Installer et configurer SPF, DKIM et DMARC avec Postfix ou Exim4 sur Debian 8 Jessie

Installer et configurer SPF, DKIM et DMARC avec Postfix ou Exim4 sur Debian 8 Jessie

Votre serveur est configuré et opérationnel, votre serveur mail Postfix (ou EXIM4) aussi. Cependant, vous constatez que vos courriers sont envoyés en SPAM !

Une solution pour remédier à cela est de configurer correctement vos SPF, DKIM et DMARC.

Dans ce tutoriel, je vous guiderai à travers les étapes nécessaires pour mettre en place ces protections pour votre domaine sur un serveur Debian 8 Jessie.

Étape 1 : Effectuer un test initial

Pour commencer, je vous conseille de faire un test sur un site tel que http://www.mail-tester.com (limité à 3 essais par jour !). D'autres alternatives illimitées sont également disponibles, comme https://dkimvalidator.com ou https://spamscorechecker.com/check/ ou https://spamcheck.postmarkapp.com/. Cela vous permettra d'identifier les problèmes avec votre serveur et de comprendre pourquoi vos e-mails sont marqués comme indésirables.

Étape 2 : Générer les clés DKIM

Pour Exim4, suivez les étapes ci-dessous. Pour Postfix, vous trouverez les instructions plus loin dans le tutoriel.

Ouvrez un terminal et exécutez les commandes suivantes en tant que root :

# openssl genrsa -out monsite.com-private.key.pem 1024
# openssl rsa -in monsite.com-private.key.pem -outform PEM -pubout -out monsite.com-public.key.pem
# mv monsite.com-private.key.pem /etc/exim4/keys/
# chown root:Debian-exim -R /etc/exim4/keys
# chmod 0644 /etc/exim4/keys/monsite.com-private.key.pem

Ensuite, créez un enregistrement DNS de type TXT avec un sélecteur aléatoire.

Par exemple :

exemple._domainkey IN TXT "k=rsa; p=PUB_KEY"

Assurez-vous de remplacer PUB_KEY par votre clé publique monsite.com-public.key.pem en veillant à supprimer les retours chariot ou les espaces.

Étape 3 : Configurer Exim4 pour DKIM

Ouvrez le fichier de configuration d'Exim4 avec un éditeur de texte, par exemple nano :

# nano /etc/exim4/exim4.conf.template

Ajoutez ou vérifiez les lignes suivantes :

IGNORE_SMTP_LINE_LENGTH_LIMIT = 1
REMOTE_SMTP_HELO_DATA=monsite.com
DKIM_CANON = relaxed
DKIM_DOMAIN = ${sender_address_domain}
DKIM_FILE = ${if exists{/etc/exim4/keys/${sender_address_domain}-private.key.pem}{/etc/exim4/keys/${sender_address_domain}-private.key.pem}{0}}
.ifdef DKIM_FILE
DKIM_PRIVATE_KEY = ${if exists{DKIM_FILE}{DKIM_FILE}{0}}
.endif
DKIM_SELECTOR = exemple #pour exemple._domainkey c'est donc : exemple
DKIM_STRICT = false # optionel ; false= ignorer si aucune clé n'est disponible

Assurez-vous de remplacer monsite.com par votre propre nom de domaine.

Étape 4 : Ajouter un SPF

Pour ajouter un SPF à votre domaine, suivez ces étapes :

Identifiez les serveurs de messagerie autorisés : Vous devez connaître les adresses IP ou les noms de domaine des serveurs de messagerie autorisés à envoyer des e-mails au nom de votre domaine. Cela peut inclure les serveurs de messagerie de votre fournisseur d'hébergement de messagerie ou de votre fournisseur de services d'e-mails.

Choisissez une politique SPF : Vous devez décider de la politique SPF que vous souhaitez appliquer à votre domaine.

Vous pouvez choisir parmi les options suivantes :

• all : Autorise tous les serveurs à envoyer des e-mails au nom de votre domaine.
• none : N'autorise aucun serveur à envoyer des e-mails au nom de votre domaine.
• a : Autorise uniquement les serveurs spécifiés dans les enregistrements DNS "A" de votre domaine à envoyer des e-mails au nom de votre domaine.
• mx : Autorise uniquement les serveurs spécifiés dans les enregistrements DNS "MX" de votre domaine à envoyer des e-mails au nom de votre domaine.
• ptr : Autorise uniquement les serveurs dont le nom d'hôte se résout en une adresse IP de votre domaine à envoyer des e-mails au nom de votre domaine.

Créez l'enregistrement SPF : Utilisez la syntaxe SPF pour créer un enregistrement DNS SPF pour votre domaine.

Voici un exemple d'enregistrement SPF :

v=spf1 ip4:192.168.1.1 include:serveurs-exemples.com -all

Dans cet exemple, nous autorisons l'adresse IP 192.168.1.1 et les serveurs de messagerie du domaine serveurs-exemples.com à envoyer des e-mails au nom de notre domaine, et nous appliquons une politique -all qui indique de rejeter tous les autres e-mails ne correspondant pas à ces critères.

Ajoutez l'enregistrement SPF à votre DNS : Ajoutez l'enregistrement SPF que vous avez créé à votre configuration DNS.

Cela peut être fait via l'interface de gestion de votre registraire de domaine ou de votre fournisseur d'hébergement de messagerie.

Assurez-vous que l'enregistrement SPF est correctement ajouté à la zone DNS de votre domaine.

Après avoir ajouté et configuré l'enregistrement SPF, assurez-vous de vérifier et de tester si tout est configuré correctement, comme indiqué dans l'étape 5.

Étape 5 : Vérifier et tester votre SPF

Une fois que vous avez ajouté les enregistrements SPF appropriés à votre domaine, il est important de vérifier et de tester si tout est configuré correctement.

Voici quelques étapes à suivre pour effectuer cette vérification :

1. Vérifier la syntaxe : Assurez-vous que la syntaxe de votre enregistrement SPF est correcte. Un enregistrement SPF incorrectement formaté peut être ignoré par les serveurs de messagerie. Vous pouvez utiliser des outils en ligne gratuits pour vérifier la syntaxe de votre enregistrement SPF.
2. Tester le SPF : Utilisez un outil de test SPF pour vérifier si votre enregistrement SPF est correctement configuré. Il existe plusieurs outils en ligne gratuits qui vous permettent de tester votre enregistrement SPF en simulant un envoi de courrier électronique et en vérifiant si votre SPF autorise ou bloque l'envoi.
3. Surveiller les rapports SPF : Certains fournisseurs de messagerie peuvent vous envoyer des rapports SPF pour vous informer des tentatives d'envoi de courriels depuis des adresses IP autorisées ou non autorisées. Surveillez ces rapports pour détecter tout comportement suspect et prendre les mesures appropriées si nécessaire.
4. Effectuer des tests de livraison : Envoyez des e-mails à partir de différentes adresses IP pour vérifier si vos enregistrements SPF autorisent ou bloquent ces envois. Assurez-vous que les e-mails sont bien livrés et ne sont pas marqués comme spam.

Il est important de noter que la mise en place de SPF ne garantit pas à elle seule la délivrabilité de vos e-mails, car d'autres facteurs peuvent également affecter la livraison des e-mails, tels que la réputation de l'adresse IP d'envoi, la configuration de DKIM et DMARC, et la qualité du contenu du message.

Voilà, vous avez maintenant ajouté et configuré SPF pour votre domaine.

Il est recommandé de surveiller régulièrement la configuration de SPF et de la mettre à jour si nécessaire pour assurer une délivrabilité optimale des e-mails.