
Envoyé par
danyel
Je reviens sur ta phrase : DMARC ne test QUE le mails qui entre, pas les mails sortent.
Je reste sceptique car d'apres ce que j'ai lu pour google (enfin gmail) ils preconisent son utilisation pour eviter d'etre mis en 'spam', donc c'est bien sortant de chezmoi et rentrant chez eux non ?
Si t'as pas de DMARC installé sur ton serveur, gmail va tester ton mail pour un SPF valide - et un DKIM valide.
Si les deux sont ok, le test DMARC sera Ok.
Exemple: t'as pas de DMARC installé sur ton serveur (or, comme je viens de le faire : j'arrête le service dmarc sur mon serveur) et j'envoie un mail vers GMAIL à partir de mon serveur,
le résultat chez gmail sera quand même:
Code:
Received-SPF: pass (google.com: domain of moi@mon-domaine.tld designates 2001:41d0:2:927b::2 as permitted sender) client-ip=2001:41d0:2:927b::2;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of moi@mon-domaine.tld designates 2001:41d0:2:927b::2 as permitted sender) smtp.mail=moi@mon-domaine.tld;
dkim=pass header.i=@mon-domaine.tld;
dmarc=pass (p=REJECT dis=NONE) header.from=mon-domaine.tld
Encore un fois: DMARC s'écute pour les mails qu'il reçoit.
Il va vérifier le SPF et le DKIM, et quand les deux sont ok, DMARC affiche : Ok
DKIM, lui, il est différent - plus complexe:
Il va signer les mails sortent.
Les mails entrent, il va lire la signature, vérifier le mail entier si cette signature colle avec le mail (protection de la continu de ce mail) puis chercher avec une requête DNS (et le selector) la signature publique dans ton zone DNS pour enfin valider ton mail (prouver que c'est lui qui l'a envoyé).
Compris ?
Ok, t'es plus septique maintenant
Quand tu installe DMARC sur ton serveur, il va vérifier les mails
en réception, pour vérifier les mails que t'as reçu.
(le paramétrage de dmarc
Ils seront ok pour gmail, aol, yahoo, etc (quelques gros) et beaucoup d'autres.
Petit détails: postfix, dans le mai.cf:
Un erreur qu'on trouve souvent sur le net, et même dans le doc de opendmarc:
http://www.trusteddomain.org/opendmarc/opendmarc-README
Code:
smtpd_milters = inet:localhost:8893
non_smtpd_milters = inet:localhost:8893
inet:localhost:8893 == le serveice dmarc.
Ceci
non_smtpd_milters = inet:localhost:8893 est faux !!!
Il ne faut que mettre [COLOR="#008000"]smtpd_milters = inet:localhost:8893[/COLOR dans /etc/postfix/main.cf.
Check : usage de
non_smtpd_milters dans
http://www.postfix.org/MILTER_README.html