Bonjour,
Je sais que la question a souvent été traitée sur ce forum mais au vu de la réponse d'OVH à mon ticket sur le sujet, je préfère avoir vos lumières !
Nous avions notre hébergement chez OVH depuis plusieurs années et nous avons récemment rapatrié ndd et mail (MX Plan) chez OVH. Nous avons cependant eu dans la foulé des problèmes de delivrabilité (arrivée en SPAM chez nos clients) et de spoofing.
J'ai donc dans un premier temps mieux renseigné l'enregistrement SPF et j'ai ensuite demandé à OVH comment paramétrer la DKIM.
Ma nouvelle question après qu'ils m'avaient juste répondu sur le paramétrage de la clé publique : " (…) Si j'ai bien compris, pour que la signature DKIM fonctionne, il faut d'un côté renseigner une clé publique dans la zone DNS (ce que vous expliquez dans votre précédent message) mais également injecter la clé privé dans nos mails. Ma question était : comment injecte-t-on la clé privé dans nos mails ?"
Et la réponse d'OVH qui motive ce poste sur le forum : "Après vérifications, je vous précise qu'il faut simplement créer la clé DKIM depuis la zone DNS de notre coté ."
Votre avis sur cette réponse ? Il faut bien injecter la clé privée quelque part non ? Si j'ai bien compris ce n'est pas possible via le webmail d'OVH mais est-ce que c'est possible via outlook (outlook 2013 pour ma part) ?
Merci d'avance !
Il y a pas mal d'infos ici.
La clé privée est privée, vous la gardez pour vous. Il n'y a bien que la clé publique à publier.
Après si vous voulez un vrai chiffrage de bout en bout, c'est une autre affaire mais pour le dkim, la clé privée ne sert pas à vérifier les envois.
Le principe du DKIM est bien de permettre au serveur de réception de récupérer la clé publique (renseignée dans notre zone DNS) pour vérifier la correspondance avec la clé privée ? Dans ce cas ça ne servirait à rien de de publier une clé publique en zone DNS s'il n'y a pas de clé privé à vérifier non ?
Vrai 
Au temps pour moi, évidemment que la clé privée sert à quelque chose…
mais sur mutu, la clé privée n'est pas gérée, c'est pas la peine de chercher :
DKIM est impossible sur les mutu OVH, ce guide est plus là pour ceux disposant d'une machine dédié (type VPS/public cloud/dédié)
https://community.ovhcloud.com/t/41335
Perso, j'ai laissé tomber ça il y a bien longtemps, et j'utilise thunderbird (dans sa dernière version), avec lequel on peut ajouter une clé de chiffrement openPGP, pour chiffrer ses échanges avec les personnes dont on a la clé, mais aussi pour signer numériquement les mails.
C'est beaucoup plus simple, et on arrive au même résultat !
Bonjour,
C'est beaucoup plus simple, et on arrive au même résultat !
chiffrer un mail avec openPGP et avoir un mail signé via DKIM ce n'est pas du tout la même finalité, car même si DKIM est basé sur un principe cryptographique le mail reste interprétable et lisible contrairement à un chiffrement via openPGP.
DKIM sert juste à prouver que le mail est bien sorti de votre serveur et pas de celui d'un usurpateur.
Cordialement, janus57
Tout à fait !
Sauf que l'avantage avec thunderbird et la paire de clés OpenPGP, c'est qu'on peut envoyer un mail signé numériquement et pas chiffré. comme pour DKIM, pour prouver que le mail est bien sorti de votre serveur et pas de celui d'un usurpateur, pour reprendre vos termes.
Forcément, quand les mails sont chiffrés, ils sont signés, mais on peut les signer sans les chiffrer. Et plus besoin de se prendre la tête avec DKIM.
Bonjour,
comme pour DKIM, pour prouver que le mail est bien sorti de votre serveur et pas de celui d'un usurpateur, pour reprendre vos termes.
oui a condition de connaitre votre clé, le but principale de DKIM est de faire ça au niveau des serveur sans action de la part de l'utilisateur et/ou du logiciel mail de l'utilisateur ce qui permet de refuser la mail avant même que l'utilisateur finale le reçoit.
DKIM sert surtout à ce que tout soit transparent pour l'utilisateur et que l'administrateur du serveur puisse de baser sur des standard tel que SPF/DKIM/DMARC pour faire de la "purge" sur ce qu'il reçoit.
OpenPGP viens par dessus tout ça et appose une signature crypto sur le contenu du mail et prouver l'identité de l'émetteur.
D'ailleurs on peut faire la même chose avec des certificats S/MIME émis par des CA et c'est moins compliqué (tout est automatique).
Cordialement, janus57
On parle bien de deux choses très différentes : on peut signer et/ou chiffrer tous les mails du monde, mais si le serveur de messagerie de notre destinataire refuse les messages dont le serveur (et non le client) émetteur n'a pas la panoplie DKIM/DMARC qu'il exige (cf. laposte ou gmail), ceux-ci n'arriveront jamais.
