Signature des emails avec DKIM

Je me suis finalement décidé à utiliser DKIM pour signer les emails que j'envoie via mon domaine personnel. J'utilise postfix et amavis du coup l'opération est très rapide.

Tout d'abord, on commence par générer la clé RSA qui servira à signer et vérifier les messages :

$ amavisd genrsa /var/db/dkim/<mon domaine>.pem

La taille de cette clé est par défaut de 1024 octets.

Ensuite, on active la signature des emails par amavis. Ajoutez les lignes suivantes dans le fichier de configuration qui va bien :

# DKIM signing
$enable_dkim_signing = 1;
dkim_key('mon domaine', '<selecteur>', '/var/db/dkim ...

Indiquer à amavisd ce qu'il doit filtrer

Pour les besoins de ma boite actuelle, j'ai mis un peu de temps (trop à mon goût) à retrouver la manière d'indiquer à Amavisd de ne pas filtrer les emails sortant.

Outre le fait de désactiver tout filtrage pour la policy bank MYNETS:

$policy_bank{'MYNETS'} = {
    # Trucs avant...
    bypass_spam_checks_maps   => [1],
    bypass_banned_checks_maps => [1],
    bypass_header_checks_maps => [1],
};

il faut aussi indiquer à Postfix d'utiliser l'extension XFORWARD lorsqu'il cause avec amavisd. Extrait de mon fichier master.cf:

smtp-amavis unix        -       -       n       -       2       smtp
    -o smtp_data_done_timeout=1200
    -o smtp_send_xforward_command=yes
    -o disable_dns_lookups=yes

On redémarre les services et le tour est joué!

OpenBSD et postfix en relais SMTP transparent

Voici une petite conf sympa (enfin perso je trouve) pour permettre à OpenBSD et postfix de relayer des mails entrant de manière transparente. L'intérêt de ce mode est simple : aucune modification sur votre serveur de messagerie. Parfois, çà sauve les fesses ^^

Commençons par pf.

Dans le fichier de règles (/etc/pf.conf par défaut), insérer la redirection suivante :

rdr pass on $ext_if proto tcp from any to $ext_if port smtp -> localhost@@

On part évidemment du principe que $ext_if correspond à la patte externe de votre pare-feu.

Ensuite postfix

Il s'agit d'une configuration de relayage classique. Dans le ...

Relais postfix et vérification d'adresse depuis exchange

Comme vous le savez peut-être (ou pas...), ce magnifique produit qu'est postfix offre la possibilité de vérifier l'existence d'une adresse dans un domaine depuis un relais.

Grâce à l'option relay_recipient_maps, une ou plusieurs tables de recherche (lookup tables) peuvent être indiquées afin de filtrer les mails reçus. Plusieurs backend sont proposés (db4, mysql, ldap, etc.).

Prenons un cas relativement courant :

  • Un serveur exchange (2000/2003) pour gérer les boîtes mail,
  • Un relais postfix en frontal pour effectuer un certain nombre de filtrages.

Il serait bien sympa que le relais puisse intérroger l'exchange pour vérifier l ...