DomainKeys Identified Mail (DKIM) - Plesk, Qmail, SpamAssassin & DNS
Note: cette installation s’est déroulée sous Plesk 9.2 (CentOS 5.2) / SpamAssassin 3.2.5
L’implémentation de la norme DKIM au sein de Plesk est réalisable directement via l’interface d’administration. Cependant, dans le but d’en optimiser le fonctionnement, plusieurs éléments nécessitent une configuration appropriée.
Signature des messages sortants
- Activer DKIM sous Plesk
Dans la page d’accueil de l’administrateur du serveur, dans le panneau “Serveur”, cliquer sur l’icône intitulé “Paramètres du serveur de messagerie”. Ensuite, sous la section “Protection anti-spam DomainKeys”, cocher les cases “Autoriser la signature des e-mails sortants” et “Vérifier les e-mails entrants”. Sauvegarder ces modifications en cliquant sur le bouton “OK”.
(v. manuel Parallels Plesk)
Attention: par le biais de cette méthode, la signature des messages sortants est activée pour TOUS les domaines! Etant donné que chacun d’eux nécessite une configuration DNS spécifique, il est recommandé de désactiver par la suite cette option pour tous les domaines (tjs. dans l’interface Plesk: section “Domaines”, cocher tous les domaines, et cliquer sur “modifier”, puis sélectionner “Désactiver” au niveau de “Utiliser le système de protection anti-spam DomainKeys pour signer les e-mails sortants”), et de la ré-activer au cas par cas. - Activer DKIM sous un domaine précis
Sélectionner un domaine, puis aller sous “Comptes de messagerie” > “Paramètres du messagerie”.
Cocher la case “Utiliser le système de protection anti-spam DomainKeys pour signer les e-mails sortants” et cliquer sur le bouton “OK”. - Récupérer la clé publique pour l’enregistrement DNS
A niveau du domaine, se rendre dans “Paramètres DNS”. Cliquer sur “Activer le service DNS” (si inactif).
Une ligne intitulée “default._domainkey.DOMAINE.TLD” de type TXT est désormais présente.
Copier sa valeur (”p=MHwwD…RclQIDAQAB;”) dans un fichier texte. - Configurer le serveur DNS (indépendant de Plesk)
Dans la zone du domaine concerné:
- Ajouter une entrée TXT nommée “_domainkey” avec comme valeur “o=~” (ceci est moins restrictif que la règle par défaut de Plesk, à savoir qu’elle veut signifier que “presque” tous les messages sortants sont signés).
- Ajouter une entrée TXT nommée “default._domainkey.DOMAINE.TLD” avec comme valeur l’élément copié précédemment au point 3 dans un fichier texte (”p=MHwwD…RclQIDAQAB;”).
Enregistrer la zone.
Attention: ce point n’est utile que si votre serveur DNS n’est pas alimenté par Plesk (serveur DNS maître indépendant) - Test: Envoyer un email de votre domaine à un compte Yahoo ou GMail
Dans l’en-tête du message, une ligne “DomainKey-Signature:” est présente, ainsi qu’une ligne “DomainKey-Status: good”.
Si ce n’est pas le cas, contrôlé que la propagation des zones DNS s’est déroulée correctement après les modification au pt. 4.
Traitement des messages entrants
- Installer SpamAssassin via le repository d’ART
Une fois le repository ART ajouté à Yum, exécuter la commande
yum install spamassassin
ou
yum update spamassassin - Mettre à jour les règles de SpamAssassin
Exécuter les commandes
sa-update
service spamassassin restart
service psa-spamassassin restart - Installer les modules Perl Mail-DomainKeys et Mail-DKIM via le repository DAG
Une fois le repository DAG ajouté à Yum, exécuter les commandes
yum install perl-Mail-DomainKeys
yum install perl-Mail-DKIM - Editer les fichiers de configuration de SpamAssassin
Fichier/etc/mail/spamassassin/v312.pre: décommenter (= enlever le # au début) la ligne:
loadplugin Mail::SpamAssassin::Plugin::DKIM
Fichier/etc/mail/spamassassin/local.cf: ajouter la ligne:
score DKIM_VERIFIED -1.00 - Rédémarrer SpamAssassin
service spamassassin restart
service psa-spamassassin restart - Tester: Envoyer un email vers votre domaine depuis un compte Yahoo ou GMail
Au niveau de la ligne “X-Spam-Status”, les mots-clés “DKIM_SIGNED” et “DKIM_VERIFIED” sont présents.
Le X-Spam-Level est inférieur si le mot clé “DKIM VERIFIED” est présent.
Notes:
- Un problème survient dans le traitement des signatures DKIM par gmail lorsque qmail et la protection SPF sont actifs: http://kb.parallels.com/en/6039
