fr`. Actuellement, les valeurs sont `orion.site.deuxfleurs.fr` et `orion-v6.site.deuxfleurs.fr`. Le premier contient l'IPv4 (mise manuellement) et une IPv6 (mise automatiquement par D53, c'est celle de la machine contenant Tricot). Le second contient toutes les IPv6 possibles pour Postfix (celui-ci se ballade de machine en machine).
+
## DMARC
DMARC est un mécanisme qui permet de mieux contrôler la réaction des serveurs de destination en fonction des tests DKIM et SPF.