Configuration de la signature DKIM pour les messages acheminés vers des domaines Internet externes

Domino peut utiliser Domain Keys Identified Mail (DKIM) pour signer les messages envoyés par des utilisateurs internes à des domaines Internet externes.

Lorsqu'un MTA SMTP externe reçoit un message signé DKIM, il utilise la signature DKIM pour vérifier que le contenu et les en-têtes spécifiques du message n'ont pas été modifiés depuis la signature DKIM. La signature DKIM prend la forme d'un en-tête DKIM-Signature que le routeur Domino ajoute au message sur un tronçon SMTP. L'en-tête DKIM-Signature contient des informations que le MTA externe peut utiliser pour vérifier le contenu du message à l'aide des données de signature et d'une clé publique acquise via DNS. Pour plus de détails sur la signature DKIM, voir RFC6376.

Pour signer des messages à l'aide de DKIM, Domino utilise des paires de clés que vous créez avec la commande keymgmt . La commande crée un document dans un magasin d'informations d'identification qui inclut un domaine Internet et des éléments de sélection. Ces éléments permettent au routeur Domino de trouver la clé privée correcte à utiliser pour générer la signature DKIM.

Pour utiliser DKIM pour signer les messages acheminés vers Internet, configurez DKIM sur les serveurs Domino en périphérie de votre environnement Domino qui utilisent SMTP pour transférer le courrier vers Internet.

Les conditions requises pour la signature DKIM sont :
  • Serveur SMTP Domino V12.0.1 sous Linux 64 ou Windows 64.
  • Un magasin d'informations d'identification pour stocker les clés DKIM sur chaque SMTP Domino qui utilise la signature DKIM. Pour plus d'informations sur la création d'un magasin d'informations d'identification si vous n'en utilisez pas déjà un, consultez Utilisation d'un magasin d'informations d'identification pour stocker les informations d'identification . Si vos serveurs SMTP disposent déjà d'un magasin d'informations d'identification, assurez-vous que celui-ci utilise le modèle websecuritystore.ntf V12.0.1.
  • Un enregistrement DNS TXT public pour chaque clé utilisée pour la signature DKIM. Vous utilisez une commande keymgmt pour générer le contenu de l'enregistrement DNS TXT, comme décrit dans cette procédure. Votre fournisseur DNS peut fournir des instructions pour ajouter cet enregistrement aux paramètres de votre domaine DNS.
Les étapes pour configurer la signature DKIM sont :
  1. Créez des clés de signature DKIM dans le magasin d’informations d’identification.
  2. Créez un enregistrement DNS TXT contenant la clé et ajoutez-le aux paramètres de votre domaine DNS.
  3. Spécifiez la ou les clés à utiliser pour la signature DKIM (via notes.ini) sur le serveur.
  4. Activez la signature DKIM (via notes.ini) sur le serveur.

Créer des clés de signature DKIM

Créez une ou plusieurs paires de clés dans un magasin d'informations d'identification à utiliser pour la signature DKIM. Pour créer une paire de clés de signature DKIM dans un document du magasin d'informations d'identification, exécutez la commande suivante à partir de la console d'un serveur Domino disposant du magasin d'informations d'identification :
keymgmt create DKIM <domain> <selector> RSA [<keySize>]
où:
  • <domain> est le nom du domaine Internet Domino, par exemple : renovations.com ou sales.renovations.com.
  • <selector> est le nom de votre choix pour le sélecteur DKIM. Le sélecteur est spécifié dans l'en-tête DKIM-Signature et indique où se trouve la partie clé publique de la paire de clés DKIM dans le DNS.
  • <keySize> est la taille spécifiée pour la clé DKIM. La taille peut être 1024, 2048 ou 4096.
Par exemple: 
keymgmt create DKIM renovations.com 12345 RSA 2048
Un message de console similaire au suivant indique que la commande a réussi :
> keymgmt créer DKIM rénovations.com 12345 RSA 2048 [4F24:0007-2F28] Clé DKIM créée 12345._domainkey.renovations.com
Remarque : Une clé DKIM est activée en spécifiant le domaine et le sélecteur dans un paramètre notes.ini du serveur. 255 caractères sont le maximum autorisé pour les paramètres notes.ini, ce qui impose une limite pratique aux tailles de domaine et de sélecteur.

