Configuration du serveur SMTP Domino pour réduire le spam

Les serveurs Domino qui reçoivent des messages SMTP directement depuis Internet peuvent être configurés pour utiliser le protocole SPF afin d'évaluer si le serveur expéditeur est autorisé.

Remarque : Cette fonctionnalité est prise en charge sous Windows et Linux.

Sender Policy Framework , ou SPF, est un protocole standardisé destiné à réduire l'usurpation d'e-mails. Il permet à un serveur SMTP recevant un message d'un autre serveur SMTP d'authentifier, via l'adresse IP, le serveur expéditeur en tant qu'expéditeur autorisé de messages provenant du domaine de l'expéditeur apparent du message. Le domaine expéditeur publie une politique SPF dans son DNS au moyen d'un enregistrement TXT. Le serveur de réception récupère la politique SPF du domaine d'envoi via une recherche DNS et détermine si l'adresse IP du serveur d'envoi est désignée comme expéditeur autorisé de courrier du domaine. Si le serveur d'envoi n'est pas un expéditeur autorisé, la stratégie précise comment classer le résultat de l'évaluation SPF.

Tableau 1 . Résultats possibles de l'évaluation SPF
Résultat Raison Peu fiable ?
Aucun Aucune politique SPF syntaxiquement valide n'a été trouvée dans le DNS qui pourrait être utilisée pour valider le serveur d'envoi, ou aucun enregistrement SPF n'est publié par le domaine de l'expéditeur apparent du message, aucune évaluation n'est donc possible. Non
Neutre La politique SPF du domaine expéditeur indique explicitement qu'elle ne déclare pas si l'adresse IP est autorisée. Non
Passer L'IP du serveur SMTP expéditeur a été validée selon la politique SPF publiée dans DNS par le domaine de l'expéditeur apparent. Non
Échouer L'adresse IP du serveur SMTP expéditeur n'a pas été validée conformément à la politique SPF publiée dans DNS par le domaine de l'expéditeur apparent, et la politique SPF indique explicitement de traiter l'expéditeur comme non autorisé à envoyer du courrier pour le domaine de l'expéditeur apparent. Oui
Échec logiciel Un résultat « softfail » est une déclaration faible du domaine de l'expéditeur apparent, selon la politique SPF, selon laquelle l'hôte n'est probablement pas autorisé. Il n’a pas publié une politique plus ferme et plus définitive qui aboutirait à un « échec ». Non
Tempérament Domino a rencontré une erreur passagère lors de la vérification, généralement DNS. Une nouvelle tentative ultérieure pourrait aboutir sans autre action de la part du domaine de l'expéditeur apparent. Non
Permerror Les enregistrements publiés du domaine de l'expéditeur apparent n'ont pas pu être interprétés correctement. Cela signale une condition d’erreur qui nécessite l’intervention du domaine de l’expéditeur apparent pour être résolue. Oui
Remarque : La vérification SPF peut entraîner plusieurs recherches DNS et peut donc potentiellement avoir un impact sur les performances du serveur SMTP. Un cache interne est utilisé par Domino pour réduire cet impact.

DomainKeys Identified Mail , ou DKIM, est un protocole standardisé destiné à réduire l'usurpation d'e-mails. Un domaine expéditeur peut apposer un ou plusieurs en-têtes DKIM-Signature, liés à un nom de domaine, à un message. Un serveur récepteur peut alors utiliser ces signatures et clés publiques publiées dans DNS par le domaine expéditeur pour vérifier que le message a été autorisé par le domaine et que le contenu du message n'a pas été modifié pendant le transit. Domino enregistre le résultat de chaque validation de signature dans un en-tête Authentication-Results qu'il appose sur le message. Les signatures et les résultats d'authentification ne sont généralement pas visibles pour les utilisateurs finaux.

Tableau 2 . Résultats possibles de l'évaluation DKIM (un seul résultat par signature est enregistré)
Résultat Raison Peu fiable ?
Aucun Aucune signature DKIM n'a été trouvée sur le message Non
Neutre Le message a été signé, mais la ou les signatures contenaient des erreurs de syntaxe ou n'ont pas pu être traitées autrement. Ce résultat est également utilisé pour d'autres échecs non couverts ailleurs dans cette liste. Non
Passer Le message a été signé, la signature était acceptable et la signature a été vérifiée. Non
Échouer Le message était signé et la ou les signatures étaient acceptables, mais la vérification n'a pas abouti. Oui
Tempérament Le message n'a pas pu être vérifié en raison d'une erreur probablement de nature transitoire, telle qu'une incapacité temporaire à récupérer une clé publique à partir du DNS. Une tentative ultérieure peut produire un résultat final. Non
Permerror Le message n'a pas pu être vérifié en raison d'une erreur irrécupérable, telle qu'un champ d'en-tête obligatoire manquant. Il est peu probable qu’une tentative ultérieure produise un résultat final. Non
Note:

La vérification de la signature DKIM peut entraîner plusieurs recherches DNS, ce qui peut potentiellement avoir un impact sur les performances du serveur SMTP. Un cache interne est utilisé par Domino pour réduire cet impact.

