[Zimbra] Les bonnes pratiques pour un serveur mail SPF / DKIM / DMARC |
Article original Publié le : 18 novembre 2019 Mise a jour le : – |
J’ai récemment mis en place un nouveau serveur Zimbra et pour bien faire voici une Best Practices pour sa finalisation.
(Sur n’importe quel serveur mail en faite :))
- Tester son serveur
- SPF
- DKIM
- DMARC
- Re-tester son serveur
-
Tester son serveur
Il existe beaucoup d’outil en ligne pour tester son serveur mail, au plus simple j’utilise mail-tester, mais il est limité a 3 tests par jour (facilement contournable via un vpn ..)
En mode brut d’installe ça donne ça.. c’est moche !
-
SPF
Sender Policy Framework (SPF) est une norme de vérification du nom de domaine de l’expéditeur d’un courrier électronique, normalisée dans la RFC 72081 (section 3.1)2. L’adoption de cette norme est de nature à réduire le spam.
Source: https://fr.wikipedia.org/wiki/Sender_Policy_Framework |
En gros ça valide que le ou les expéditeurs sont légitimes a pouvoir envoyer/relayer des mails, cela se présente sous la forme
1 |
@ 10800 IN TXT "v=spf1 a mx ip4:<strong>adresse_ip_autorisé</strong> ~all" |
Voici 2 liens pour mieux comprendre les aspects techniques
-https://www.arobase.org/emailing/configurer-spf.htm
-https://support.google.com/a/answer/33786?hl=fr
Cela se fait directement dans la zone dns du registrar, mettre en place l’enregistrement comme ci dessous
1 |
@ 10800 IN TXT "v=spf1 a mx ip4:80.xx.xx.xx ~all" |
-
DKIM
DKIM (DomainKeys Identified Mail) est une norme d’authentification fiable du nom de domaine de l’expéditeur d’un courrier électronique. Elle constitue une protection efficace contre le spam et l’hameçonnage.
Source: https://fr.wikipedia.org/wiki/DomainKeys_Identified_Mail |
Cette technique d’authentification valide que l’émail envoyé et bien autorisé en ajoutant une signature numérique dans l’en-tête du message.
Pour les aspects techniques
-https://wiki.zimbra.com/wiki/Configuring_for_DKIM_Signing
Pour la création de la clé publique dkim, il suffit de suivre le wiki Zimbra
https://wiki.zimbra.com/wiki/Configuring_for_DKIM_Signing
1 |
# su - zimbra |
1 |
$ /opt/zimbra/libexec/zmdkimkeyutil -a -d <strong>domaine.tld</strong> |
1 2 3 4 5 |
DKIM Data added to LDAP for domain <strong>domaine.tld</strong> with selector 0E9F184A-9577-11E1-AD0E-2A2FBBAC6BCB Public key to enter into DNS: 0E9F184A-9577-11E1-AD0E-2A2FBBAC6BCB._domainkey IN TXT "v=DKIM1;=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDY5CBg15nZ2vYnRmrNub6Jn6ghQ2DXQbQgOJ/E5IGziUYEuE2OnxkBm1h3jived21uHjpNy0naOZjLj0xLyyjclVy1chrhSbsGAhe8HLXUsdXyfRvNTq8NWLsUnMEsoomtJCJ /6LYWYU1whOQ9oKZVAwWHSovAWZpByqNMZmFg7QIDAQAB" ; ----- DKIM 0E9F184A-9577-11E1-AD0E-2A2FBBAC6BCB for <strong>domaine.tld</strong> |
Puis de mettre en place l’enregistrement dans la zone dns du registrar
1 |
0E9F184A-9577-11E1-AD0E-2A2FBBAC6BCB._domainkey 10800 IN TXT "v=DKIM1; k=rsa; " "p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDY5CBg15nZ2vYnRmrNub6Jn6ghQ2DXQbQgOJ/E5IGziUYEuE2OnxkBm1h3jived21uHjpNy0naOZjLj0xLyyjclVy1chrhSbsGAhe8HLXUsdXyfRvNTq8NWLsUnMEsoomtJCJ /6LYWYU1whOQ9oKZVAwWHSovAWZpByqNMZmFg7QIDAQAB" |
-
DMARC
DMARC, qui vient de l’anglais Domain-based Message Authentication, Reporting and Conformance, est une spécification technique créée par un groupe d’organisations qui souhaite aider à réduire l’usage abusif des e-mails, tels que le spam, le phishing, en proposant une solution de déploiement et de surveillance des problèmes liés à l’authentification des e-mails
Source: https://fr.wikipedia.org/wiki/DMARC |
Dmarc est complémentaire au spf et dkim en vérifiant le from, son paramétrage est a faire en douceur comme l’explique ces liens ci dessous.
La encore, il faut créer un enregistrement dans la zone dns du registrar avec les valeurs comme ci dessous
1 |
_dmarc 10800 IN TXT "v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@domaine.tld" |
Les différentes options
Source: https://support.google.com/a/answer/2466563?hl=fr
Après mise en place tous les mécanismes ci dessus, je relance mail-tester
C’est beaucoup mieux, mais pas encore ça ..
Reste la configuration du rDNS
Faire une correspondance entre le rDNS et la bannière SMTP, pour Zimbra 8.5 et supérieur il faut configurer comme ci dessous pour que le HELO correspondre à l’enregistrement rDNS.
1 |
# su - zimbra |
1 |
$ zmprov ms `zmhostname` zimbraMtaSmtpdBanner <strong>serveur-mail.domaine.tld</strong> |
1 |
$ zmcontrol restart |
Source: https://wiki.zimbra.com/wiki/Best_Practices_on_Email_Protection:_SPF,_DKIM_and_DMARC
/!\ Cela peut ne pas suffire, pour une vm hébergé chez OVH, il faut modifier la zone reverse chez eux
-
Re-tester son serveur
Il y a pleins d’outils, mxtoolbox reste une référence pour différents tests/diags
https://mxtoolbox.com/MXLookup.aspx
https://mxtoolbox.com/DMARC.aspx
Et donc on arrive au test ultime !
/!\ pour avoir un 10/10 il faut envoyé un mail avec du contenu, sinon on aura modestement un 8,2/10 !
Quelques liens utiles
-https://wiki.zimbra.com/wiki/Best_Practices_on_Email_Protection:_SPF,_DKIM_and_DMARC
-http://wiki.csnu.org/index.php/Zimbra_8.x_et_dkim
-https://wiki.zimbra.com/wiki/Configuring_for_DKIM_Signing
-https://blog.icore.fr/s%C3%A9curit%C3%A9-firewall-reverse-proxy/28-configurer-l-authentification-spf,-dkim-et-dmarc-pour-un-domaine
-https://forum.dyjix.eu/public/d/68-installer-une-cl-dkim-sur-son-serveur-zimbra
-https://www.barrekevin.com/2018/11/05/mise-en-place-dun-serveur-mail-de-a-a-z-sur-debian-9-avec-postfix-et-dovecot/
-http://community.ovh.com/t/cle-dkim-longue-dans-une-zone-dns-geree-par-ovh/3598
-https://www.mail-tester.com/