Au mieux ça casse l'intercommunicabilité de l'internet, au pire ça force tout le monde à passer chez un fournisseur unique au sein duquel les protocoles sont forcément respectés en In/Out.
("au mieux" et "au pire" sont à intervertir en fonction de vos opinions sur l'importance d'un internet ouvert et des monopoles des GAFAM 
)
Bonjour,
n'a pas la panoplie DKIM/DMARC qu'il exige (cf. laposte ou gmail)
aucun des deux ne l'exige, j'arrive à envoyer des mails sans DKIM aux deux sans aucun problème (mais pas depuis une IP appartenant à OVH).
Cordialement, janus57
faire ça au niveau des serveur sans action de la part de l'utilisateur et/ou du logiciel mail de l'utilisateur ce qui permet de refuser la mail avant même que l'utilisateur finale le reçoit.
Ok, je comprends la différence.
donc non seulement avec OVH, impossible d'utiliser DKIM depuis un mutu, mais en plus il n'y a pas de solutions alternatives satisfaisantes... Mis à part changer d'hébergeur, c'est ça ?
Je complète avec ce post :
https://community.ovhcloud.com/t/35406 https://community.ovhcloud.com/t/35406
Merci pour vos retours mais du coup, la question que je me pose est : pourquoi le support d'OVH me répond ça ("Après vérifications, je vous précise qu'il faut simplement créer la clé DKIM depuis la zone DNS de notre coté") si en fait on ne peut pas utiliser DKIM avec leur serveur ?
Bonjour,
Merci pour vos retours mais du coup, la question que je me pose est : pourquoi le support d'OVH me répond ça ("Après vérifications, je vous précise qu'il faut simplement créer la clé DKIM depuis la zone DNS de notre coté") si en fait on ne peut pas utiliser DKIM avec leur serveur ?
c'était quoi la question exacte posé au support ?
Car la réponse n'est en soit pas fausse si le serveur mail en question n'a pas été précisé.
Cordialement, janus57
En effet, pensant (peut-être naïvement ^^) qu'à l'ouverture d'un ticket le support répondait en fonction de l'offre qu'on a chez eux, je n'ai pas préciser le plan mail qu'on avait. <br /><br />Voici l'échange complet après avoir réglé la première question du SPF : <br /><br />**Moi** : je souhaiterai également mettre en place une clé DKIM. Cependant, si je comprends bien comment ajouter la clé publique à la zone DNS, où et comment doit-on ajouter la clé privée ? Quelque part via le manager d'OVG ? Via le logiciel Outlook que nous utilisons pour envoyer les mails ?<br /><br />**OVH** : Je tiens à vous informer que nous ne fournissons pas de clé DKIM, par conséquent, je vous invite à vous en procurer une avec vos propres moyens.<br />La DKIM est une norme d'authentification fiable du nom de domaine de l'expéditeur d'un courrier électronique. Elle constitue une protection efficace contre le spam et l'hameçonnage.<br />En effet, DKIM fonctionne par signature cryptographique du corps du message ou d'une partie de celui-ci et d'une partie de ses en-têtes.<br />Une signature DKIM vérifie donc l'authenticité du domaine expéditeur et garantit l'intégrité du message.<br />Pour mettre en place un champ DKIM dans votre zone, voici la démarche à suivre depuis l'espace client :<br />Domaines --> mantagifts.com --> Zone DNS --> Ajouter une entrée --> DKIM --> Renseignez les champs --> Valider.<br />Sinon, vous pouvez essayer l'ajout en mode textuel :<br />Domaines --> mantagifts.com --> Zone DNS --> Modifier en mode textuel.<br /><br />**Moi** : Bonjour,<br />Si j'ai bien compris, pour que la signature DKIM fonctionne, il faut d'un côté renseigner une clé publique dans la zone DNS (ce que vous expliquez dans votre précédent message) mais également injecter la clé privé dans nos mails. Ma question était : comment injecte-t-on la clé privé dans nos mails ?<br /><br />**OVH** : Après vérifications, je vous précise qu'il faut simplement créer la clé DKIM depuis la zone DNS de notre coté .<br />Si vous souhaitez obtenir une aide complémentaire, vous pouvez poster votre demande sur le forum (https://community.ovh.com/), où la communauté pourra vous aider.<br />Vous pouvez aussi demander une prestation d'infogérance auprès de nos partenaires ici :<br /> https://marketplace.ovhcloud.com/
Bonjour, je profite que ce fil est récent et plein de réponses instructives pour ajouter ma question. En effet, je fais face au problème de ne pas avoir de DKIM à cause du fait d'avoir souscrit un MX plan avec hébergement.
