Serveur dédié : ajouter l’authentification DMARC à Postfix et BIND

Notre serveur de mail possède une identification SPF, Sender-ID et DKIM et est sécurisé par un certificat TLS. Nous allons aujourd’hui voir comment lui adjoindre l’authentification DMARC.

Aux origines de l’authentification des emails

Les technologies d’authentification des emails SPF et DKIM ont été développées afin de fournir une plus grande assurance sur l’identité de l’expéditeur d’un message.

L’adoption de ces technologies a augmenté régulièrement mais le problème des emails frauduleux et trompeurs n’a pu etre réglé.

Il existe une multitude d’environnements et de systèmes différents pour envoyer des emails, et on fait souvent appel à des applications tierces pour gérer les envois.

S’assurer que chaque message peut être authentifié avec SPF ou DKIM n’est pas une mince affaire étant donné que le traitement des emails se fait en temps réel.

Si le propriétaire d’un domaine envoie un groupe de message et que certains peuvent être authentifiés et d’autres non, alors les récipiendaires de ces messages sont obligés de faire la distinction entre les messages légitimes qui ne sont pas authentifiés et les messages frauduleux qui ne sont pas authentifiés non plus.

Par nature, les algorithmes de spam sont sujets aux erreurs et doivent évoluer constamment pour répondre aux nouvelles tactiques des spammeurs. Au final, certains messages frauduleux parviendront toujours à atteindre la boite de réception du destinataire final.

Le seul moyen de résoudre ces problèmes est de partager l’information entre l’expéditeur et le destinataire. Les destinataires vont fournir des informations sur leur infrastructure d’authentification des messages et les expéditeurs vont dire aux destinataires quoi faire lorsqu’un message reçu n’est pas authentifié.

En 2007, Paypal a été pionnier dans cette approche et a construit un système avec l’aide de Yahoo! Mail puis Gmail. Les résultats ont été très probants, menant à une baisse du nombre des emails frauduleux qui se faisaient passer comme venant des serveurs de Paypal acceptés par les destinataires.

DMARC : un protocole d’authentification email

DMARC, qui signifie Domain-based Message Authentication, Reporting and Conformance est un protocole d’authentification email qui se base sur les protocoles SPF et DKIM – maintenant largement déployés – en ajoutant une fonction de rapport qui permet aux expéditeurs et destinataires d’améliorer et vérifier la protection du domaine contre les emails frauduleux.

DMARC se base sur le processus d’authentification des messages entrants et aide les destinataires à déterminer si les message est “aligné” avec ce que le destinataire connaît de l’expéditeur. Sinon, DMARC inclut une manière de gérer les messages “non-alignés”.

Voici le principe de fonctionnement de DMARC :

Serveur dédié : ajouter l'authentification DMARC à Postfix et Bind9 photo

Il est important de noter que DMARC est basé à la fois sur les spécifications de DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework) qui sont toujours en cours de développement par l’IETF.

DMARC a pour but de remplacer ADSP en ajoutant le support pour:

  • des wildcards ou des politiques de sous-domaines,
  • des sous-domaines non-existants,
  • des implémentations lentes (par exemple avec des expérimentations avec des pourcentages),
  • SPF,
  • la quarantaine des emails.

DMARC cherche donc à satisfaire les besoins suivants :

  • minimiser les faux-positifs,
  • fournir des rapports robustes sur l’authentification,
  • réduire le nombre de mails de phishing,
  • minimiser la complexité,
  • fonctionner à l’échelle d’Internet.

Anatomie d’un enregistrement DMARC

Voici à quoi ressemble un enregistrement DMARC complet :

_dmarc TXT ( "v=DMARC1;p=quarantine;sp=quarantine;pct=100;adkim=r;aspf=r;fo=1;ri=86400;rua=mailto:dmarc@example.com;ruf=mailto:dmarc@example.com;rf=afrf" )

Intéressons-nous maintenant à la valeur de l’enregistrement:

v=DMARC1;p=quarantine;sp=quarantine;pct=100;adkim=r;aspf=r;fo=1;ri=86400;rua=mailto:dmarc@example.com;ruf=mailto:dmarc@example.com;rf=afrf

Voici un petit tableau récapitulatif qui explique à quoi correspondent les tags et quelles valeurs peuvent leur être associées:

