Configuration de la signature DKIM pour les messages acheminés vers des domaines Internet externes

Domino peut utiliser lDKIM (Domain Keys Identified Mail) pour signer les messages envoyés par des utilisateurs internes vers des domaines Internet externes.

Lorsqu'un agent MTA SMTP externe reçoit un message signé DKIM, il utilise la signature DKIM pour vérifier que le contenu et les en-têtes spécifiques du message n'ont pas été modifiés depuis la signature DKIM. La signature DKIM prend la forme d'un en-tête DKIM-Signature que le routeur Domino ajoute au message lors d'un saut SMTP. L'en-tête DKIM-Signature contient des informations que l'élément MTA externe peut utiliser pour vérifier le contenu du message à l'aide des données de signature et d'une clé publique acquise via DNS. Pour plus d'informations sur la signature DKIM, voir RFC6376.

Pour signer des messages à l'aide de DKIM, Domino utilise des paires de clés que vous créez à l'aide de la commande keymgmt. La commande crée un document dans un magasin de données d'identification qui inclut un domaine Internet et des éléments de sélecteur. Ces éléments permettent au routeur Domino de trouver la clé privée correcte à utiliser pour générer la signature DKIM.

Pour utiliser DKIM afin de signer les messages acheminés vers Internet, configurez DKIM sur les serveurs Domino à la périphérie de votre environnement Domino qui utilisent SMTP pour transférer le courrier vers l'Internet.

Les conditions requises pour la signature DKIM sont les suivantes :
  • Serveur SMTP Domino 12.0.1 sous Linux 64 ou Windows 64.
  • Un magasin de données d'identification pour stocker les clés DKIM sur chaque SMTP Domino qui utilise la signature DKIM. Pour obtenir des informations sur la création d'un magasin de données d'identification si vous n'en utilisez pas déjà un, reportez-vous à Utilisation d'un magasin de données d'identification pour stocker des données d'identification.
  • Un enregistrement TXT DNS pour chaque domaine Internet interne à activer pour DKIM. Vous utilisez une commande keymgmt pour créer cet enregistrement TXT DNS à l'aide d'une clé du magasin de données d'identification, comme décrit dans cette procédure. Votre fournisseur DNS peut fournir des instructions pour ajouter cet enregistrement à vos paramètres de domaine DNS.
Les étapes de configuration de la signature DKIM sont les suivantes :
  1. Créez des clés de signature DKIM dans le magasin de données d'identification.
  2. Créez un enregistrement TXT DNS contenant la clé et ajoutez-le à vos paramètres de domaine DNS.
  3. Spécifiez la ou les clés à utiliser pour la signature DKIM (via notes.ini) sur le serveur.
  4. Activez la signature DKIM (via notes.ini) sur le serveur.

Créer des clés de signature DKIM

Créez une ou plusieurs paires de clés dans un magasin de données d'identification à utiliser pour la signature DKIM. Pour créer une paire de clés de signature DKIM dans un document du magasin de données d'identification, exécutez la commande suivante à partir de la console d'un serveur Domino qui possède le magasin de données d'identification :
keymgmt create DKIM <domain> <selector> RSA [<keySize>]
où :
  • <domain> est le nom du domaine Internet Domino, par exemple, renovations.com ou sales.renovations.com.
  • <selector> est le nom de votre choix pour le sélecteur DKIM. Le sélecteur est spécifié dans l'en-tête DKIM-Signature et indique où la partie clé publique de la paire de clés DKIM existe dans le DNS.
  • <keySize> est la taille spécifiée pour la clé DKIM. La taille peut être 1 024, 2 048 ou 4 096.
Par exemple : 
keymgmt create DKIM renovations.com 12345 RSA 2048
Un message de console similaire au suivant indique que la commande a abouti :
 > keymgmt create DKIM renovations.com 12345 RSA 2048 [4F24:0007-2F28] Created DKIM key 12345._domainkey.renovations.com
Remarque : Une clé DKIM est activée en spécifiant le domaine et le sélecteur dans un paramètre notes.ini du serveur. Le maximum autorisé pour les paramètres du fichier notes.ini est de 255 caractères, ce qui impose une limite pratique à la taille des domaines et des sélecteurs.

