DKIM - Configurer le champ

expliquer en détails

Je ne vais pas remplacer un tuto.

1) tu dois choisir un séléctor , par exemple abcd
2) tu dois créer des clés DKIM et la clé publique sera insérée dans la zone DNS sous un enregistrement TXT tel que celui-ci:

abcd._domainkey.example.net. 900 IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDERLaO4bVAllcPN3OKVS+9nksaXi+yfbVVtITWVACEIT0wZK5vkFz5dlMvV7VqSJERTYUI11cyTFklpPZ5OsFE7dzMdwF1pFNdjnGxkVSZk742kYpk4u0OveQIaPoTzgdoeKYD675Zc4K53qnqOJeEfr23hCsqOHuTSxq+lsIQQT4wIDAQAB"

3) chaque mail sortant doit être signé au moyen de la clé privée correspondante puis injecté dans un serveur smtp/submission qui voudra bien transporter ton mail.
(OVH ne fournit pas ce processus d'insertion de signature DKIM. OVH ne connaît pas ta clé privée)

4) si tu devais utiliser le processus d'injection de mail php mail() des hébergements web OVH, attention, OVH change l'adresse d'expéditeur du message et ceci peut invalider la signature DKIM.

5) N'imagine pas utiliser DMARC avec seulement SPF. Il faut aussi DKIM sinon la moindre redirection de mail casse SPF et donc DMARC.

Merci Fritz2cat pour ta réponse.
Mais alors mais alors mais alors.... si j'indique à Enigmail (module pour Thunderbird) "Signer le courriel" (sans le chiffrer), est-ce que cela peut remplacer ou est-ce que cela "correspond" à un champ DKIM ?
Si DKIM est encore une autre méthode, alors j'essaierai de suivre tes indications.

Enigmail

Rien à voir.

Enigmail est basé sur GPG (successeur de PGP) et est destiné à authentifier un e-mail entre l'expéditeur et le destinataire (signature) et/ou chiffrer un mail que seul.s le.s destinataire.s peuvent ouvrir.

Il existe aussi S/MIME avec des certificats X.509, ceci fait un peu la même chose mais au moyen de certificats payants émis par une autorité de certification (ou bien auto-signés)

Le mécanisme DKIM, DomainKeys est un mécanisme d'authentification entre serveurs et non entre individus.
Le serveur qui reçoit un mail signé DKIM peut s'il le désire vérifier si le mail en cours de transmission provient bien du domaine qui prétend émettre ce mail. La clé privée est connue du gestionnaire du domaine expéditeur (et non de ses utilisateurs) et la clé publique est publiée dans DNS.
Ainsi lorsque ton serveur reçoit un mail from service|at|paypal|point|com mais qu'il ne contient pas de signature DKIM valable, c'est d'office suspect.

OK ! Merci pour ces explications.

salut, j'essaie de comprendre aussi de mon coté,
si je comprends bien meme si je crée le champ DKIM dans ma zone DNS le webmail OVH ne signera pas mes emails ?? du coup ça sert à quoi ?

le webmail OVH ne signera pas mes emails

Exact

ça sert à quoi ?

à rien sur le mutu OVH.

Désolé pour ces réponses laconiques.

ah ben au moins c'est clair :)
et pour clore le sujet, si je branche mon compte gmail sur le SMTP / POP de OVH pour envoyer mes emails depuis mon gmail, pas moyen non plus de signer les messages ?

si la réponse est non,
avec quoi on signe les messages à partir du champ DKIM ??

avec quoi on signe les messages à partir du champ DKIM ??

C'est le serveur mail sortant qui signe.

Quand tu fais du "pur Gmail" alors c'est Gmail qui signe les mails sortants au moyen d'une clé privée que Gmail connaît, et la clé publique correspondante est publiée dans le DNS de Gmail, comme indiqué ci-dessous.