TagValeurExplication
vv=DMARC1Version du protocol: DMARC1.
pquarantinePolitique à appliquer aux emails qui échouent au test DMARC. Valeurs possibles: ‘none’, ‘quarantine’, ou ‘reject’. ‘none’ est utilisé pour récupérer des statistiques.
spquarantinePolitique à appliquer aux emails d’un sous-domaine de l’enregistrement DMARC et qui échouent au test DMARC. Ce tag permet au détenteur du domaine de publier explicitement une politique de sous-domaine wildcard.
pct100Pourcentage de temps pendant lequel on applique la politique DMARC. 100% indique que l’on veut tester les emails 100% du temps. NOTE: vous devez avoir une politique ‘quarantine’ ou ‘reject’ pour que ce tag soit actif.
adkimrSpécifie le mode alignement pour les signatures DKIM. ‘r’ est pour Relaxed, ‘s’ pour Strict. Le mode Relaxed permet des domaines authentifiés par DKIM et qui partagent un Organizational Domain commun avec l’entête header-From: domain de passer le test DMARC avec succès. Le mode Strict demande une adéquation entre le domaine DKIM et le domaine header-From: de l’email.
aspfrSpécifie le mode alignement pour SPF. ‘r’ est pour Relaxed, ‘s’ pour Strict. Le mode Relaxed permet des des domaines authentifiés par SPF et qui partagent un Organizational Domain commun avec l’entête header-From: domain de passer le test DMARC avec succès. Le mode Strict demande une adéquation entre le domaine SPF et le domaine header-From: de l’email.
fo1Forensic reporting options. Valeurs possibles: ‘0’ pour générer des rapports lorsque tous les méchanismes d’authentification ont échoué à produire un résultat DMAC valide, ‘1’ pour générer des rapports lorsqu’un des mécanismes a échoué, ‘d’ pour générer un rapport lorsque la signature DKIM n’est pas été vérifiée, ‘s’ lorsque SPF a échoué.
ri86400La fréquence d’envoi des rapports agrégés en XML. Vous recevrez des rapports une fois par jour avec ou sans ce réglage.
ruamailto:dmarc@example.comLa liste d’adresses (URI) à laquelle envoyer les rapports XML. NOTE: ce ne doit pas être une liste d’adresses emails mais une liste d’URIs sous la forme ‘mailto:address@example.org’.
rufmailto:dmarc@example.comLa liste d’adresses (URI) à laquelle envoyer les rapports forensics. NOTE: ce ne doit pas être une liste d’adresses emails mais une liste d’URIs sous la forme ‘mailto:address@example.org’.
rfafrfLe format pour les rapports individuels forensics. Soit ‘afrf’, soit ‘iodef’.
Tableau récapitulatif des valeurs du tag DMARC

Ajout d’un enregistrement DMARC

En pré-requis, vous devez avoir implémenté l’identification SPF, Sender-ID et DKIM car DMARC est basé sur ces protocoles.

L’enregistrement DMARC est un enregistrement au niveau du serveur DNS. C’est donc une ligne à rajouter dans l’interface DNS de votre registrar, ou directement dans le fichier de votre zone DNS sous BIND.

On édite donc notre fichier de zone:

nano /etc/bind/skyminds.net.hosts

Et on y ajoute:

; DMARC record for skyminds.net
; Record should be published at _dmarc.skyminds.net
_dmarc TXT ( "v=DMARC1;p=quarantine;sp=quarantine;pct=100;adkim=r;aspf=r;fo=1;ri=86400;rua=mailto:dmarc@skyminds.net;ruf=mailto:dmarc@skyminds.net;rf=afrf" )
_dmarc.skyminds.net TXT ( "v=DMARC1;p=quarantine;sp=quarantine;pct=100;adkim=r;aspf=r;fo=1;ri=86400;rua=mailto:dmarc@skyminds.net;ruf=mailto:dmarc@skyminds.net;rf=afrf" )

Il existe un assistant en ligne, DMARC Record Assistant, qui vous permet de sélectionner vos options et de créer un enregistrement DMARC adapté à vos besoins.

Enregistrez le fichier et relancez BIND:

service bind9 restart

N’oubliez pas de resigner votre fichier de zone si vous utilisez DNSSEC.