Créer un enregistrement TXT DNS dans un fichier .txt

Après avoir créé des clés de signature DKIM dans le magasin de données d'identification, exécutez la commande suivante pour créer un fichier .txt dans le répertoire de données Domino qui contient l'enregistrement TXT DNS avec la clé :
keymgmt export DKIM DNS <domain> <selector> <dkimdnsfile>
où :
  • <domain> est le nom du domaine Internet Domino que vous avez spécifié pour la clé.
  • <selector> est le sélecteur DKIM que vous avez spécifié pour la clé.
  • <dkimdnsfile> est le nom du fichier. txt à créer dans le répertoire de travail Domino qui contient l'enregistrement TXT DNS.
Par exemple : 
keymgmt export DKIM DNS renovations.com 12345 dkimdns.txt

Cette commande crée le fichier dkimdns.txt et ajoute le contenu d'un enregistrement TXT DNS pour 12345._domainkey.renovations.com. Utilisez les informations de ce fichier pour ajouter l'enregistrement TXT à vos paramètres de domaine DNS.

Spécifier les clés à utiliser pour la signature DKIM

Une fois que vous avez ajouté un enregistrement TXT DNS pour les clés à utiliser pour la signature DKIM dans vos paramètres de domaine DNS, utilisez le paramètre notes.ini DKIM_KEY d'un serveur SMTP Domino pour ma mapper un domaine à une clé à utiliser pour la signature DNK. Le tableau suivant décrit différentes options pour ce paramètre. Si le routeur est en cours d'exécution, redémarrez-le pour que les modifications soient prises en compte.
Exemple de paramètre Description Exemple
DKIM_KEY_<domain>=<selector> Lorsque les utilisateurs envoient des messages à partir du domaine spécifié ou de l'un de ses sous-domaines, le serveur signe les messages avec la clé correspondant au sélecteur spécifié. DKIM_KEY_renovations.com=09262021
DKIM_KEY_<subdomain>=<selector> Lorsque les utilisateurs envoient des messages à partir du sous-domaine spécifié, le serveur signe les messages avec la clé correspondant au sélecteur spécifié. DKIM_KEY_sales.renovations.com=sales4321
DKIM_KEY_<domain>=<selector>,<selector> Lorsque les utilisateurs envoient des messages à partir du domaine spécifié, le serveur signe les messages avec les deux clés spécifiées par deux sélecteurs.
Ce scénario est utile pour :
  • Permettre la signature à la fois par les anciennes et les nouvelles clés lors de la transition du renouvellement des clés pendant qu'une nouvelle clé se propage vers DNS.
  • Utilisation de plusieurs algorithmes de signature.
 DKIM_KEY_renovations.com=09262021,10042021
DKIM_KEY_<aliasdomain>=<domain>;<selector> Lorsque les utilisateurs envoient des messages à partir d'un domaine alias (un domaine qui n'est pas le domaine principal), les messages sont signés avec la clé correspondant au sélecteur du domaine principal. DKIM_KEY_aliasrenovations.com=renovations.com;09262021

Activer la signature DKIM

Après avoir configuré les paramètres DKIM_KEY pour mapper un domaine à une clé, spécifiez le paramètre supplémentaire suivant pour activer la signature DKIM. Vous pouvez activer ou désactiver la signature DKIM pendant que le routeur est en cours d'exécution et aucun redémarrage du routeur n'est nécessaire. 
RouterDKIMSigning=<value>
<value> est l'une des valeurs suivantes :
  • 1 Cette option fait un effort pour signer un message si une clé de signature est spécifiée pour le domaine des expéditeurs. Si une erreur de signature se produit, une erreur est consignée mais le message est livré sans signature.
  • 2 Cette option applique la signature DKIM. Si une clé de signature est spécifiée pour le domaine des expéditeurs et qu'une erreur de signature se produit, l'erreur est consignée et le message n'est pas envoyé. L'utilisateur expéditeur reçoit un rapport de non-distribution.