Création d'une entrée DKIM et DMARC avec passerelle de protection contre le spam

Vivre enfin sans spam. Cela n'est fondamentalement possible qu'avec un système de protection professionnel qui analyse les courriers et utilise toutes les options disponibles pour empêcher l'abus de votre propre domaine pour l'envoi de spam.

Cela peut être fait avec une passerelle de protection contre le spam, par exemple.

Aujourd'hui encore, de nombreux fournisseurs ne protègent pas les courriels de leurs domaines clients. Habituellement, seul l'enregistrement MX d'un domaine est placé sur le serveur afin que le client puisse recevoir des courriels via le domaine.

Il y a certains dangers. Parce que le système eMialsystem peut être manipulé très facilement. Il est possible de falsifier facilement le nom de l'expéditeur. Vous pouvez envoyer un courrier électronique sous n'importe quel nom de domaine. Si le propriétaire du domaine ne s'en est pas protégé, quelqu'un d'autre peut envoyer des courriels en son nom. Dans le pire des cas, les réponses seront renvoyées au propriétaire du domaine.

Ce n'est pas forcément le cas. En quelques clics seulement, le domaine est bien protégé contre ce genre de choses.

Dossier SPF

Le Cadre politique de l'expéditeur (SPF) est l'une des méthodes utilisées pour protéger le domaine de l'expéditeur contre la falsification. Dans l'entrée SPF du serveur de nom, les serveurs de courrier électronique qui sont autorisés à envoyer des courriers électroniques à partir de ce domaine sont authentifiés.

Chez webhosting.de, par exemple, ces serveurs de messagerie seraient ceux qui figurent dans l'entrée TXT :

"v=spf1 mx a:spamschutz.webhoster.de a:spamschutz2.webhoster.de a:spamschutz3.webhoster.de a:spamschutz4.webhoster.de -all"

Par la présente, il est permis d'envoyer les enregistrements A des serveurs spamschutz.webhoster.de etc. ainsi que l'enregistrement MX du domaine lui-même.

Important : une entrée du SPF est identifiée par RFC 7208 est devenu obsolète. L'entrée SPF est simplement définie comme une entrée TXT dans le domaine.

Avec le -tout nous interdisons l'envoi via d'autres serveurs.

Un fournisseur qui vérifie l'enregistrement SPF n'acceptera pas le courriel ou le marquera comme spam.

Enregistrement DKIM

Afin de vérifier l'authenticité de l'expéditeur du courrier électronique, un protocole d'identification tel que DomainKeys requis par Yahoo.

Le courrier électronique lui-même est muni d'une signature numérique, que le serveur de courrier électronique du destinataire peut vérifier grâce à une clé publique disponible dans le DNS.

Il y a maintenant plusieurs façons de définir l'ensemble. Cela peut être fait soit sur le serveur. Pour Plesk vous devrez installer un script qui stocke la clé localement ou utiliser le serveur DNS Plesk.

Si le panneau de contrôle n'offre aucune option, vous pouvez simplement utiliser une passerelle antispam. Ici, vous pouvez également ajouter directement une signature à tous les e-mails sortants authentifiés.

En cas d'ISTORE du fournisseur webhoster.com c'est comme ça :

Dans le menu Plesk, il suffit de sélectionner le domaine approprié et de cliquer sur ISTORE à droite.

Menu Plesk avec fonction iStore
Menu Plesk avec fonction iStore

Sélectionnez le domaine approprié pour l'accès à l'iStore.

Sélectionner le domaine Plesk iStore

Vérifiez maintenant si le domaine est protégé par la passerelle de protection contre le spam.

Passerelle de protection antispam Plesk active

Le statut Protégé confirme que le domaine est disponible dans la passerelle de protection contre le spam. Vous pouvez maintenant cliquer à droite sur Gérer dans le panneau de filtrage des spams et gérer le domaine dans le menu principal.

