Discussion :

[Taekoh]

Bonjour à tous!

Je voulais savoir s'il existait un module pour Thunderbird permettant de signer ses mails avec DKIM.

Merci d'avance pour vos réponses!

[BufferBob]

salut,

sauf erreur il me semble que c'est pas le client qui signe DKIM, c'est le serveur (y'a notamment un sous-domaine à configurer si je me souviens bien et y compris modifier le SPF)

[Taekoh]

Salut BufferBob,

D'après le tuto

de Grafikart sur le sujet (il en parle précisément à partir de 9m45s), il faudrait apparemment signer chaque mail pour qu'il y est une correspondance entre la clé publique configurer sur le DNS de l'hébergeur et la clé privé qui serait à insérer dans l'en-tête de chaque mails à envoyer.

C'est ce que j'ai compris après il est possible que j'ai mal interprété ces explications...

[BufferBob]

dans sa vidéo le gars parle dès les premières secondes de la configuration du serveur, et explique même qu'il se sert d'un bête script PHP pour envoyer les mails, par ailleurs comme je te le disais il est question de "configurer le SPF" (c'est dans la vidéo ça aussi) ce qui est une manip qui s'effectue côté serveur, pas côté client
enfin si tu veux en avoir le coeur net il te suffit d'envoyer un mail - simple, texte, sans signer quoique ce soit depuis gmail par exemple, et à la réception du mail de vérifier les champs présents dans les en-têtes, on trouve bien les champs DKIM-Signature, et même X-Google-DKIM-Signature en prime

c'est bien le serveur qui signe DKIM.

Edit: https://www.youtube.com/watch?v=_sCqM8MivCw#t=13m26

[chrtophe]

Pour rejoindre ce que dit Bufferbob, on parle de SPF-DKIM.

[Taekoh]

Pourtant ma signature DKIM est correctement configurée sur mon serveur et elle apparaît néanmoins comme non signé par mail-tester.

J'ai essayé de glaner des informations un peu partout et j'ai lu notamment ce commentaire sur un forum qui rejoint ce que je dit.

DKIM nécessite effectivement l'ajout d'un champ dans la zone DNS.
Pas besoin d'en parler beaucoup, c'est déjà expliqué ailleurs, comme par exemple ici : http://www.acyba.com/index.php?domai...t#dkiminfos%5D

Mais ça n'arrête pas la.
Il faut aussi déterminer et ajouter à chaque mail sortent un 'header' comme ceci:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ton-doimaine.tld;
s=selector; t=1423730756;
bh=Z/u234yJQRhreK3oeGGhsJUq0PCMSyte1nDcck7dOydY=;
h=From:To:Subject:Sender;
b=fuaFT1i/bjEGPW7Re63JfVTxY53+yeiwbk2I8XRkG6kDh0Fn+NpkejBRdEK7lI+u/
aB6uUEzsmeCkR+X71LrJCGwsLinS297fe+xTfPuY1Ckt7W3kM7pKVnJyOHEB/Ghviy
e2+le4VYl+gBsbDwkcZnZTh4P4LMXYGHQLO8yM7w=

[BufferBob]

Pourtant ma signature DKIM est correctement configurée sur mon serveur et elle apparaît néanmoins comme non signé par mail-tester.

à ce stade perso j'aurai tendance à penser que mon serveur n'est pas si bien configuré que ça et que j'ai sans doute dû rater un truc, pas qu'il faut un plugin à mon client mail pour signer DKIM

je t'ai fourni plusieurs éléments de preuve dans mon précédent commentaire permettant de comprendre que la signature DKIM ne s'effectue pas sur le client mais sur le serveur, y compris basés sur la vidéo que tu as toi-même fourni, tu préfères ne pas en tenir compte ?

ceux qui disent qu'il faut rajouter aux headers le champ DKIM-Signature explicitement confondent MUA (le client mail) et MTA (le serveur mail), la signature DKIM s'effectue sur le MTA, après on peut se faire passer pour le MTA en créant un mail de toute pièce et en y incorporant les champs qui vont bien (dont DKIM-Signature), mais Thunderbird lui c'est un MUA, pas un MTA.

tu dis que tu as glané des informations un peu partout, c'est une bonne idée ça permet d'avoir plusieurs sources différentes et de voir leurs contradictions, si on élimine les doublons (les tutos intégralement repompés sur d'autres, parfois juste pour faire un billet sans que l'auteur ait réellement testé quoique ce soit) combien de fois est-il question de "configurer le client mail pour signer DKIM" ?

pour Thunderbird on trouve un plugin qui permet de vérifier la signature DKIM d'un mail reçu, on trouve également un plugin qui permet de visualiser facilement les headers des mails, mais aucun plugin permettant de signer les mails avec DKIM, c'est peut-être un signe ?