> ~# dig 20161025._domainkey.gmail.com txt

>
20161025._domainkey.gmail.com. 300 IN TXT "k=rsa; p=MIIBIjANBgkqhkiG9w0BAQ EFAAOCAQ8AMIIBCgKCAQEAviPGBk4ZB64UfSqWyAicdR7lodhytae+EYRQVtKDhM+1mXjEqRtP/pDT3s BhazkmA48n2k5NJUyMEoO8nc2r6sUA+/Dom5jRBZp6qDKJOwjJ5R/OpHamlRG+YRJQqR" "tqEgSiJWG 7h7efGYWmh4URhFM9k9+rmG/CwCgwx7Et+c8OMlngaLl04/bPmfpjdEyLWyNimk761CX6KymzYiRDNz1 MOJOJ7OzFaS4PFbVLn0m5mf0HVNtBpPwWuCNvaFVflUYxEyblbB6h/oWOPGbzoSgtRA47SHV53SwZjIs Vpbq4LxUW9IxAEwYzGcSgZ4n5Q8X8TndowsDUzoccPFGhdwIDAQAB"

Quand tu emploies le SMTP d'OVH à partir de Gmail, c'est une commodité offerte par Gmail, et c'est normal que Google n'endosse pas la responsabilité de signer car
1) il ne connaît pas la clé privée de ton domaine
2) ce n'est pas lui qui envoie ton mail, mais bien OVH.

Cherche sur Google: "transactional email service" et forge-toi ton opinion. OVH n'est pas du tout dans ce marché-là.

merci pour ton temps.
j'esperais mettre ça en place pour que mes messages n'arrivent pas dans les spams des destinataires....
c'est le seul probleme remonté par mail-tester
du coté du support ovh ils viennent de m'envoyer la procédure pour mettre une signature html en bas de mes emails. on est pas arrivé.....

procédure pour mettre une signature html

LOL no comment 😢😢😢

Il y a ici assurément plus d'info que n'en fourni OVH :
https://app.mailjet.com/docs/spf-dkim-guide
https://www.acyba.com/acymailing/156-acymailing-dkim.html#ovh
(peut-être que ça leur donnera des idées...)

Bonjour @Fritz2cat , j'ai besoin de tes lumières STP.
- Si je laisse TTL par défaut, OVH met 0 (en tous les cas, c'est ce qui apparaît sur leur interface). Si je choisis personnalisé, je trouve 60 par défaut > Que préconises-tu ?
- Concernant la valeur, faut-il laisser les " dans le champ. Exemple : "v=DKIM1;t=s;p=MIGfMA..."
- Concernant la valeur toujours, je n'ai pas vu k=rsa dans la valeur de clef générée contrairement à l'exemple que tu donnes mais simplement "v=DKIM1;t=s;p=MIGfMA...." > Faut-il rajouter k=rsa de façon à avoir "k=rsa;v=DKIM1;t=s;p=MIGfMA...."
- est-il utile de laisser t=s ?
En te remerciant.
ps : j'ai essayé de passer par le support mais autant parler à un âne : aucune explication mais ils sont très forts pour renvoyer vers des guides qui n'existent pas... (cf. le début de ce thread). Bref.

> OVH met 0

cela veut dire TTL par défaut, sur les zone DNS assez récentes = 3600s
pour un DKIM qui n'a pas de raison de changer souvent, ça me paraît une bonne valeur
60 est particulièrement bas sans raison
(Fritz2cat infirmera à son retour si besoin)

> faut-il laisser les "

c'est ajouté automatiquement dans une entrée TXT et si tu les mets, Ovh ne les remettra pas en double

c'est l'entrée google qui est citée, moi j'ai aussi "v=DKIM1; t=s; p=MIGf..."

Merci bien pour cette réponse ! Bonne journée.

Bonjour,

Dans la configuration d'OVH, est-il possible de spécifier des clés DKIM de 2048 bits?
Si oui, comment procédez-vous ? Les clés que j'utilise sont tronquées.