Intégration d’OpenDMARC à Postfix

Il nous reste maintenant à intégrer opendmarc à Postfix. On installe donc le paquet opendmarc:

apt install opendmarc

On édite ensuite le fichier de configuration d’opendmarc:

nano /etc/opendmarc.conf

On y ajoute ou modifie les lignes suivantes :

    AuthservID mail.example.com
    PidFile /var/run/opendmarc.pid #Debian default
    RejectFailures false
    Syslog true
    TrustedAuthservIDs mail.example.com,mail2.example.com
    UMask 0002
    UserID opendmarc:opendmarc
    IgnoreHosts /etc/opendmarc/ignore.hosts
    HistoryFile /var/run/opendmarc/opendmarc.dat
    #for testing:
    SoftwareHeader true

Explications :

AuthservID: mettez l’hostname de votre serveur (mail.example.com)

PidFile: chemin du fichier PID

RejectFailures: true or false. Si la valeur est true alors tous les messages qui ne passeront pas la vérification DMARC seront rejetés. Je préfère avoir les messages donc je garde la valeur à false.

Syslog: true or false. Active les logs ou non.

TrustedAuthservIDs: ces AuthservIDs sont considérés comme nécessitant la validation DMARC. Utile lorsque plusieurs serveurs MX sont présents et qu’ils n’ont pas tous besoin d’être validés par DMARC.

UMask: du fichier PID et du fichier de socket.

UserID: utilisateur et groupe qui gère le service dmarc.

IgnoreHosts: chemin du fichier d’exclusion.

HistoryFile: chemin du fichier d’historique. Nécessaire pour envoyer des rapports à d’autres organisations.

SoftwareHeader: ajoute un entête “Dmarc-Filter” avec la version opendmarc à chaque email traité. Utile pour la phase de test.

On crée maintenant le fichier d’exclusion :

mkdir /etc/opendmarc/
nano /etc/opendmarc/ignore.hosts

et on y ajoute la liste des réseaux et domaines de confiance. Les emails de ces domaines ne seront pas vérifiés par DMARC:

localhost
10.0.0.0/24

On configure maintenant le fichier default d’opendmarc:

nano /etc/default/opendmarc

avec une directive SOCKET:

SOCKET="inet:54321@localhost"

On demande à ce qu’opendmarc soit lancé au démarrage du serveur :

systemctl enable opendmarc

Résultat:

Synchronizing state of opendmarc.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable opendmarc

On démarre opendmarc :

service opendmarc start

Opendmarc est lancé, on peut maintenant passer à la configuration de Postfix:

nano /etc/postfix/main.cf

Il faut retrouver les directives milters que nous avions configurées pour OpenDKIM et ajouter les milters d’opendmarc après celles d’opendkim (très important car opendmarc a besoin des résultats du test DKIM) :

smtpd_milters = inet:localhost:12345,inet:localhost:54321
non_smtpd_milters = $smtpd_milters

On sauvegarde la configuration de Postfix et on recharge sa configuration:

service postfix reload

Votre serveur de mail est maintenant capable de procéder à la vérification DMARC pour le courrier entrant.

Test de la configuration DMARC

Il nous reste maintenant à tester que notre configuration est correcte et que l’entête DMARC est bien présent dans le processus d’identification de nos messages.

DMARC Inspector par dmarcian est un très bon outil qui vous permet de visualiser l’entête, ainsi que sa configuration. Notez qu’il est beaucoup plus prudent d’expliciter chaque valeur que de se reposer sur une valeur par défaut (implicite) qui serait susceptible de changer avec le temps.

La page des outils de déploiement DMARC est très exhaustive.