[Taekoh]

Je veux pas mettre ta parole en doute et d'ailleurs je te remercie de partager avec moi tes connaissances sur le sujet, je dois dire que tes explications sont convaincantes.

Mais ce qui me perturbe c'est que ma signature est bien validée coté serveur chez les différents vérificateur disponible sur internet https://www.mail-tester.com/spf-dkim-check http://dkimcore.org/tools/ .

[BufferBob]

Mais ce qui me perturbe c'est que ma signature est bien validée coté serveur chez les différents vérificateur disponible sur internet https://www.mail-tester.com/spf-dkim-check http://dkimcore.org/tools/ .

je vois pas véritablement le rapport, mais du coup si c'est bien validé où est le problème ?

si ton serveur est OK niveau DKIM, tu prends ton client Thunderbird, dedans tu as un compte mail qui utilise comme SMTP ton serveur, tu t'envoies un mail à toi-même, et dans le mail reçu tu vérifies que tu as bien ta signature DKIM, perso je l'ai fait ce matin ça marche tout seul

[Taekoh]

Le rapport c'est que suivant ton raisonnement; si tout est ok niveau configuration de la clé DKIM sur le serveur (comme les vérificateurs semblent le confirmer), normalement la clé devrait être visible lorsque j'envoie des mails, ce qui n'est pas le cas.

Voilà ce qui ressemble le plus à une signature dans mon mail.

X-UI-Filterresults: notjunk:1;V01:K0BWLqw4svMI=:aSd5g4+sosFdFejXuR9dao49Xk
x9aPVKk+FaQ4yXwdG8oEzMIEDgM7SmPAcERj6rce+hEQ6fJpFap4e2q0mNTGilox/3BHhI4F8
C/ADcA8pNJrWk3IFIqmL1S87cfeGtki7x786twHQu6NSKetkYOyLIHprp6+DXDN19vklri//3
cUWYxT0uMIeVGfQafkBeBuzZrZ+L1BHRBmOxOaz2EiyY4zF9Ml7I+QvYjX/w5RQsnKO5SfnKC
Kgw21TtswmASQ9biXsk...

[BufferBob]

la clé devrait être visible lorsque j'envoie des mails

non, quand tu le reçois après qu'il soit passé par le serveur donc, mais s'il ne transite que par ton propre serveur c'est peut-être lié à ta configuration, arrange toi pour que le mail passe par ton serveur et y compris par un serveur gmail ou yahoo ou autre avant de te revenir (donc le principe c'est d'envoyer un mail depuis toto@gmail vers toto@yahoo par exemple)

[Taekoh]

Autant pour moi, je voulais dire « visible lorsque que je les reçois », actuellement ça n'est pas le cas.

Sinon, tu viens de me donner une piste intéressante, l'idée si je comprends bien, serait d'utiliser les serveurs gmail. Actuellement j'utilise les serveurs MX de 1and1 « mx00.1and1.fr » et « mx01.1and1.fr ». Donc à priori je pourrais faire transiter mes mails par les serveurs de gmail (qui permettent eux d’authentifier les mails avec DKIM).

[Invité]

Bonjour,

Je sais que la conversation n'est plus très récente mais je me trouve dans la même situation : j'utilise Thunderbird (v59) pour envoyer mes emails et mon hébergeur (site+mail) est 1and1.fr.

J'ai déjà généré mes deux clés DKIM en ligne et ai mis la clé publique dans les paramètres DNS de mon domaine. Tout cela semble bien fonctionner. J'ai aussi ajouté un champ "DKIM-Signature" dans Thunderbird mais BufferBob semble dire que cela ne servait à rien. Je suis rentré en contact avec 1and1 hier mais le type n'avait pas l'air de trop bien comprendre et insistait plutôt sur le fait qu'ils utilisaient SFP, ce qui ne me semble pas remplacer DKIM.

