Bonjour,
Je cherche à configurer le champ DKIM mais la doc OVH est particulièrement succincte sur le sujet :
https://docs.ovh.com/fr/dedicated/optimiser-envoi-emails/
Le sujet a déjà été abordé mais n'a pas été résolu apparemment (et je ne comprends pas que le support n'ait pas actualisé la doc avec copies d'écran et explications !) :
https://community.ovhcloud.com/t/41335
Bref, si qqn sait comment faire et peut expliquer en détails, je l'en remercie d'avance.
expliquer en détails
Je ne vais pas remplacer un tuto.
1) tu dois choisir un séléctor , par exemple abcd
2) tu dois créer des clés DKIM et la clé publique sera insérée dans la zone DNS sous un enregistrement TXT tel que celui-ci:
abcd._domainkey.example.net. 900 IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDERLaO4bVAllcPN3OKVS+9nksaXi+yfbVVtITWVACEIT0wZK5vkFz5dlMvV7VqSJERTYUI11cyTFklpPZ5OsFE7dzMdwF1pFNdjnGxkVSZk742kYpk4u0OveQIaPoTzgdoeKYD675Zc4K53qnqOJeEfr23hCsqOHuTSxq+lsIQQT4wIDAQAB"
3) chaque mail sortant doit être signé au moyen de la clé privée correspondante puis injecté dans un serveur smtp/submission qui voudra bien transporter ton mail.
(OVH ne fournit pas ce processus d'insertion de signature DKIM. OVH ne connaît pas ta clé privée)
4) si tu devais utiliser le processus d'injection de mail php mail() des hébergements web OVH, attention, OVH change l'adresse d'expéditeur du message et ceci peut invalider la signature DKIM.
5) N'imagine pas utiliser DMARC avec seulement SPF. Il faut aussi DKIM sinon la moindre redirection de mail casse SPF et donc DMARC.
Merci Fritz2cat pour ta réponse.
Mais alors mais alors mais alors… si j'indique à Enigmail (module pour Thunderbird) "Signer le courriel" (sans le chiffrer), est-ce que cela peut remplacer ou est-ce que cela "correspond" à un champ DKIM ?
Si DKIM est encore une autre méthode, alors j'essaierai de suivre tes indications.
Enigmail
Rien à voir.
Enigmail est basé sur GPG (successeur de PGP) et est destiné à authentifier un e-mail entre l'expéditeur et le destinataire (signature) et/ou chiffrer un mail que seul.s le.s destinataire.s peuvent ouvrir.
Il existe aussi S/MIME avec des certificats X.509, ceci fait un peu la même chose mais au moyen de certificats payants émis par une autorité de certification (ou bien auto-signés)
Le mécanisme DKIM, DomainKeys est un mécanisme d'authentification entre serveurs et non entre individus.
Le serveur qui reçoit un mail signé DKIM peut s'il le désire vérifier si le mail en cours de transmission provient bien du domaine qui prétend émettre ce mail. La clé privée est connue du gestionnaire du domaine expéditeur (et non de ses utilisateurs) et la clé publique est publiée dans DNS.
Ainsi lorsque ton serveur reçoit un mail from service|at|paypal|point|com mais qu'il ne contient pas de signature DKIM valable, c'est d'office suspect.
OK ! Merci pour ces explications.
salut, j'essaie de comprendre aussi de mon coté,
si je comprends bien meme si je crée le champ DKIM dans ma zone DNS le webmail OVH ne signera pas mes emails ?? du coup ça sert à quoi ?
le webmail OVH ne signera pas mes emails
Exact
ça sert à quoi ?
à rien sur le mutu OVH.
Désolé pour ces réponses laconiques.
ah ben au moins c'est clair 
et pour clore le sujet, si je branche mon compte gmail sur le SMTP / POP de OVH pour envoyer mes emails depuis mon gmail, pas moyen non plus de signer les messages ?
si la réponse est non,
avec quoi on signe les messages à partir du champ DKIM ??
avec quoi on signe les messages à partir du champ DKIM ??
C'est le serveur mail sortant qui signe.
Quand tu fais du "pur Gmail" alors c'est Gmail qui signe les mails sortants au moyen d'une clé privée que Gmail connaît, et la clé publique correspondante est publiée dans le DNS de Gmail, comme indiqué ci-dessous.
