Bonjour,
Suite à une usurpation d'identité et à un audit, on me conseille de configurer DMARC sur mon domaine (SPF et DKIM déjà configurés).
Je connaissais vaguement l'existence de DMARC mais j'en étais resté à un post d'il y a quelques années disant qu'OVH ne supportait pas DMARC.
Je suis à la recherche d'infos sur le sujet. J'ai *ooglé la chose mais les résultats sont maigres.
Je me tourne donc vers vous !
Je pense que pour la config c'est assez simple :
à condition que DKIM et SPM sont correctement configurés, ajouter cette ligne en champ TXT avec none/reject selon l'effet désiré :
_dmarc.mondomaine.com. 0 TXT "v=DMARC1;p=none;pct=100;rua=mailto:postmaster@mondomaine.com"
Mes questions sont les suivantes :
1/ Est-ce que OVH gère DMARC et depuis quand? Avec quels plans?
2/ Est-ce que les rapports sont générés par OVH ou bien faut faut-il souscrire à un abonnement tiers de type dmarcly.com? Je voudrais mieux comprendre l'architecture DMARC
3/ Autrement dit est-ce qu'en plus de rajouter le champ TXT, il faut faire autre chose?
4/ Enfin concrètement, est-ce que mon champ TXT est correct? Quel est le TTL optimal?
5/ Avez-vous d'autres conseils à me donner?
Merci !
1/ Est-ce que OVH gère DMARC et depuis quand? Avec quels plans?
OVH ne doit rien faire pour cela.
DMARC s'appuie sur SPF et DKIM et un enregistrement DNS supplémentaire.
A l'entrée, OVH teste la validité de SPF et DKIM. J'imagine aussi DMARC. Je n'ai pas testé OVH avec un message falsifié et p=reject pour voir si OVH allait le rejeter.
2/ Est-ce que les rapports sont générés par OVH ou bien faut faut-il souscrire à un abonnement tiers de type dmarcly.com? Je voudrais mieux comprendre l'architecture DMARC
non les rapports sont envoyés par les systèmes e-mail en réception qui ont dû vérifier votre DMARC. Ceci contient des pièces jointes en XML à peine compréhensibles sans logiciel adapté, mais ne pas les lire ne va pas changer la face du monde... Envisager de créer une adresse rien que dans ce but (et ne pas encombrer postmaster)
3/ Autrement dit est-ce qu'en plus de rajouter le champ TXT, il faut faire autre chose?
non. Suurez vous que DKIM est opérationnel car SPF+DMARC sans DKIM c'est super risqué. Voyez les en-têtes des messages reçus et utilisez des services de test de validité DKIM.
4/ Enfin concrètement, est-ce que mon champ TXT est correct? Quel est le TTL optimal?
Comme vous voulez.
3600 est un bon compromis.
5/ Avez-vous d'autres conseils à me donner?
Je vous que vous avez bien compris.
Comment apposez vous la signature DKIM ? Avec un dédié ou des librairies PHP ?
> Comment apposez vous la signature DKIM ? Avec un dédié ou des librairies PHP ?
J'utilise un smtp externe chez mailjet et j'ai reporté le SPF et DKIM sur ma zone DNS comme indiqué dans la doc de leur côté. J'imagine donc que la signature est apposée de leur côté ?
J'utilise un smtp externe chez mailjet
ok
je suppose que votre SPF est correct pour inclure mailjet et OVH le cas échéant.
OVH n'aujoute pas de DKIM (sauf sur Exchange via configuration à faire) donc votre DMARC est dangereux pour les mails sortant d'OVH.
Merci beaucoup c'est très intéressant! Il y a quelque chose à faire pour qu'OVH ajoute un DKIM sur les mail sortants via son serveur?
Puisqu'on y est, pourriez-vous m'en dire plus sur la manière de configurer le DKIM+DMARC si je souhaite utiliser un mix de boites mails / serveurs smtp avec ces 3 scénarios combinés :
- adresse exchange
- email ovh mutualisé
- smtp mailchimp dkim (vu au dessus)
Il faut un DKIM par canal?
Tant qu'à faire ça pourra m'être utile à l'avenir pour mes autres domaines !
Merci !
Il faut un DKIM par canal?
Il faut un SPF par infrastructure de sortie.
Dans votre cas: OVH et Mailchimp.
Vous pourriez faire les mailings mailchimp depuis un autre domaine ou un sous-domaine du vôtre, par exemple @mail.votredomaine.fr
Comme ça les retours en erreurs peuvent être traités par mailchimp.
DKIM oui un dkim par canal. La raison, c'est que c'est le serveur qui appose la signature, et ici vous avez 3 serveurs différents.
Pour signer il faut une clé privée à ne pas dévoiler, et chacun de ces serveurs gardera jalousement sa clé privée, à moins que vous ne soyez l'heureux propriétaire des trois !
Exchange: ce n'est pas en deux clics, mais c'est faisable via l'API OVH. Ca veut dire découvrir encore un truc insoupçonné chez OVH.
Mutualisé: pas de DKIM disponible.
J'ai lu récemment que PHPMailer peut le faire (https://github.com/PHPMailer/PHPMailer/blob/master/examples/DKIM_sign.phps#L23-L38)
Je vais essayer quelque chose, et si j'y arrive je vais publier un petit article.
Pas pour tout de suite.
Merci encore pour toutes les infos 
C'est de plus en plus clair !
Par contre, quand vous dites d'utiliser PHPMAILER sur le mutu, c'est pour l'envoi d'emails transationnels j'imagine ou bien vous voulez dire en local sur un VPS?
Est-ce que la signature ne doit pas obligatoirement être apposée à l'aide de la clef privée générée par le serveur smtp et non pas côté "client" / "serveur du client"?
J'ai l'impression qu'avec un mutu ovh c'est impossible. Je vais donc pour le moment essayer de voir comment ça se passe en combinant les boites pop/imap du mutu pour la réception et smtp externe compatible DKIM+SPF (mailjet dans mon cas) et si c'est convaincant généraliser la pratique lorsque cela est nécessaire.
Enfin dernière question :
Exchange: ce n'est pas en deux clics, mais c'est faisable via l'API OVH. Ca veut dire découvrir encore un truc insoupçonné chez OVH.
Existe-t-il une documentation quelque part sur ces 1024 clics nécessaires?
Enfin, j'ai vu vos commentaires sur d'autres posts, dont celui-ci qui a été fort instructif pour moi également, je le mets pour boucler la boucle si d'autres personnes cherchent de l'info et arrivent par ici :
https://community.ovhcloud.com/t/19719
MERCI !
Existe-t-il une documentation quelque part sur ces 1024 clics nécessaires? ;)
Voici:
https://community.ovhcloud.com/t/11747