Ce guide vous montrera le processus de configuration de SPF, DKIM et DMARC – trois composants essentiels pour améliorer les performances d’envoi d’e-mails.
Une configuration appropriée de SPF, DKIM et DMARC augmentera la confiance des serveurs de messagerie et minimisera la probabilité que vos envois de courrier électronique soient classés dans le spam.
- SPF (Sender Policy Framework) est une mesure de sécurité conçue pour empêcher d'autres personnes d'envoyer des e-mails en votre nom. Elle détermine quelles adresses IP sont autorisées à envoyer des e-mails et lesquelles ne le sont pas.
- DKIM (DomainKeys Identified Mail) est une méthode d'authentification des messages. À l'envoi, chaque e-mail est signé avec la clé privée, puis vérifié auprès du serveur de messagerie destinataire (ou du fournisseur d'accès Internet) avec la clé publique DNS.
- DMARC (Domain-based Message Authentication, Reporting & Conformance) utilise SPF et DKIM pour l'authentification du courrier électronique, réduisant ainsi le spam et les attaques de phishing.
Configuration SPF (Sender Policy Framework)
1.1. Pour configurer SPF, un enregistrement TXT doit être ajouté aux paramètres DNS de votre domaine.
1.2. Voici la syntaxe de l'enregistrement SPF :
- v=spf1 : détermine la version de SPF que vous utilisez. Actuellement, seul le SPF1 est utilisé.
- ip4 : [Votre_IP_de_serveur_de_messagerie] : indique que l'adresse IP de votre serveur de messagerie est autorisée à envoyer des e-mails au nom de votre domaine.
- a : Il spécifie que si un domaine possède un enregistrement A (adresse IPv4) dans DNS, le serveur spécifié dans cet enregistrement peut envoyer des e-mails au nom du domaine.
- mx : indique que si un domaine possède un enregistrement MX (échange de courrier) dans DNS, le serveur spécifié dans cet enregistrement peut envoyer des e-mails au nom du domaine.
- ~all : indique que seuls les serveurs de l'enregistrement SPF peuvent envoyer des e-mails au nom du domaine. Si l'e-mail provient d'un autre serveur, il sera marqué comme « correspondance souple » (~), ce qui signifie qu'il peut être accepté, mais considéré comme potentiellement indésirable.
Ensemble, ces éléments forment un SPF qui ressemble à ceci :
Nom : [Votre_Domaine]
v=spf1 ip4:[Your_Mail_Server_IP] a mx ~allRemplacez [Your_Mail_Server_IP] par l'adresse IP de votre serveur de messagerie.
Configuration DKIM (DomainKeys Identified Mail)
2.1. Commencez par installer opendkim et opendkim-tools. Le processus d'installation dépend du système d'exploitation :
Pour CentOS :
yum install opendkim -yPour Debian/Ubuntu :
apt install opendkim opendkim-tools -y2.2. Ensuite, démarrez le service opendkim et activez son lancement au démarrage :
systemctl start opendkim
systemctl enable opendkim2.3. Créer un répertoire pour le stockage des clés :
mkdir -p /etc/opendkim/keys/yourdomain.com2.4. Générer des clés à l'aide de l'outil opendkim-genkey :
opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkimN'oubliez pas de remplacer « votredomaine.com » par votre vrai nom de domaine.
2.5. Définissez les autorisations appropriées pour les clés :
chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com2.6. Il faut maintenant configurer opendkim. Ouvrez le fichier /etc/opendkim.conf et ajoutez les paramètres suivants :
AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost2.7. Ajoutez votre domaine au fichier /etc/opendkim/TrustedHosts
127.0.0.1
localhost
*.yourdomain.com2.8. Modifiez le fichier /etc/opendkim/KeyTable pour qu'il ressemble à ceci :
dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private2.9. Modifiez le fichier /etc/opendkim/SigningTable. Pour obtenir ce résultat
*@yourdomain.com dkim._domainkey.yourdomain.com2.10. Si vous utilisez Debian/Ubuntu, spécifiez le port opendkim :
echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim2.11. Redémarrez le service opendkim pour que les modifications soient appliquées :
systemctl restart opendkim2.12. Enfin, ajoutez la clé publique aux configurations DNS de votre domaine. Les clés se trouvent dans /etc/opendkim/keys/yourdomain.com/dkim.txt.
Configuration DMARC (authentification, reporting et conformité des messages basés sur le domaine)
3.1. Pour configurer DMARC, ajoutez un enregistrement TXT à vos paramètres de domaine :
Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=noneRemplacez [Votre_Domaine] par le nom de votre domaine.
Configuration PTR (Pointer Record)
4.1. Un enregistrement PTR, également appelé enregistrement DNS inversé, permet de transformer une adresse IP en nom de domaine. Ceci est important pour les serveurs de messagerie, car certains peuvent rejeter les messages sans enregistrement PTR.
4.2. L'enregistrement PTR est généralement configuré dans les paramètres du fournisseur d'accès à Internet ou de l'hébergeur. Si vous avez accès à ces paramètres, vous pouvez configurer un enregistrement PTR en spécifiant l'adresse IP de votre serveur et le nom de domaine correspondant.
4.3. Si vous n'avez pas accès aux paramètres d'enregistrement PTR, contactez votre fournisseur d'accès Internet ou votre hébergeur avec une demande de configuration d'enregistrement PTR.
4.4. Après avoir installé PTR, vous pouvez le vérifier avec la commande dig sous Linux :
dig -x your_server_IPRemplacez « votre_IP_serveur » par l'adresse IP de votre serveur. La réponse doit inclure votre nom de domaine.
Après avoir terminé toutes les étapes de configuration de SPF, DKIM et DMARC, le serveur de messagerie sera beaucoup moins susceptible de marquer vos envois comme spam – il garantira que vos lettres parviennent aux destinataires.
