Utilisateur d'origine : Pierre
Dans ce tutoriel, nous avons installé un serveur Zimbra Collaboration sous Linux.
Il est possible, sur ce serveur Zimbra d'installer une clé DKIM, qui permettra de signer tous les mails sortants. La clé publique est stockée dans un enregistrement DNS, et la clé privée sur le serveur Zimbra. En recevant votre mail, le destinataire vérifiera la clé publique sur le serveur DNS pour s'assurer que le mail provient bien de votre serveur.
Pourquoi est-ce nécessaire ? Quand vous recevez un mail quelconque, l'adresse mail et le nom du destinataire qui s'affichent à l'écran dépendent d'une simple déclaration de l'expéditeur : c'est lui qui décide ce qui s'affiche, comme quand vous écrivez votre nom au dos d'une enveloppe.
Le client mail vérifiera systématiquement si le serveur déclaré par l'expéditeur dispose d'une clé DKIM dans son DNS. Si ce n'est pas le cas, il laissera passer tous les messages, même les frauduleux, ne pouvant les différencier. En revanche, si le serveur dispose d'une clé, il la comparera à la signature dans l'en-tête du mail afin de savoir si l'expéditeur est de confiance ou non.
Il est nécessaire de générer sur Zimbra une clé par domaine.
Installation de la clé
Premièrement, connectons-nous en tant qu'utilisateur zimbra
, puis demandons la génération d'une nouvelle clé DKIM (remplacez domain.tld
par votre nom de domaine) :
su - zimbra
/opt/zimbra/libexec/zmdkimkeyutil -a -d domain.tld
Vous devriez obtenir une réponse ressemblant à celle-ci :
DKIM Data added to LDAP for domain domain.tld with selector 25D766CE-CEAC-11E7-B087-020B6DB9DD9A
Public signature to enter into DNS:
25D766CE-CEAC-11E7-B087-020B6DB9DD9A._domainkey IN TXT ( "v=DKIM1; k=rsa; "
"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwA4vVMiV3/14hRMzbKNnBKNThqxTWLi2E5NqqHLccIJg/P33yqwgGVKKUM9HFfXZ8urz6/dl8oNG3oxs73W1sgWHrFRo3ZayHsuUMe+DLyt8wtyR/RUae0nvd6Z6t0lPwujXWBrRS/FeMg/IGA8ExBKjD+aAYdQfH/lhlDGzumTXgbSB0KMzlpOjcum2Aes69rEiR744GGaPb2"
"X3MxK8vjpeMIx16n2tADb0wKKP19WTF0at5HCP8F4SFflLUPJMOC1Be9FCWjTjNr1qrRZTwCwC7OC9tnV7SsKKXG+8D6hu39Tm5U1GLzpKvLMIv14b6MWsU9cV/iVKH+hQq4YRowIDAQAB" ) ; ----- DKIM key 25D766CE-CEAC-11E7-B087-020B6DB9DD9A for domain.tld
Rendez-vous maintenant sur votre DNS et ajoutez l'enregistrement suivant (en adaptant selon les informations affichées à l'écran) :
- Type : TXT
- Sous-domaine :
25D766CE-CEAC-11E7-B087-020B6DB9DD9A._domainkey
- TTL : Par défaut
- Cible :
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwA4vVMiV3/14hRMzbKNnBKNThqxTWLi2E5NqqHLccIJg/P33yqwgGVKKUM9HFfXZ8urz6/dl8oNG3oxs73W1sgWHrFRo3ZayHsuUMe+DLyt8wtyR/RUae0nvd6Z6t0lPwujXWBrRS/FeMg/IGA8ExBKjD+aAYdQfH/lhlDGzumTXgbSB0KMzlpOjcum2Aes69rEiR744GGaPb2X3MxK8vjpeMIx16n2tADb0wKKP19WTF0at5HCP8F4SFflLUPJMOC1Be9FCWjTjNr1qrRZTwCwC7OC9tnV7SsKKXG+8D6hu39Tm5U1GLzpKvLMIv14b6MWsU9cV/iVKH+hQq4YRowIDAQAB
Note : La cible désigne tout ce qui est entre parenthèses en enlevant les guillemets et les sauts de ligne, mais en conservant les espaces (après les points virgule).
Chez certains hébergeurs, le DNS n'accepte pas les enregistrements de plus de 255 caractères. Il faudra donc scinder la cible en deux enregistrements (de même type, TTL et sous-domaine). Dans le premier, mettez les deux premiers paragraphes, et le troisième dans le second enregistrement.
Pour vérifier que l'enregistrement a bien fonctionné, vous pouvez utiliser la dommande suivante :
dig -t txt A09DD730-4354-11E9-9AF7-AC14E83920B7._domainkey.domain.tld ns.registar.tld
Remplacez évidemment le domaine et son identifiant par le votre, et ns.registar.tld
par un nameserver. Je vous conseille de prendre celui de votre hébergeur.
Si vous n'êtes pas à l'aise avec la ligne de commande, vous pouvez utiliser What's My DNS : entrez 25D766CE-CEAC-11E7-B087-020B6DB9DD9A._domainkey.domain.tld
en remplaçant évidemment l'identifiant et le domaine, et sélectionnez TXT en type.
Revenons à notre commande, inspectez la section ;; ANSWER SECTION:
. Si elle correspond à ce que vous a communiqué Zimbra après la première commande, vous pouvez déployer la clé (toujours en tant qu'utilisateur zimbra
, et en remplaçant les paramètres par votre domaine et son identifiant) :
/opt/zimbra/common/sbin/opendkim-testkey -d domain.tld -s 25D766CE-CEAC-11E7-B087-020B6DB9DD9A -x /opt/zimbra/conf/opendkim.conf
exit
Enfin, vérifions la validité de l'installation. Pour cela, le site DKIMCore fonctionne très bien. Saisissez simplement l'identifiant du domaine et le domaine lui-même.
Commandes utiles
Pour régénérer votre clé :
/opt/zimbra/libexec/zmdkimkeyutil -u -d domain.tld
N'oubliez pas de mettre à jour votre DNS avec la nouvelle clé, ou bien tous vos mails seront considérés comme frauduleux.
Pour supprimer votre clé :
/opt/zimbra/libexec/zmdkimkeyutil -r -d domain.tld
N'oubliez pas de supprimer l'enregistrement DNS, ou tous vos mails seront considérés comme frauduleux.
Pour obtenir des détails sur une clé :
/opt/zimbra/libexec/zmdkimkeyutil -q -d domain.tld
Attention, cette commande renvoie entre autres votre clé privée, ne la communiquez jamais et assurez-vous que votre connexion avec votre serveur est sécurisée.
Sources
Ce tutoriel a été réalisé d'après la documentation officielle de Zimbra. Il a un rôle de traduction et d'éclaircissement des opérations à réaliser.