[Zimbra] Les bonnes pratiques pour un serveur mail SPF / DKIM / DMARC

 

[Zimbra] Les bonnes pratiques pour un serveur mail SPF / DKIM / DMARC
Article original Publié le : 18 novembre 2019
Mise a jour le :

 

J’ai récemment mis en place un nouveau serveur Zimbra et pour bien faire voici une Best Practices pour sa finalisation.

(Sur n’importe quel serveur mail en faite :))

 

 

  • Tester son serveur
  • SPF
  • DKIM
  • DMARC
  • Re-tester son serveur

 

 

  • Tester son serveur

Il existe beaucoup d’outil en ligne pour tester son serveur mail, au plus simple j’utilise mail-tester, mais il est limité a 3 tests par jour (facilement contournable via un vpn ..)

En mode brut d’installe ça donne ça.. c’est moche !

 

 

  • SPF

Sender Policy Framework (SPF) est une norme de vérification du nom de domaine de l’expéditeur d’un courrier électronique, normalisée dans la RFC 72081 (section 3.1)2. L’adoption de cette norme est de nature à réduire le spam.

Source: https://fr.wikipedia.org/wiki/Sender_Policy_Framework

En gros ça valide que le ou les expéditeurs sont légitimes a pouvoir envoyer/relayer des mails, cela se présente sous la forme

@ 10800 IN TXT "v=spf1 a mx ip4:adresse_ip_autorisé ~all"

Voici 2 liens pour mieux comprendre les aspects techniques

-https://www.arobase.org/emailing/configurer-spf.htm

-https://support.google.com/a/answer/33786?hl=fr

 

Cela se fait directement dans la zone dns du registrar, mettre en place l’enregistrement comme ci dessous

@ 10800 IN TXT "v=spf1 a mx ip4:80.xx.xx.xx ~all"

 

 

  • DKIM

DKIM (DomainKeys Identified Mail) est une norme d’authentification fiable du nom de domaine de l’expéditeur d’un courrier électronique. Elle constitue une protection efficace contre le spam et l’hameçonnage.

Source: https://fr.wikipedia.org/wiki/DomainKeys_Identified_Mail

Cette technique d’authentification valide que l’émail envoyé et bien autorisé en ajoutant une signature numérique dans l’en-tête du message.

Pour les aspects techniques

-https://wiki.zimbra.com/wiki/Configuring_for_DKIM_Signing

 

Pour la création de la clé publique dkim, il suffit de suivre le wiki Zimbra

https://wiki.zimbra.com/wiki/Configuring_for_DKIM_Signing

# su - zimbra
$ /opt/zimbra/libexec/zmdkimkeyutil -a -d domaine.tld
DKIM Data added to LDAP for domain domaine.tld with selector 0E9F184A-9577-11E1-AD0E-2A2FBBAC6BCB
Public key to enter into DNS:
0E9F184A-9577-11E1-AD0E-2A2FBBAC6BCB._domainkey IN TXT "v=DKIM1;=rsa;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDY5CBg15nZ2vYnRmrNub6Jn6ghQ2DXQbQgOJ/E5IGziUYEuE2OnxkBm1h3jived21uHjpNy0naOZjLj0xLyyjclVy1chrhSbsGAhe8HLXUsdXyfRvNTq8NWLsUnMEsoomtJCJ
/6LYWYU1whOQ9oKZVAwWHSovAWZpByqNMZmFg7QIDAQAB" ; ----- DKIM 0E9F184A-9577-11E1-AD0E-2A2FBBAC6BCB for domaine.tld

 

Puis de mettre en place l’enregistrement dans la zone dns du registrar

0E9F184A-9577-11E1-AD0E-2A2FBBAC6BCB._domainkey 10800 IN TXT "v=DKIM1; k=rsa; " "p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDY5CBg15nZ2vYnRmrNub6Jn6ghQ2DXQbQgOJ/E5IGziUYEuE2OnxkBm1h3jived21uHjpNy0naOZjLj0xLyyjclVy1chrhSbsGAhe8HLXUsdXyfRvNTq8NWLsUnMEsoomtJCJ /6LYWYU1whOQ9oKZVAwWHSovAWZpByqNMZmFg7QIDAQAB"

 

 

  • DMARC

DMARC, qui vient de l’anglais Domain-based Message Authentication, Reporting and Conformance, est une spécification technique créée par un groupe d’organisations qui souhaite aider à réduire l’usage abusif des e-mails, tels que le spam, le phishing, en proposant une solution de déploiement et de surveillance des problèmes liés à l’authentification des e-mails

Source: https://fr.wikipedia.org/wiki/DMARC

Dmarc est complémentaire au spf et dkim en vérifiant le from, son paramétrage est a faire en douceur comme l’explique ces liens ci dessous.

 

La encore, il faut créer un enregistrement dans la zone dns du registrar avec les valeurs comme ci dessous

_dmarc 10800 IN TXT "v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@domaine.tld"

 

Les différentes options

Source: https://support.google.com/a/answer/2466563?hl=fr

 

 

Après mise en place tous les mécanismes ci dessus, je relance mail-tester

C’est beaucoup mieux, mais pas encore ça ..

 

 

Reste la configuration du rDNS

Faire une correspondance entre le rDNS et la bannière SMTP, pour Zimbra 8.5 et supérieur il faut configurer comme ci dessous pour que le HELO correspondre à l’enregistrement rDNS.

# su - zimbra
$ zmprov ms  `zmhostname` zimbraMtaSmtpdBanner serveur-mail.domaine.tld
$ zmcontrol restart

Source: https://wiki.zimbra.com/wiki/Best_Practices_on_Email_Protection:_SPF,_DKIM_and_DMARC

/!\ Cela peut ne pas suffire, pour une vm hébergé chez OVH, il faut modifier la zone reverse chez eux

 

 

  • Re-tester son serveur

Il y a pleins d’outils, mxtoolbox reste une référence pour différents tests/diags

https://mxtoolbox.com/MXLookup.aspx

 

https://mxtoolbox.com/DMARC.aspx

 

Et donc on arrive au test ultime !

/!\ pour avoir un 10/10 il faut envoyé un mail avec du contenu, sinon on aura modestement un 8,2/10 !

 

 

Quelques liens utiles

-https://wiki.zimbra.com/wiki/Best_Practices_on_Email_Protection:_SPF,_DKIM_and_DMARC

-http://wiki.csnu.org/index.php/Zimbra_8.x_et_dkim

-https://wiki.zimbra.com/wiki/Configuring_for_DKIM_Signing

-https://blog.icore.fr/s%C3%A9curit%C3%A9-firewall-reverse-proxy/28-configurer-l-authentification-spf,-dkim-et-dmarc-pour-un-domaine

-https://forum.dyjix.eu/public/d/68-installer-une-cl-dkim-sur-son-serveur-zimbra

-https://www.barrekevin.com/2018/11/05/mise-en-place-dun-serveur-mail-de-a-a-z-sur-debian-9-avec-postfix-et-dovecot/

-http://community.ovh.com/t/cle-dkim-longue-dans-une-zone-dns-geree-par-ovh/3598

-https://www.mail-tester.com/

 

 

No votes yet.
Please wait...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.