Portail / Mise en place d'un système de messagerie sous Debian 11 (serveur avec accès direct à internet)(Sommaire)

Mise en place des mécanismes de sécurité SPF, DKIM et DMARC.

Mise à jour du 17/12/2021.

Des mécanismes de protection ont été mis en place pour lutter à la fois contre les pourriels et l'usage abusif de la messagerie par un tiers non autorisé. Pour ne pas influer sur les standards établis de longue date par l'IETF en matière de messagerie, ces mécanismes ont leur origine dans le DNS du domaine de chaque serveur de messagerie. Notez que la confiance à leur accorder est la même que celle que vous pouvez accorder à ces DNS. Or nous savons aujourd'hui que les DNS qui constituent une arborescence ouverte sont le talon d'Achille de la plupart des attaques. Si on ne peut pas toujours empecher ces courriels frauduleux, il est quasiment toujours possible, avec un minimum de compétence, de s'assurer de la fiabilité de leurs origines.

Mise en place de SPF.

SPF pour Sender Policy Framework permet au serveur de messagerie destinataire de vérifier, lors de la livraison du courrier, qu'un courrier prétendant provenir d'un domaine spécifique est soumis par une adresse IP autorisée par les administrateurs de ce domaine. Ce mécanisme a été mis au point pour lutter contre le spoofing (usurpation de provenance).

SPF est un enregistrement dans un DNS du domaine principal de type TXT. il est de la forme :

v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.123 a -all

La première partie (spf1) est la version de SPF. La seconde partie et la liste des adresses des MTA (serveurs de messagerie) autorisés pour ce domaine. La troisième partie peut prendre plusieurs formes  :

a
a/<prefix-length>
a:<domain>
a:<domain>/<prefix-length>

a seul signifie que tous les enregistrements DNS de type Adoivent être parcourus pour ce domaine. Si la connexion a lieu sur IPv6, A devient AAAA. Les autres formes permettent d'autoriser les machines pour les sous-domaines qui suivent le double point.

La quatrième partie peut prendre 3 formes mais nous n'en considérerons que deux : -all et ~all. La forme -all signifie échec brutal. Cela indique que les serveurs qui ne sont pas répertoriés dans l'enregistrement SPF ne sont pas reconnus ou autorisés à envoyer des e-mails pour le domaine, le message doit donc être rejeté par le serveur de réception. ~all est plus permissif. Fondamentalement, cela signifie que le serveur n'est pas répertorié dans l'enregistrement SPF, mais il ne devrait pas être rejeté catégoriquement par le serveur de réception. Au lieu de cela, le message sera marqué comme spam possible.

Mise en place de DKIM.

DKIM ou DomainKeys Identified Mail est encore connue sous le nom de "signature de courriels". Tout comme un enregistrement SPF, DKIM repose sur un enregistrement TXT qui est ajouté au DNS d'un domaine. Si SPF peut être considéré comme l'adresse de l'expéditeur sur un courrier, DKIM peut être vu comme une lettre expédiée en recommandé car ce mécanisme renforce la confiance du transport entre le serveur qui envoi et celui qui reçoit. En effet, le but de DKIM est de prouver que le contenu d'un courriel n'a pas été falsifié, que les en-têtes du message n'ont pas changé (par exemple, en ajoutant une nouvelle adresse from) et que l'expéditeur du courriel appartient au domaine auquel est attaché l'enregistrement DKIM ou, à minima, est autorisé par le propriétaire du domaine à envoyer des courriels en son nom.

DKIM utilise un algorithme de chiffrement pour créer une paire de clefs électroniques (publique et privée) qui gère cette « confiance ». La clé privée reste sur le serveur de messagerie sur lequel elle a été créée. La clé publique est ce qui est placé dans l'enregistrement DNS TXT. Dans cet enregistrement, il y a quelques valeurs indispensables :

• v -- C'est la version DKIM utilisée.
• h -- C'est l'algorithme de hash-code utilisé sur le courriel et ses en-têtes avant chiffrement.
• k -- C'est l'algorithme chiffrement utilisé sur le hash-code du courriel.
• s -- C'est le sélecteur qui est chargé d'indiquer le « nom » d'enregistrement utilisé avec le domaine pour localiser la clef publique dans DNS.
• d -- Ceci indique le domaine utilisé par l'expéditeur et qui est utilisé avec l'enregistrement du sélecteur pour aider à localiser la clé publique.
• p -- Il s'agit de la clé publique réelle qui est stockée dans l'enregistrement du DNS. Par conséquent, cela ressemblera à un ensemble aléatoire de lettres majuscules et minuscules, de chiffres et de quelques signes de ponctuation.

Comme tout algorithme de chiffrement (asymétrique comme symétrique), le destinataire peut utiliser la clef publique pour déchiffrer le hash-code du courriel (la fameuse "signature" DKIM dans une des en-têtes du courriel) et recalculer ce dernier à partir du message reçu. Si les deux hash-codes correspondent alors le courriel est réputé "de confiance" sinon le courriel est compromis.

Mise en place de DMARC.