Il y a ici assurément plus d'info que n'en fourni OVH :

Si ça t'intéresse https://community.ovhcloud.com/community/fr/voulez-vous-que-vos-mails-sortants-soient-signes-dkim?id=community_question&sys_id=01e5790c585e42d02d4c51cec5fc9678

ma clé privée quelque part dans le webmail OVH

hélas non.

Ce sont les serveurs de mail de transit qui signent le mail.

Une fois que le mail est signé, il peut transiter par d'autres serveurs en aval, et la signature reste valable (si le message n'est pas altéré bien sûr)

Donc le scénario suivant serait valable: tu mets un serveur chez toi (Raspberry Pi pourrait suffire) qui ne sert que pour faire transiter tes mails sortants.

Tu rédiges tes mails avec Thunderbird (pas avec le webmail OVH) , ces mails sortent via ton serveur qui signe les mails, et puis les envoie via le smart host/relay server ssl0.ovh.net.

La signature pourrait se faire avec Postfix et OpenDKIM .

Ou bien essaie un panel communautaire comme Yunohost.

Je loupe quelque chose ?

En fait c'est le contraire. Si tu emploies un webmail (OVH/Gmail/Outlook) tu n'as pas le contrôle sur le flux sortant
Tu crées un mail avec Thunderbird, ton serveur SMTP étant ton Rpi/Yuno/...
RPi OpenDKIM ajoute la signature DKIM
RPi Postfix l'envoie à OVH:ssl0.ovh.net pour l'expédier

Mais j'en conviens, ce serait moins lourd d'héberger tes mails ailleurs si DKIM est un must.

Très bien, merci pour le feedback ! Je vais creuser pour changer d'hébergeur.

Etant donné l'absence de support, l'absence de réponse à cette question, l'absence de plannings d'améliorations, c'est malheureusement le seul conseil qu'on puisse donner :-(

donc ça veut dire qu'on peut pas avoir la verification DKIM si on utilise notre adresse mail x@NDD si on utilise gmail pour envoyer les emails?

Dans mon cas, j'ai fait tous les verifications que 1tester.comtester.com a suggere sauf la signature DKIM.
Comme je l'ai compris, je ne peux pas mettre ma propre clé privée dans mon serveur gmail et je ne pourrai donc jamais la faire correspondre à une éventuelle clé publique que je mettrais dans mon serveur de messagerie en ovh. Est-ce correct ?

J'utilise gmail pour envoyer mes courriels et parfois, ils sont encore classés dans les spams. Que me recommandez-vous de faire ? Dois-je cesser d'utiliser gmail pour envoyer mes courriels ?

