From 22d1d1ea0d1e2f9a5493e984879a4e3be7944594 Mon Sep 17 00:00:00 2001 From: Alex Auvolat Date: Fri, 17 Mar 2023 13:57:30 +0100 Subject: Nouvelles instructions pour les domaines email --- content/operations/email.md | 13 +++++++++---- 1 file changed, 9 insertions(+), 4 deletions(-) (limited to 'content') diff --git a/content/operations/email.md b/content/operations/email.md index 32d5105..03ed149 100644 --- a/content/operations/email.md +++ b/content/operations/email.md @@ -18,25 +18,25 @@ Deuxfleurs peut héberger vos e-mails, même s'ils ne finissent pas en `@deuxfle 1. L'entrée MX pour recevoir les emails ```bind -@ MX 10 email-in.deuxfleurs.fr. +@ MX 10 smtp.deuxfleurs.fr. ``` 1. L'entrée SPF pour autoriser notre IP à délivrer des emails en votre nom : ```bind -@ TXT "v=spf1 mx:out.deuxfleurs.fr -all" +@ TXT "v=spf1 include:deuxfleurs.fr -all" ``` 1. L'entrée DKIM pour autoriser notre postfix+opendkim à délivrer des emails en votre nom : ``` -smtp._domainkey TXT "v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtdZp4qrgZR+6R7HeAkuLGJ/3L/6Ungvf5zwrMq6T8Tu931j2G4lYuPtsxyn9fZkT4y7DlX0waktLDBOCwf7X78nLEWjAFWiJTeWGRGhRdYRUFpscs9NUN0P+46jKlabibG3XTKd1DeAmywTu6o1oO03yiolrgKD1zgyDRFeUTfSwZIdPrdbcBSA1arda4WFtcBIrSygM9b4jtlqfQwGDrsMLbCBfVHDn4WfmDWyNg0gDAkuLrYClNETk6aqIyj9fC8srKri0Qp3cRagCn+fjBvuxP35qWWJH7Rnnh/tuEDr1ufuNYO2KgJZ7JdMidUotxXE8cfU+OrEWQf4mIYeJ4wIDAQAB" +smtp._domainkey CNAME smtp._domainkey.deuxfleurs.fr. ``` 1. L'entrée DMARC pour indiquer le comportement à adopter si les contraintes précédentes ne sont pas satisfaites : ``` -_dmarc TXT "v=DMARC1; p=reject; sp=reject; adkim=s; fo=1; aspf=s; ruf=mailto:prod-sysadmin@deuxfleurs.fr; rf=afrf; pct=100; ri=86400" +_dmarc CNAME _dmarc.deuxfleurs.fr. ``` 1. C'est tout ! Vous devrez probablement attendre 24/48h que les changements se propagent. @@ -56,6 +56,7 @@ _dmarc TXT "v=DMARC1; p=reject; sp=reject; adkim=s; fo=1; aspf=s; ruf=mailto:p | nom | type | valeur | signification | | --- | ---- | ------ | ------------- | | `@` | `MX` | `12 email-in.deuxfleurs.fr` | Serveur que chercheront à joindre les gens qui veulent envoyer un courrier à une addresse `@deuxfleurs.fr` | +| `out | `MX` | `12 orion[-v6].deuxfleurs.fr` | Addresses IP pouvant envoyer des messages pour SPF (voir ci-dessous) | | `default._domainkey` | `TXT` | `v=DKIM1; h=sha256; k=rsa; p=` | Enregistrement DKIM (voir ci-dessous) | | `smtp._domainkey` | `TXT` | `v=DKIM1; h=sha256; k=rsa; p=` | Enregistrement DKIM (voir ci-dessous) | | `@` | `TXT` | `"v=spf1 mx:out.deuxfleurs.fr ip4: [...] -all" | Enregistrement SPF (voir ci-dessous) | @@ -119,6 +120,8 @@ Cette signature contient les champs suivants : - `t` (recomandé) donne le timestamp de la signature, i.e. sa date et son heure - `c` est un paramètre additionnel de la méthode de calcul de la signature +**Chez Deuxfleurs:** L'en-tête de signature est rajouté par notre serveur Postfix. La clef privée est stockée dans Consul, et est injéctée dans le conteneur Postfix au lancement. Les enregistrements DNS sont installés manuellement. + ## SPF L'enregistrement SPF sert à aider le serveur de destination à déterminer si le message reçu est légitime ou non, en vérifiant des contraintes sur l'addresse IP par laquelle il a été reçu. @@ -158,6 +161,8 @@ Par exemple, dans les exemples ci-dessous, voici comment interpréter les diffé - `-all` : rejeter strictement tous les messages venant d'une autre addresse IP +**Chez Deuxfleurs:** L'enregistrement SPF, installé manuellement, contient `mx:out.deuxfleurs.fr`, ce qui signifie que les addresses IP sont celles présentes dans l'enregistrement `MX` pour `out.deuxfleurs.fr`. Actuellement, les valeurs sont `orion.site.deuxfleurs.fr` et `orion-v6.site.deuxfleurs.fr`. Le premier contient l'IPv4 (mise manuellement) et une IPv6 (mise automatiquement par D53, c'est celle de la machine contenant Tricot). Le second contient toutes les IPv6 possibles pour Postfix (celui-ci se ballade de machine en machine). + ## DMARC DMARC est un mécanisme qui permet de mieux contrôler la réaction des serveurs de destination en fonction des tests DKIM et SPF. -- cgit v1.2.3