Créer un enregistrement DNS TXT dans un fichier .txt

Après avoir créé les clés de signature DKIM dans le magasin d'informations d'identification, exécutez la commande suivante pour créer un fichier .txt dans le répertoire de données Domino contenant le contenu d'un enregistrement DNS TXT pour la clé spécifiée :
keymgmt export DKIM DNS <domain> <selector> <dkimdnsfile>
où:
  • <domain> est le nom du domaine Internet Domino que vous avez spécifié pour la clé.
  • <selector> est le sélecteur DKIM que vous avez spécifié pour la clé.
  • <dkimdnsfile> est le nom du fichier .txt à créer dans le répertoire de données Domino qui contient l'enregistrement DNS TXT.
Par exemple: 
keymgmt export DKIM DNS renovations.com 12345 dkimdns.txt

Cette commande crée le fichier dkimdns.txt qui contient dans ce cas des informations à utiliser comme contenu d'un enregistrement DNS TXT pour 12345._domainkey.renovations.com . Utilisez les informations du fichier que vous créez pour vos clés de signature DKIM pour ajouter l'enregistrement TXT de vos clés de signature DKIM aux paramètres de votre domaine DNS. Le nom de l'entrée DNS doit être au format <selector>._domainkey.<domain>, où <selector> et <domain> sont tels que vous l'avez spécifié lors de la création de la clé et de la génération du fichier.

Spécifier les clés à utiliser pour la signature DKIM

Après avoir ajouté un enregistrement DNS TXT pour les clés à utiliser pour la signature DKIM aux paramètres de votre domaine DNS, utilisez le paramètre notes.ini DKIM_KEY sur un serveur SMTP Domino pour mapper un domaine à une clé à utiliser pour la signature DKIM. Le tableau suivant décrit différentes options pour ce paramètre. Si le routeur est en cours d'exécution, redémarrez-le pour que les modifications prennent effet.
Exemple de réglage Description Exemple
DKIM_KEY_<domain> =<selector> Lorsque les utilisateurs envoient des messages depuis le domaine spécifié ou l'un de ses sous-domaines, le serveur signe les messages avec la clé qui correspond au sélecteur spécifié. DKIM_KEY_renovations.com=09262021
DKIM_KEY_<subdomain> =<selector> Lorsque les utilisateurs envoient des messages depuis le sous-domaine spécifié, le serveur signe les messages avec la clé qui correspond au sélecteur spécifié. DKIM_KEY_sales.renovations.com=sales4321
DKIM_KEY_<domain> =<selector> ,<selector> Lorsque les utilisateurs envoient des messages à partir du domaine spécifié, signe les messages avec les deux clés spécifiées par deux sélecteurs.
Ce scénario est utile pour :
  • Autoriser la signature par les anciennes et les nouvelles clés pendant la transition de remplacement de clé pendant qu'une nouvelle clé se propage au DNS.
  • Utilisation de plusieurs algorithmes de signature.
 DKIM_KEY_renovations.com=09262021,10042021
DKIM_KEY_<aliasdomain> =<domain> ;<selector> Lorsque les utilisateurs envoient des messages à partir d'un domaine alias (un domaine qui n'est pas le domaine principal), les messages sont signés avec la clé qui correspond au sélecteur du domaine principal. DKIM_KEY_aliasrenovations.com=renovations.com;09262021

Activer la signature DKIM

Après avoir configuré les paramètres DKIM_KEY pour mapper un domaine à une clé, spécifiez le paramètre supplémentaire suivant pour activer la signature DKIM. Vous pouvez activer ou désactiver la signature DKIM pendant que le routeur est en cours d'exécution et aucun redémarrage du routeur n'est requis. 
RouterDKIMSigning=<value>
<value> est l'une des valeurs suivantes :
  • 1 Cette option fait de son mieux pour signer un message si une clé de signature est spécifiée pour le domaine de l'expéditeur. Si une erreur de signature se produit, une erreur est enregistrée mais le message est remis sans signature.
  • 2 Cette option applique la signature DKIM. Si une clé de signature est spécifiée pour le domaine de l'expéditeur et qu'une erreur de signature se produit, l'erreur est enregistrée et le message n'est pas envoyé. L'utilisateur expéditeur reçoit un rapport de non-remise.