Menu principal Panneau d'experts Spamexperts
Menu principal Panneau d'experts Spamexperts

Dans le menu principal de la passerelle antispam, vous pouvez désormais sélectionner simplement le Sortant à l'adresse suivante : DKIM pour démarrer le générateur pour l'entrée.
plesk-istore-spamexperts-dkim
Avec l'entrée DKIM, la clé est stockée dans la passerelle de protection contre le spam et la clé publique est affichée, qui est ensuite simplement ajoutée au serveur de noms en tant qu'entrée TXT.

Si l'entrée SPF n'est pas encore définie, elle peut également être affichée.

 

 

Générer DKIM

Générer la passerelle de protection antispam DKIM d'IStore
Générer la passerelle de protection antispam DKIM d'IStore

En tant que sélecteur, nous utilisons ici par défaut. Cela n'a pas vraiment d'importance. La valeur par défaut est utilisée par la plupart des systèmes. En cas de changement du système, tout ne doit pas être ajusté.

DKIM Record prêt à l'emploi
DKIM Record prêt à l'emploi

La clé publique est maintenant affichée et peut facilement être ajoutée au serveur de noms.

Définir l'entrée DNS

 

Définir l'entrée DKIM DNS
Définir l'entrée DKIM DNS

L'important est l'entrée d'hôte par défaut ._domainkey.webhosting.de avec la valeur générée par le système. L'heure TTL peut être réglée comme vous le souhaitez. Habituellement, rien ne change ici aussi rapidement. 400 secondes, c'est bon.

Test DKIM avec mxtoolbox

L'entrée qui est maintenant fixée peut être facilement supprimée avec mxtoolbox vérifier. Le programme montre immédiatement si tout est en ordre.

Vérifier l'entrée DKIM avec mxtoolbox
Vérifier l'entrée DKIM avec mxtoolbox

Comme on peut le voir, l'entrée DKIM est maintenant présente, mais il est montré qu'il n'y a pas encore d'entrée DMARC. Bien sûr, nous voulons changer cela et établir une entrée DMARC.

Ajouter l'entrée DMARC

Un troisième mécanisme de protection pour les courriers électroniques. Le Authentification, notification et conformité des messages par domaine (DMARC).

Cela complète les entrées SPF et DKIM déjà fixées. Le SPF est là pour indiquer quels serveurs de messagerie sont autorisés à envoyer des courriers électroniques à partir du domaine. DKIM vérifie que le courrier provient de l'expéditeur. Avec DMARC, le propriétaire du domaine peut maintenant donner des recommandations au serveur destinataire sur ce qu'il faut faire avec le courriel si le SPF ou le DKIM est incorrect. En général, bien sûr, le courrier électronique doit alors être rejeté.

Un effet secondaire agréable est le reportage. Avec l'entrée, vous pouvez créer un adresse électronique vers lesquels les rapports des serveurs de messagerie sont envoyés. Dans ce contexte, il est judicieux d'utiliser un service de reporting. C'est ce que propose par exemple mxtoolbox ou un autre service. En cas d'abus du courrier électronique, il est alors possible d'agir très rapidement.

L'entrée DMARC peut être créée avec un générateur d'enregistrements DMARC.

Si tout est configuré correctement, vous pouvez régler l'utilisation du courrier pour qu'il soit rejeté.

Générateur DMARC avec mxtoolbox

Dans ce premier exemple, la recommandation est fixée à zéro en cas d'erreur SPF ou DKIM, de sorte que seule la déclaration a lieu. Comme nous faisons toujours tout correctement, l'entrée peut aussi être directement réglée sur rejeter peut être modifié.

Contrôle final des paramètres du domaine

Après avoir optimisé les paramètres, nous utilisons à nouveau mxtoolbox pour vérifier les entrées.

Vérifiez les entrées pour DKIM, SPF, DMARC
Vérifiez les entrées pour DKIM, SPF, DMARC

 

Derniers articles

Généralités

Les serveurs Supermicro et leur rôle important dans les centres de données

Les centres de données constituent l'épine dorsale de notre infrastructure numérique moderne. Avec la demande croissante en puissance de calcul, en stockage de données et en capacité de réseau, ils sont soumis à une pression constante pour être toujours plus efficaces.