Je fais tourner ma boîte sous Zoho, et je me demande si ce problème serait contourné si je basculais la gestion des mails complètement sous Zoho, en gardant OVH comme gestionnaire du nom de domaine. Si je bascule les mails, Zoho me propose de modifier les enregistrements MX indiqués chez OVH (pour mettre ceux de zoho, type mx.zoho.com). N'étant pas assez pointu sur le sujet je ne vois pas bien si cette modification court-circuitera complètement OVH et donc me permettra d'avoir un DKIM fonctionnel, ou si il y aura toujours ce problème de non prise en charge du DKIM.
Bonjour
il y a une question erronée plus haut:
Ma question était : comment injecte-t-on la clé privé dans nos mails ?
Non on ne met pas une clé privée dans les mails. Une clé privée est privée et personne ne peut la voir.
Le seul qui peut voir et utiliser cette clé privée, c'est le serveur mail d'envoi qui génère une signature numérique sur base du message à signer, et de la clé privée.
La clé publique est nécessaire pour pouvoir vérifier que la signature DKIM est correcte, et le contenu du message intact.
Si vous expédiez vos mails avec OVH (p. ex. ssl0.ovh.net) le serveur OVH ne signe pas avec DKIM. C'est aussi simple que ça.
Si vous expédiez vos mails avec Zoho, c'est le serveur mail de Zoho qui signe, c'est probablement Zoho qui a généré la paire de clés, et vous fournit uniquement la clé publique à mettre dans votre zone DNS et le "sélecteur" à utiliser.
Ce qui donne un enregistrement sélecteur.\_domainkey.domaine.com. de type TXT à insérer dans votre zone.
OK donc dans mon cas Zoho, ça veut bien dire qu'il n'y a pas d'ingérence d'OVH dans l'envoi des mails, et donc le DKIM sera bien supporté (vu que Zoho le propose). Je ne savais pas trop si le fait que les DNS soient gérés par OVH (même pour indiquer qu'on passe par les serveurs de mails de Zoho) aurait un impact, j'en comprends que non. Merci pour ces précisions
et donc le DKIM sera bien supporté
oui, tout-à-fait.
Il peut y avoir une toute petite difficulté technique pour introduire votre clé DKIM dans la zone DNS, ce champ étant particulièrement long.
N'hésitez pas à modifier votre zone DNS en mode texte, et n'ayez pas de crainte si la clé DKIM est scindée en plusieurs chaînes de caractères.
exemple:
"v=DKIM1; h=sha256; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDmkYnFeokiG3T5P8eP2yk5sLhP9foVJIKYUjXn6hUpumS6To0N167XmiEsd6ia4hflL/I7AhJPDSkc9u8LkBB7bWzOxcB+v0S+4LrrFJSaDGnJeBvyfjM/qcS2lAMCo0wR+Lrt2VcLPIFz7Wd/KaU5CevBH+W86zt1zODx1ZhwJQIDAQAB"
est équivalent à
"v=DKIM1; h=sha256; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GN" "ADCBiQKBgQDmkYnFeokiG3T5P8eP2" "yk5sLhP9foVJIKYUjXn6hUpumS6To0N" "167XmiEsd6ia4hflL/I7AhJPDSkc9u8LkB" "B7bWzOxcB+v0S+4LrrFJSaDGnJeBvy" "fjM/qcS2lAMCo0wR+Lrt2VcLPIFz7" "Wd/KaU5CevBH+W86zt1zODx1ZhwJQIDAQAB"
Bonjour à Tous et merci Fritz2cat et janus57 pour vos réponses.
Pour synthétiser les échanges précédents, je crois avoir compris que:
1- les emails envoyés à partir d'OVH ont tendance à atterrir dans les Spams des destinataires
2- cette tendance semble être le fait de l'absence de DKIM dans les mails envoyés via OVH
3- OVH ne gère pas la mise en place de DKIM
4- OVH n'apporte pas de réponse à la tendance
5- faire héberger l'email lié au domaine chez un autre prestataire comme microsoft résout le problème.
Mes questions:
A- Ai-je bien compris?
B- Savez-vous combien Microsoft facture cet hébergement si on n'a pas de prestation chez eux en cours et que l'on vient exclusivement pour résoudre ce point?
C- Que suggérez-vous pour une personne qui n'a à ce jour qu'un hébergement de domaine et d'email chez OVH?
Merci pour vos éclairages et très bonne journée à vous. Cordialement X
Bonjour,
2- cette tendance semble être le fait de l'absence de DKIM dans les mails envoyés via OVH
pas forcément, c'est plus lié au fait que OVH a un mauvais passif avec les SPAMS (et encore maintenant).
B- Savez-vous combien Microsoft facture cet hébergement si on n'a pas de prestation chez eux en cours et que l'on vient exclusivement pour résoudre ce point?
le prix d'une licence marqué sur leur site, de mémoire on est à 4-5€/mois par utilisateurs (pour 50Go de stockage mail)
Cordialement, janus57
Merci janus57 et très bonne journée à vous.
Cordialement
Xavier