OpenDKIM

Le protocole DKIM permet d’authentifier le serveur d’envoi SMTP auprès de différents pairs externes, ainsi que la provenance d’un mail.

Il s’appuie sur un enregistrement DNS de type TXT et deux en-têtes mail:

  • L’enregistrement DNS contient un ensemble d’options DKIM, dont la clef publique du serveur SMTP.
  • L’en-tête DKIM-signature authentifie le mail en lui attribuant une signature et un timestamp
  • L’en-tête DKIM Authentication-Result contient le résultat de la vérification DKIM

OpenDKIM est un démon écrit en C qui s’interface avec les MTAs courants (Postfix, sendmail…). Il offre la possibilité de signer les mails relayés mais également de s’assurer de l’authentification des domaines distants, si ceux-ci l’offrent.

Installation

Nous installerons OpenDKIM sur un serveur FreeBSD 9.3.

Pour les utilisateurs de Linux/Debian voici les paquets à installer:

apt-get install opendkim opendkim-tools

Voici les options que nous avons mis sur notre Poudriere (port mail/opendkim)

opendkim-optionsIl y a ici quelques options intéressantes:

  • query_cache: cela permet d’optimiser le temps de réponse si votre serveur reçoit beaucoup de mail en mettant en cache les réponses DNS des enregistrement TXT consultés pour l’authentification
  • stock_resolver: cela permet d’utiliser le résolveur DNS système au lieux d’utiliser la librairie unbound.

Préparation d’OpenDKIM

Afin de configurer proprement OpenDKIM nous allons créer un répertoire qui permettra de sécuriser une partie des configurations et lui indiquer des droits

mkdir /usr/local/etc/mail/opendkim.d
chmod 700 /usr/local/etc/mail/opendkim.d
touch /usr/local/etc/mail/opendkim.d/InternalHosts
touch /usr/local/etc/mail/opendkim.d/KeyTable
touch /usr/local/etc/mail/opendkim.d/SigningTable
touch /usr/local/etc/mail/opendkim.d/ExternalIgnoreList
chmod 600 /usr/local/etc/mail/opendkim.d/{InternalHosts,KeyTable,SigningTable,ExternalIgnoreList}
chown -R mailnull /usr/local/etc/mail/opendkim.d/

Configuration d’OpenDKIM

Dans un premier temps nous allons modifier la configuration globale d’OpenDKIM afin d’offrir de la scalabilité au démon. Ouvrez le fichier /usr/local/etc/mail/opendkim.conf (/etc/opendkim.conf pour Debian) Dans un premier temps nous allons modifier les options système d’OpenDKIM.

AutoRestart Yes
DNSTimeout 5
Syslog Yes
Socket inet:10025@127.0.0.1
QueryCache Yes
Selector default
  • AutoRestart: OpenDKIM redémarrera les filtres qui planteraient
  • DNSTimeout: modifiez cette valeur si votre DNS répond très rapidement afin qu’une requête DNS en attente ne pénalise pas le temps de traitement du démon
  • Syslog: activez les logs dans le syslog
  • Socket: on demande ici au milter OpenDKIM d’écouter sur le port 10025 de l’interface de loopack afin que Postfix puisse l’interroger
  • QueryCache: active le cache des enregistrements DNS DKIM, évitant d’interroger plusieurs fois les DNS pour le même nom de domaine si le TTL n’a pas expiré
  • Selector: le sélecteur a utiliser par défaut pour signer les mails. Il ne sera pas utilisé dans notre configuration mais il faut quand même décommenter la ligne

Configuration des signatures et clefs

Toujours dans le fichier opendkim.conf, modifiez les lignes suivantes:

ExternalIgnoreList     refile:/usr/local/etc/mail/opendkim.d/ExternalIgnoreList
InternalHosts           refile:/usr/local/etc/mail/opendkim.d/InternalHosts
KeyTable                 refile:/usr/local/etc/mail/opendkim.d/KeyTable
SigningTable            refile:/usr/local/etc/mail/opendkim.d/SigningTable

Chaque fichier a un rôle bien précis:

  • ExternalIgnoreList: il s’agit des noms de domaine que vous ne souhaitez pas vérifier
  • InternalHosts: Les hôtes qui seront signés par OpenDKIM
  • KeyTable: La définition des associations domaine/sélecteur DKIM/clef privée
  • SigningTable: La définition des adresses mails et leurs clefs de signatures associées