DMARC est l'acronyme de Domain-based Message Authentication, Reporting and Conformance. Il s'agit d'un protocole d'authentification, de politique et de rapport de courrier électronique qui est en fait construit autour de SPF et de DKIM. Il a trois objectifs fondamentaux :

1. il vérifie que les messages électroniques d'un expéditeur sont protégés à la fois par SPF et DKIM ;
2. il indique au serveur de messagerie destinataire ce qu'il doit faire si aucune des méthodes d'authentification n'aboutit ;
3. il fournit un moyen pour le serveur de réception de signaler à l'expéditeur les messages qui réussissent ou échouent l'évaluation DMARC.

Quel que soit l'outil que vous utilisez, un enregistrement DMARC utilise un certain nombre de « propriétés ». Il n'y a vraiment que 2 propriétés réellement requises : v et p. D'autres propriétés sont purement facultatives et les experts DMARC ne sont pas d'accord sur les propriétés facultatives recommandées et celles qui ne le sont pas. Examinons d'abord les propriétés requises :

• v -- Il s'agit de la propriété de version, comme avec SPF. Il DOIT être « DMARC1 » ET être la première propriété répertoriée dans l'enregistrement DMARC.
• p -- Il s'agit de la propriété de stratégie. Elle indique au serveur destinataire quelle politique appliquer à un message qui échoue à DMARC : none (ne rien faire du message), quarantine pour mettre en quarantaine le message ou encore reject pour rejeter le message.
• pct -- Il s'agit du pourcentage de messages suspects auxquels la politique DMARC s'applique. Bien sûr, la valeur par défaut est 100, mais elle peut être définie comme vous le souhaitez.
• rua=mailto:address@company.com -- Cette propriété indique aux serveurs de réception où envoyer les rapports agrégés. Ces rapports offrent une visibilité sur la santé du serveur d'envoi en aidant à identifier les problèmes d'authentification potentiels ou les activités malveillantes. Ces rapports sont envoyés quotidiennement, donc, idéalement, si vous souhaitez que des rapports soient envoyés, ils le seront à une adresse courriel configurée spécifiquement POUR ces rapports et non à un compte administrateur de domaine, un compte utilisateur ou tout autre compte qui reçoit normalement des courriel pour tout utilisateur final.
• fo -- Cette balise permet aux serveurs de réception de savoir que des échantillons de messages qui échouent le test SPF ou DKIM doivent être renvoyés à l'expéditeur. Il existe quatre options de valeur pour cette balise :
  • 0 génère un rapport d'échec DMARC si SPF et DKIM ne parviennent pas à produire un résultat Pass. Ceci est l'option par défaut.
  • 1 génère un rapport d'échec DMARC si SPF et DKIM produisent autre chose qu'un résultat Pass. C'est l'option recommandée.
  • d génère un rapport d'échec DKIM si le message avait une signature DKIM qui a échoué à l'évaluation quelle qu'en soit la raison.
  • s génère un rapport d'échec SPF si le message a échoué à l'évaluation SPF quelle qu'en soit la raison.

Voici à qui ressemble un enregistrement DMARC :

v=DMARC1 ; p=none ; rua=mailto:dmarc@mondomaine.com ; fo=1

Implémentation sur notre système de messagerie.

Comme on l'aura compris, SPF et DMARC sont de simples enregistrements dans le DNS du domaine. Il s'agit donc d'une fonction d'administration basique. Il n'est est pas de même pour DKIM qui suppose la production d'un bi-clef et la mise en place d'un code de chiffrement/déchiffrement. Fort heureusement, la plate-forme va nous fournir les outils nécessaires. La commande suivante les installe :

apt install opendkim opendkim-tools

Sauvegardez les fichiers /etc/opendkim.conf et /etc/default/opendkim en en faisant une copie sur les mêmes répertoires pourvues de l'extension .bak. Suivez alors la procédure :

• Ouvrez le fichier /etc/opendkim.conf ;

• [Commentez ce qui devrait être la ligne 37] #Socket   local:/run/opendkim/opendkim.sock

  puis ajoutez à la fin du fichier :

  Domain   piapp.fr
  KeyFile  /etc/opendkim/dkim.key
  Selector dkim
  Socket   inet:12301@localhost

• Ouvrez le fichier /etc/default/opendkim ;

• [Commentez ce qui devrait être la ligne 20] #SOCKET=local:$RUNDIR/opendkim.sock

  Ajoutez en fin de fichier :

  SOCKET=inet:12301@localhost

• Ouvrez le fichier /etc/postfix/main.cf ;
• Ajoutez les lignes qui suivent :

  # Entrées DKIM
  milter_protocol = 2
  milter_default_action = accept
  smtpd_milters = inet:localhost:12301
  non_smtpd_milters = inet:localhost:12301

• Il faut maintenant créer le bi-clef, activer le "service" DKIM et relancer les services. Pour cela, avec les droits root lancez les commandes :

  mkdir /etc/opendkim
  cd /etc/opendkim
  opendkim-genkey -t -s dkim -d piapp.fr
  cp dkim.private dkim.key
  chmod 660 ./*
  chmod 770 /etc/opendkim
  chown -R root:opendkim /etc/opendkim
  systemctl enable opendkim
  systemctl restart opendkim
  systemctl restart postfix

• Ouvrez le fichier /etc/opendkim/dkim.txt pour y récupérer l'enregistrement DKIM du DNS du domaine principal de la messagerie.