Lectures complémentaires

Synopsis » Monter un serveur dédié de A à Z

  1. Serveur dédié : installation d’Apache, PHP, MySQL et Webmin
  2. Serveur dédié : créer la base de données MySQL et importer WordPress
  3. Serveur dédié : créer et activer un Virtual Host sous Apache
  4. Serveur dédié : changer les DNS du nom de domaine et le faire pointer vers le serveur
  5. Serveur dédié : sécurisation des services avec iptables et fail2ban
  6. Serveur dédié : sécurisation de la couche TCP/IP
  7. Serveur dédié : création d’un serveur mail Postfix (sécurisé avec Saslauthd et certificat SSL) et Courier (accès POP et IMAP) utilisant une base MySQL d’utilisateurs/domaines virtuels
  8. Serveur dédié : sécuriser Apache 2 avec ModSecurity
  9. Serveur dédié : CHMOD récursif sur des fichiers ou répertoires en ligne de commande
  10. Serveur dédié : installer APC comme système de cache et configurer Varnish comme reverse-proxy pour Apache pour améliorer les performances
  11. Serveur dédié : afficher la véritable IP derrière un reverse-proxy comme Varnish
  12. Serveur dédié : intégrer SSH à WordPress pour mettre à jour le core, les plugins et les thèmes
  13. Serveur dédié : installer la dernière version d’APC par SVN
  14. Serveur dédié : analyse des performances du serveur
  15. Serveur dédié : mettre à jour le noyau Debian de la Kimsufi
  16. Serveur dédié : sauvegarde automatique des fichiers avec Backup Manager sur le serveur de sauvegarde OVH
  17. Serveur dédié : configurer la limite mémoire pour PHP et Suhosin
  18. Bash : supprimer tous les fichiers et sous-répertoires d’un répertoire
  19. Serveur dédié : impossible de se connecter à un port distant
  20. Rsync: rapatrier les fichiers du serveur à la maison
  21. Bash : réparer les tables MySQL en cas de crash
  22. Serveur dédié : création d’une seedbox avec Transmission
  23. Serveur dédié : des paquets LAMP à jour sous Debian
  24. Serveur dédié : mise à jour vers Debian 7 Wheezy
  25. Serveur dédié : activer X11 forwarding pour SSH
  26. Serveur dédié : optimiser toutes les images JPG et PNG avec OptiPNG et JpegOptim
  27. Postfix : résoudre l’erreur “fatal: www-data(33): message file too big”
  28. Serveur dédié : mise en place de l’IPv6
  29. WordPress : accorder les bonnes permissions aux fichiers et dossiers avec chown et chmod
  30. WordPress : héberger les images sur un sous-domaine
  31. Serveur dédié : ajouter l’authentification SPF, Sender-ID et DKIM à Postfix et Bind9 avec opendkim
  32. Apache : lorsque le domaine seul (sans WWW) renvoie une erreur 403
  33. Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy
  34. Serveur dédié : passer WordPress en HTTPS (TLS/SSL)
  35. Serveur dédié : configurer Webmin en TLS avec un certificat SSL
  36. Serveur dédié : configurer Transmission pour accéder au WebUI via TLS-SSL
  37. Serveur dédié : installer et configurer Varnish 4
  38. Serveur dédié : passage au mod FastCGI et PHP-FPM avec Apache MPM Worker
  39. Récupérer un serveur Kimsufi après un plantage de kernel avec le mode rescue OVH
  40. Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy
  41. Serveur dédié : retirer Varnish, devenu inutile avec HTTPS
  42. Serveur dédié : installer la dernière version d’OpenSSL sous Debian
  43. Serveur dédié : activer l’IP canonique du serveur sous Apache
  44. Serveur dédié : mise à jour vers PHP 5.6
  45. MySQL : convertir les tables MyISAM au format InnoDB
  46. Serveur dédié : optimiser toutes les images GIF avec GIFsicle
  47. Serveur dédié : migration de MySQL vers MariaDB
  48. BASH : lister, bloquer et débloquer des adresses IP avec iptables
  49. Serveur dédié : produire une meilleure réserve d’entropie avec haveged
  50. Serveur dédié : mettre en place DNSSEC pour sécuriser les DNS du domaine
  51. Serveur dédié : mise en place du protocole DANE
  52. 8 règles d’or pour bien déployer DNSSEC et DANE
  53. Serveur dédié : installer PHP7 FPM avec FastCGI sous Debian
  54. Serveur dédié : optimiser la couche TCP
  55. Fail2Ban: protéger Postfix contre les attaques DoS de types AUTH, UNKNOWN et EHLO
  56. Serveur dédié : mettre à jour Apache pour HTTP/2
  57. Serveur dédié : ajouter le domaine à la liste HSTS preload
  58. Serveur dédié : ajouter l’authentification DMARC à Postfix et BIND
  59. Serveur dédié : à la recherche de l’inode perdue ou comment résoudre le problème “no space left on device”
  60. Serveur dédié : installer NginX avec support HTTP2 et certificat SSL, PHP, MariaDB sous Debian

Recherchez-vous un expert WordPress ou WooCommerce sur qui vous pouvez compter? Ne cherchez plus.

Faites confiance à mon expertise »

Articles conseillés :

4 pensées sur “Serveur dédié : ajouter l’authentification DMARC à Postfix et BIND”

  1. Question, tu ne fait pas toute la partie de configuration de DMARC ? genre :
    apt-get install opendmarc
    Puis configurer
    /etc/opendmarc.conf
    et indiquer à postfix comment l’utiliser ?
    smtpd_milters = unix:/opendkim/opendkim.sock, unix:/opendmarc/opendmarc.sock
    Par ce que là je vois mal comment opendmarc il communique avec postfix

    Reply

Opinions