Un domaine peut choisir de signer un message avec plusieurs signatures. Par exemple, le domaine peut choisir d'utiliser plusieurs algorithmes de signature. Si l’une de ces signatures réussit, le message est considéré comme fiable.

La vérification de la signature DKIM nécessite une heure système précise. Assurez-vous que les serveurs Domino qui effectuent la vérification de la signature DKIM se synchronisent avec un serveur NTP.

À propos de cette tâche

Les serveurs Domino qui reçoivent des messages SMTP directement depuis Internet peuvent être configurés pour utiliser la vérification de signature SPF et DKIM. Étant donné que l'adresse IP du serveur d'envoi est utilisée comme entrée pour l'évaluation SPF, l'évaluation SPF ne doit généralement pas être activée sur les serveurs qui ne sont pas orientés vers l'extérieur. Un serveur Domino qui effectue des évaluations SPF ajoutera un en-tête Receiver-SPF à un message reçu avec les résultats de son évaluation, et ajoutera également les résultats à un en-tête Authentication-Results. Un serveur Domino qui effectue la vérification de signature DKIM ajoutera les résultats de la vérification de chaque signature à un en-tête Authentication-Results.

Procédure

  1. From the Domino® Administrator, click the Configuration tab and expand the Messaging section.
  2. Cliquez sur Configurations .
  3. Sélectionnez le document Paramètres de configuration pour le ou les serveurs SMTP que vous souhaitez administrer, puis cliquez sur Modifier la configuration .
  4. Cliquez sur Routeur/SMTP > Restrictions et contrôles > Contrôles entrants SMTP .
  5. Recherchez la section Contrôles d'authentification du domaine de l'expéditeur entrant .
  6. Si la vérification de la signature DKIM est souhaitée, dans le champ Vérification de la signature DKIM , modifiez le paramètre sur Activé .
  7. Dans le champ Sender Policy Framework check (SPF) , modifiez le paramètre sur Enabled .
  8. Dans le champ Action souhaitée lorsque l'adresse IP d'envoi échoue à la vérification SPF pour le domaine de l'expéditeur , sélectionnez l'action que vous souhaitez entreprendre pour les messages jugés non fiables à la suite de l'évaluation SPF :
    • Message de journal et de balise : génère un message dans la console du serveur, notant le domaine et l'adresse IP utilisés pour déterminer l'échec. Par exemple, « Serveur SMTP : le message sera balisé mais autorisé. La politique SPF pour le domaine example.com ne désigne pas l'hôte 10.100.127.35 comme expéditeur autorisé." Enregistre l’état du résultat de l’évaluation SPF dans l’en-tête Receiver-SPF et l’en-tête Authentication-Results.
    • Consigner et rejeter le message : génère un message dans la console du serveur, notant le domaine et l'adresse IP utilisés pour déterminer l'échec. Par exemple, « Serveur SMTP : courrier rejeté pour des raisons de stratégie. La politique SPF pour le domaine example.com ne désigne pas l'hôte 10.100.127.35 comme expéditeur autorisé." Rejette le message dans le protocole en renvoyant le message suivant au serveur SMTP expéditeur : "554 Mail rejeté pour des raisons de politique. La politique SPF pour le domaine example.com ne désigne pas l'hôte 10.100.127.35 comme expéditeur autorisé."
  9. Si vous disposez de serveurs internes ou externes de confiance à partir desquels vous recevez des messages via le protocole SMTP et sur lesquels vous ne souhaitez pas effectuer de vérifications SPF, entrez les serveurs dans le champ Ne pas effectuer de vérification SPF pour les noms d'hôtes Internet/adresses IP suivants. .
  10. Les administrateurs peuvent choisir de faire en sorte que les messages marqués comme non fiables soient envoyés dans le dossier Courrier indésirable du destinataire. Voir Remise du courrier non approuvé vers le dossier Courrier indésirable pour configurer les contrôles de remise vers le dossier Courrier indésirable.