Signature DKIM

MDaemon Email Server

Navigation:  Menu Sécurité > Paramètres de sécurité > Authentification de l'expéditeur > DomainKeys Identified Mail >

Signature DKIM

Print this Topic Previous pageReturn to chapter overviewNext page

Cet onglet vous permet d’attribuer une signature aux messages sortants de votre choix. Il est également possible de désigner un sélecteur et de créer des clés publiques et privées correspondantes. Un sélecteur ("MDaemon"), une clé publique et privée par défaut sont créés automatiquement lors du démarrage de MDaemon. Ces clés sont uniques : elles ne se répètent jamais d’un site à l’autre, quel que soit le sélecteur. Par défaut, les clés sont créées avec une longueur de 1024 bits.

Signature DKIM/DomainKeys

Signer les messages sortants avec DomainKeys

Cochez cette option si vous souhaitez que MDaemon signe certains messages sortants. Seuls les messages correspondant à certains critères (définis en cliquant sur le bouton Définir les messages à signer) seront signés. De plus, ils doivent être destinés à une adresse distante et provenir d’une session authentifiée par SMTP AUTH. Les messages des listes de diffusion ne sont jamais signés. La signature des messages peut également être activée par une action du Filtre de contenu (Sign with DKIM selector…).

Signer les messages sortants avec DomainKeys Identified Mail (DKIM)

Cochez cette option si vous souhaitez que les messages sortants soient signés avec DKIM.

...signer les messages de liste de diffusion

Cochez cette option si vous souhaitez que tous les messages de liste de diffusion reçoivent une signature cryptographique. Dans ce cas, il n’est pas nécessaire de les ajouter aux messages à signer.

Pour signer du courrier de liste, chaque message doit être analysé par le Filtre de contenu, ce qui ralentit les performances du serveur pour les listes à fort trafic.

Sélecteur par défaut

Choisissez dans la liste déroulante le sélecteur dont les clés publiques/privées seront utilisées pour la signature des messages. Pour créer un nouveau sélecteur, saisissez son nom puis cliquez sur Créer des clés publiques et privées. Si vous souhaitez que certains messages soient signés avec un autre sélecteur, indiquez-le en cliquant sur Définir les messages à signer ou créez une règle du Filtre de contenu à l’aide de l’action Sign with DomainKeys selector...

Créer des clés publiques et privées

Cliquez sur ce bouton pour créer la paire de clés correspondant au sélecteur défini ci-dessus. Lorsque les clés sont créées, le fichier dns_readme.txt est généré et s’ouvre automatiquement. Il contient des exemples de données que vous devez publier dans les enregistrements DNS contenant votre politique DomainKeys et la clé publique du sélecteur choisi. Ces exemples montrent comment indiquer s’il s’agit d’un test ou non, et si tous les messages doivent être signés, ou pas. Si vous souhaitez tester DomainKeys ou un sélecteur, vous devrez utiliser les informations contenues dans les entrées "Testing" pour la politique ou le sélecteur, selon ce que vous désirez tester. Dans le cas contraire, utilisez les entrées "Not testing".

Toutes les clés sont enregistrées au format PEM. Les clés et les sélecteurs sont sauvegardés dans le dossier \MDaemon\Pem de la façon suivante :

\MDaemon\Pem\<Selector>\rsa.public - clé publique du sélecteur

\MDaemon\Pem\<Selector>\rsa.private - clé privée du sélecteur

Les fichiers contenus dans ces dossiers ne sont ni cryptés, ni masqués, mais ils contiennent les clés privées de cryptage RSA et ne doivent jamais être consultés par des personnes non autorisées. Il est recommandé d’en protéger l’accès à l’aide des paramètres de sécurité des dossiers du système d’exploitation.

Définir les messages à signer

Après avoir coché l’une des options Signer les messages sortants, cliquez sur ce bouton afin d’afficher la liste des domaines et adresses qui comporteront une signature. Vous devez également préciser pour chaque adresse si les messages devant être signés sont ceux qui en proviennent ou bien ceux qui lui sont adressés. Il est possible d’utiliser des caractères joker.

Les signatures sont autorisées pour tous les messages provenant de domaines locaux

Utilisez cette option si vous souhaitez que tous les messages de vos domaines locaux fassent partie des messages à signer. Dans ce cas, il n’est pas nécessaire d’ajouter ces domaines à la liste des domaines à signer (dans le fichier DKSign.dat) sauf si vous souhaitez utiliser un sélecteur ou une balise "d=" spécifiques pour certains domaines. Cette option est activée par défaut.

Voir également :