Merci beaucoup.

```text

Dois-je cesser d'utiliser gmail pour envoyer mes courriels ?

Bonjour Paula,

Si vous instruisez à Gmail d'utiliser OVH comme serveur SMTP c'est OVH qui envoie les e-mails.
Dans ce cas il n'y a pas de DKIM. Ni de mon domaine, ni de Gmail.

Received: from smtpout1.mo529.mail-out.ovh.net (smtpout1.mo529.mail-out.ovh.net [178.32.125.2])
by k3.x (Postfix) with ESMTPS id 79842FF13A
for ; Fri, 5 Feb 2021 08:49:24 +0000 (UTC)
Received: from mxplan4.mail.ovh.net (unknown [10.109.156.21])
by mo529.mail-out.ovh.net (Postfix) with ESMTPS id C4DE182E15E5
for ; Fri, 5 Feb 2021 09:49:23 +0100 (CET)
Received: from x (37.59.142.104) by DAG8EX2.mxp4.local (172.16.2.16)
with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2106.2; Fri, 5 Feb 2021
09:49:22 +0100
Authentication-Results: garm.ovh; auth=pass (GARM-104R0052a5f5d61-9190-468e-a881-1338134f7469,
740A02950EC09956631A702536D3C4CB31FCFD01) smtp.auth=x
X-OVh-ClientIp: 209.85.166.52
Received: by mail-io1-f52.google.com with SMTP id n14so6280034iog.3
for ; Fri, 05 Feb 2021 00:49:22 -0800 (PST)
X-Gm-Message-State: AOAM532j3pKeFSg1rFqx+RSwdLoVZ94+OuhWxkSrix3cQIma//LuUPg2
h6PnezZ9wYRnbYUHLIMsCWXgumbla9SrMUdk+7Y=
X-Google-Smtp-Source: ABdhPJziZKF4BIa/HUhsJvJPqq3TamDSmdnzEsVztZFhGvdlrRM4yjD0NPRHGnIkMZNGkc8k8YqRFfjoSSLLxK8xv60=
X-Received: by 2002:a02:6d1c:: with SMTP id m28mr3855308jac.60.1612514961483;
Fri, 05 Feb 2021 00:49:21 -0800 (PST)
MIME-Version: 1.0
From: F
Date: Fri, 5 Feb 2021 09:49:10 +0100
X-Gmail-Original-Message-ID: mail.gmail.com>
Message-ID: mail.gmail.com>
Subject: test
To:
Content-Type: multipart/alternative; boundary="000000000000796fcc05ba92e54b"
X-Originating-IP: [37.59.142.104]
X-ClientProxiedBy: DAG8EX2.mxp4.local (172.16.2.16) To DAG8EX2.mxp4.local
(172.16.2.16)
X-Ovh-Tracer-GUID: ea65852d-cd45-4565-94ae-ec7de66de43b
X-Ovh-Tracer-Id: 473722385808838167
X-VR-SPAMSTATE: OK
X-VR-SPAMSCORE: 0
X-VR-SPAMCAUSE: gggruggvucftvgh...

--000000000000796fcc05ba92e54b
Content-Type: text/plain; charset="UTF-8"

xx

--000000000000796fcc05ba92e54b
Content-Type: text/html; charset="UTF-8"



--000000000000796fcc05ba92e54b-- ```

Est-ce que vous savez comment je peut eviter ça?

Snif... pas de solution,
soit vous succombez au chant des sirènes GAFAM, soit vous hébergez votre mail chez quelqu'un de plus sérieux qu'OVH.

OVH n'ayant jamais communiqué d'intention de supporter un jour DKIM c'sest le seul conseil que je peux donner.
D'autres le font, par exemple https://www.infomaniak.com/fr/support/faq/1668/support-du-dkim

Hello @Fritz2cat,

Merci pour ce fil de discussion intéressant !

La conclusion est donc simple: il n'est pas possible de signer ses emails avec DKIM en utilisant une adresse email venant d'un plan MX d'OVH.

Merci beaucoup d'avoir reformulé le produit de cette discussion en des termes si simples :) Bien dommage que ça ne figure pas dans la base de connaissances d'OVH.

Bonjour à tous
Nous avions ce souci de mail en SPAM lors de l'envoi avec l'offre Exange d'OVH.

Nous avons réussi à grandement améliorer la délivrabilité de nos e-mails en enregistrant l'ipV6 de notre webmail dans le champ SPF de la zone DNS, ainsi que l'ipv4.
_A noter :_ l'ipv6 est la plus important !

_Domaine :_mondamine.fr
_TTL :_ 600
_Type :_ SPF
_Cible :_ "v=spf1 a mx a:gw1.ex-mail.biz a:gw2.ex-mail.biz ip4:x.x.x.x ip6:y:y:y:y:y include:spf-[spf_de_mes_autres_envoyeurs_de_mails] -all"

bon courage a vous!!

ex-mail.biz

Effectivement si ex-mail.biz est un prestataire hébergé dans le PrivateCloud, toutes les adresses IPv4 et IPv6 de ce presta doivent être déclarées.

C'est un peu contradictoire avec l'offre Exchange d'OVH dont vous parlez une phrase plus haut, sauf si ce presta s'occupe spécifiquement de vos mass-mailing, par exemple.