Taekoh, as-tu résolu ton problème ? Si oui, comment ? Je ne suis pas enchanté à l'idée de passer par des serveurs gmail et préfèrerais éviter.
Bufferbob ou quelqu'un d'autre : une idée ? En ligne, je vois pas mal de système pour faire des signatures DKIM mais aucune ne semble applicable à ma situation d'avoir mon contenu hébergé chez 1and1.

Merci d'avance, je suis preneur de tout conseil !

~John

[Nicolas2ex]

Bonjour,

Je sais que la conversation n'est plus très récente mais je me trouve dans la même situation : j'utilise Thunderbird (v59) pour envoyer mes emails et mon hébergeur (site+mail) est 1and1.fr.

J'ai déjà généré mes deux clés DKIM en ligne et ai mis la clé publique dans les paramètres DNS de mon domaine. Tout cela semble bien fonctionner. J'ai aussi ajouté un champ "DKIM-Signature" dans Thunderbird mais BufferBob semble dire que cela ne servait à rien. Je suis rentré en contact avec 1and1 hier mais le type n'avait pas l'air de trop bien comprendre et insistait plutôt sur le fait qu'ils utilisaient SFP, ce qui ne me semble pas remplacer DKIM.

Taekoh, as-tu résolu ton problème ? Si oui, comment ? Je ne suis pas enchanté à l'idée de passer par des serveurs gmail et préfèrerais éviter.
Bufferbob ou quelqu'un d'autre : une idée ? En ligne, je vois pas mal de système pour faire des signatures DKIM mais aucune ne semble applicable à ma situation d'avoir mon contenu hébergé chez 1and1.

Merci d'avance, je suis preneur de tout conseil !

~John

Bon il est trop tard pour répondre j'imagine, mais BufferBob se trompe, il pense qu'un client mail (logiciel installé sur un PC ou MAC par exemple) ne doit pas faire le même traitement qu'un serveur qui envoi des mails
On peut avoir des serveurs fonctionnant sous PHP pour lequel PHP envoi des mails dans le cadre de newsletter par exemple, et le cas de gmail => ici on parle d'un webmail car l'utilisateur utilise son navigateur pour l'utiliser => pas d'installation de logiciel

Un client mail (logiciel installé sur son PC) envoi ses mails lui même (Thunderbird, Outlook, etc.)
Un serveur mail (ou webmail), envoi également les mails lui même (mail dont le contenu a été saisi par l'utilisateur dans son navigateur)

Dans les deux cas, logiciel client ou serveur doivent signer le mail avec la clé DKIM privée pour que le destinataire (qui dispose d'un client mail OU d'un webmail) puisse vérifier que le mail n'ait pas été altéré (à l'aide de la clé public enregistrée dans la zone file du nom de domaine).

Le fonctionnement est donc identique dans les deux cas

Je vais regarder dans Thunderbird ce qu'il faut faire et te répond quand même si cela peut aider des personnes qui se sont perdu sur ce poste ;-)

Bonne journée

[BufferBob]

Je vais regarder dans Thunderbird ce qu'il faut faire

excellente idée, reviens vite nous dire

[chrtophe]

C'est le serveur SMTP qui signe les mails, pas le client de messagerie.

[volledoen]

Bonjour,
Je me pose également la même question avec DKIM.
Avec mail-tester, je perds 1 point car mon message n'est pas signé avec DKIM ==> Nous ne pouvons pas vérifier DMARC si vous n'avez pas signé votre messages avec DKIM. Il trouve par contre bien une entrée DMARC pour mon domaine car j'ai bien configuré la clé publique sur mon DNS mais où faut-il installer/configurer la clé privée ?
D'avance merci pour votre aide.

[chrtophe]

La clé privée doit être dans la config du serveur smtp.

[thierrybo]

Je déterre ce vieux fil mais à priori ça l'a été plusieurs fois :-)

En recherche d'infos,

https://community.ovh.com/t/dkim-con...-champ/23903/7

il est clair qu'on doit gérer SOI-MÊME son serveur de mail pour utiliser DKIM. J'ai un VPS linux chez OVH mais je n'ai jamais voulu m'emm..... à gérer moi même mon propre serveur de mail, c'est OVH qui s'en occupe, donc impossible de lui déposer la clé privée de DKIM (normal).

Je n'ai trouvé que Microsoft qui génère/stocke les deux clés pour Office 365 :
https://docs.microsoft.com/en-us/mic...o365-worldwide