> ~# dig 20161025._domainkey.gmail.com txt
>
20161025._domainkey.gmail.com. 300 IN TXT "k=rsa; p=MIIBIjANBgkqhkiG9w0BAQ EFAAOCAQ8AMIIBCgKCAQEAviPGBk4ZB64UfSqWyAicdR7lodhytae+EYRQVtKDhM+1mXjEqRtP/pDT3s BhazkmA48n2k5NJUyMEoO8nc2r6sUA+/Dom5jRBZp6qDKJOwjJ5R/OpHamlRG+YRJQqR" "tqEgSiJWG 7h7efGYWmh4URhFM9k9+rmG/CwCgwx7Et+c8OMlngaLl04/bPmfpjdEyLWyNimk761CX6KymzYiRDNz1 MOJOJ7OzFaS4PFbVLn0m5mf0HVNtBpPwWuCNvaFVflUYxEyblbB6h/oWOPGbzoSgtRA47SHV53SwZjIs Vpbq4LxUW9IxAEwYzGcSgZ4n5Q8X8TndowsDUzoccPFGhdwIDAQAB"
Quand tu emploies le SMTP d'OVH à partir de Gmail, c'est une commodité offerte par Gmail, et c'est normal que Google n'endosse pas la responsabilité de signer car
1) il ne connaît pas la clé privée de ton domaine
2) ce n'est pas lui qui envoie ton mail, mais bien OVH.
Cherche sur Google: "transactional email service" et forge-toi ton opinion. OVH n'est pas du tout dans ce marché-là.
merci pour ton temps.
j'esperais mettre ça en place pour que mes messages n'arrivent pas dans les spams des destinataires…
c'est le seul probleme remonté par mail-tester
du coté du support ovh ils viennent de m'envoyer la procédure pour mettre une signature html en bas de mes emails. on est pas arrivé…
procédure pour mettre une signature html
LOL no comment 😢😢😢
Il y a ici assurément plus d'info que n'en fourni OVH :
https://app.mailjet.com/docs/spf-dkim-guide
https://www.acyba.com/acymailing/156-acymailing-dkim.html#ovh
(peut-être que ça leur donnera des idées…)
Bonjour @Fritz2cat , j'ai besoin de tes lumières STP.
- Si je laisse TTL par défaut, OVH met 0 (en tous les cas, c'est ce qui apparaît sur leur interface). Si je choisis personnalisé, je trouve 60 par défaut > Que préconises-tu ?
- Concernant la valeur, faut-il laisser les " dans le champ. Exemple : "v=DKIM1;t=s;p=MIGfMA…"
- Concernant la valeur toujours, je n'ai pas vu k=rsa dans la valeur de clef générée contrairement à l'exemple que tu donnes mais simplement "v=DKIM1;t=s;p=MIGfMA…" > Faut-il rajouter k=rsa de façon à avoir "k=rsa;v=DKIM1;t=s;p=MIGfMA…"
- est-il utile de laisser t=s ?
En te remerciant.
ps : j'ai essayé de passer par le support mais autant parler à un âne : aucune explication mais ils sont très forts pour renvoyer vers des guides qui n'existent pas… (cf. le début de ce thread). Bref.
> OVH met 0
cela veut dire TTL par défaut, sur les zone DNS assez récentes = 3600s
pour un DKIM qui n'a pas de raison de changer souvent, ça me paraît une bonne valeur
60 est particulièrement bas sans raison
(Fritz2cat infirmera à son retour si besoin)
> faut-il laisser les "
c'est ajouté automatiquement dans une entrée TXT et si tu les mets, Ovh ne les remettra pas en double
c'est l'entrée google qui est citée, moi j'ai aussi "v=DKIM1; t=s; p=MIGf…"
Merci bien pour cette réponse ! Bonne journée.
Bonjour,
Dans la configuration d'OVH, est-il possible de spécifier des clés DKIM de 2048 bits?
Si oui, comment procédez-vous ? Les clés que j'utilise sont tronquées.
Il y a ici assurément plus d'info que n'en fourni OVH :
Si ça t'intéresse https://community.ovhcloud.com/t/33766
ma clé privée quelque part dans le webmail OVH
hélas non.
Ce sont les serveurs de mail de transit qui signent le mail.
Une fois que le mail est signé, il peut transiter par d'autres serveurs en aval, et la signature reste valable (si le message n'est pas altéré bien sûr)
Donc le scénario suivant serait valable: tu mets un serveur chez toi (Raspberry Pi pourrait suffire) qui ne sert que pour faire transiter tes mails sortants.
Tu rédiges tes mails avec Thunderbird (pas avec le webmail OVH) , ces mails sortent via ton serveur qui signe les mails, et puis les envoie via le smart host/relay server ssl0.ovh.net.
La signature pourrait se faire avec Postfix et OpenDKIM .
Ou bien essaie un panel communautaire comme Yunohost.
Je loupe quelque chose ?
En fait c'est le contraire. Si tu emploies un webmail (OVH/Gmail/Outlook) tu n'as pas le contrôle sur le flux sortant
Tu crées un mail avec Thunderbird, ton serveur SMTP étant ton Rpi/Yuno/...
RPi OpenDKIM ajoute la signature DKIM
RPi Postfix l'envoie à OVH:ssl0.ovh.net pour l'expédier
Mais j'en conviens, ce serait moins lourd d'héberger tes mails ailleurs si DKIM est un must.
Très bien, merci pour le feedback ! Je vais creuser pour changer d'hébergeur.
Etant donné l'absence de support, l'absence de réponse à cette question, l'absence de plannings d'améliorations, c'est malheureusement le seul conseil qu'on puisse donner :-(