Dans un premier temps nous allons créer une clef privée pour notre domaine

opendkim-genkey -b 1024 -d unix-experience.fr -s unixselector

Les options présentées ici sont les suivantes:

  • -b: longueur de la clef privée
  • -d: nom de domaine à signer
  • -s: nom du sélecteur que l’on souhaite créer (par défaut, default)

Cette commande a généré une clef de 1024 bits pour le domaine unix-experience.fr et le sélecteur unixselector. Vous trouverez la clef privée au même endroit dans unixselector.private et l’enregistrement DNS au format named dans le fichier unixselector.txt. Note: si vous souhaitez dire aux vérificateurs DKIM que vous êtes en période de tests et qu’il ne faut pas réagir tout de suite aux négatifs, rajoutez t=y; dans l’enregistrement TXT. Configurez la liste des hôtes qui devront être signés en indiquant des hôtes, réseaux, noms de domaine dans le fichier InternalHosts (un par ligne), puis la définition de notre clef de signature en éditant le fichier KeyTable.

unixkey unix-experience.fr:unixselector:/usr/local/etc/mail/opendkim.d/unixselector.private

Le premier champ est un champ administratif donnant un nom à notre association domaine/sélecteur/clef. Les suivants sont le nom de domaine, le nom du sélecteur et enfin le chemin vers la clef privée. Pour finir ouvrez le fichier SigningTable et ajoutez l’entrée suivante:

*@unix-experience.fr unixkey

Cette dernière définition dira a OpenDKIM d’utiliser les données de la clef d’identifiant unixkey pour signer toutes les adresses en @unix-experience.fr. La configuration est désormais terminée, vous pouvez lancer le service

service milter-opendkim start

Intégration Postfix

Il faut maintenant intégrer le milter avec Postfix. Nous utiliserons donc un milter. Dans le fichier main.cf de Postfix, ajoutez les lignes suivantes:

milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:127.0.0.1:10025
non_smtpd_milters = inet:127.0.0.1:10025

Si vous avez déjà déclaré des milters, il suffira d’ajouter OpenDKIM à la liste:

smtpd_milters = inet:127.0.0.1:9999, inet:127.0.0.1:10025
non_smtpd_milters = inet:127.0.0.1:9999, inet:127.0.0.1:10025

Redémarrez ensuite Postfix

Test du fonctionnement du mode vérification

Pour tester le fonctionnement du mode vérification, il suffit de recevoir un mail depuis un domaine qui utilise DKIM, comme twitter ou gmail (depuis l’interface web). Regardez ensuite les logs de votre serveur mail (maillog) et l’en-tête du mail reçu:

Authentication-results: smtp.unix-experience.fr; dkim=pass reason="2048-bit key" header.d=twitter.com header.i=@twitter.com header.b=olq1OOXA; dkim-adsp=pass

En ce qui concerne la signature, envoyez simplement un mail vers l’extérieur, OpenDKIM dira dans les logs qu’il l’a signé. Sur le récepteur vérifier que l’en-tête DKIM-signature est présent.

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=twitter.com; s=dkim-201406; t=1207824973; bh=EUbu+JkDns2Bi4JPLANga1BmZxXRVX4W9RvqRWa1Dss=; h=Date:From:To:Subject:MIME-Version:Content-Type:List-Unsubscribe: Feedback-ID:Message-ID; b=ZMpJ9qh/SYhUzQ9wOovUugK56y1vJ0af/ZbMc4zm/IJrPKiMjqPmbTZ0RqT5aN9PN b98bnb8VI1NjL5ry6uJBAMEzWyLud0Fj6KFV1KPkwxqPrwioJsv/4BDE5o8lGRu//+ 9sSlIcHdHKYxX1cDH1rvnqUKjtCzxFgBFj+ySrNHFxUM0yaoTmGK2fU/uuYTQS1Q8s akZ8MxMmlcOXOM4D96aMH6I50+I8qlaAmGeK3frT0VR4o3vnpmRlVi5UGxiPAPx5jS n8MY5nVYQJHbOUDAgpceguEFPd7AqAqOw5QfkM+aIbfkOR8Di/y8SGi8BYbd3KJaz6 7ag/YEAatKmrQ==

Sources