Path: ...!weretis.net!feeder8.news.weretis.net!news.imp.ch!news.alphanet.ch!alphanet.ch!.POSTED!not-for-mail From: Marc SCHAEFER Newsgroups: fr.comp.mail.serveurs Subject: Signature DKIM absente Date: Wed, 7 Jun 2023 11:09:23 -0000 (UTC) Organization: Posted through news.alphanet.ch Message-ID: Mime-Version: 1.0 Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: 8bit Injection-Date: Wed, 7 Jun 2023 11:09:23 -0000 (UTC) Injection-Info: shakotay.alphanet.ch; posting-account="schaefer"; logging-data="5437"; mail-complaints-to="usenet@alphanet.ch"; posting-host="634ce6c9682d817d72f6177875e2bb4f.nnrp.alphanet.ch" User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-23-amd64 (x86_64)) Cancel-Lock: sha256:KlyubiI3LNtPljZbqUiQCPVDTrrgCrS5X7k/b++95b0= sha256:0g0eywBAbIHM0JlhA483Yj/cHUdd3iOfxttM4jWCgHU= Bytes: 3435 Lines: 55 Bonjour, La plupart du temps, on configure DMARC avec DKIM et SPF. Ou alors DMARC+DKIM (et pas de SPF, ce qui est facile à vérifier dans le DNS). Toutefois, dans un cas particulier, mon spamassassin a mis en quarantaine un e-mail d'un domaine dont la policy DMARC est reject. Le SPF était correct, par contre, il n'y avait pas de signature DKIM dans cet e-mail. Très concrètement, c'est cette règle locale là qui s'est appliquée dans spamassassin: meta DMARC_REJECT !(DKIM_VALID_AU || SPF_PASS) && __DMARC_POLICY_REJECT avec: askdns __DMARC_POLICY_REJECT _dmarc._AUTHORDOMAIN_ TXT /^v=DMARC1;.*\bp=reject;/ Je n'ai pas trop de problème avec cette règle locale, vu que jusqu'ici ça marche plutôt bien. Il a été recommandé à l'émetteur d'ajouter une signature DKIM à ses e-mails, d'autant plus que sans et sauf super-bonne réputation chez les GAFAM, il ne devrait pas pouvoir tellement leur envoyer de mail sans. Toutefois, je me suis demandé quel comportement est recommandé dans ce cas étrange. Très concrètement à nouveau, il ne semble pas possible de trouver l'entrée DKIM dans le DNS si une signature DKIM n'est pas présente dans le mail (la signature va comporter entre autre un identifiant qui permet de trouver, justement, cette entrée DKIM, ce qui diffère du fonctionnement de SPF et DMARC où l'on peut facilement vérifier si SPF ou DMARC est configuré ou non). Donc, la seule chose qui pourrait obliger la présence d'une signature DKIM serait une policy DMARC, du style: si pas de signature DKIM, rejeter. Or, je n'ai pas trouvé d'élément spécifique à DKIM dans DMARC, à part le flag strict qui modifie ce qui est validé, mais ne semble pas modifier le comportement en absence de signature (voir RFC-6736, section 3.1.1). Et le RFC-6376 sur le DKIM ne dit que ceci: "Therefore, a Verifier SHOULD NOT treat a message that has one or more bad signatures and no good signatures differently from a message with no signature at all.", me semble-t-il. Donc, faut-il en déduire que même si la policy DMARC est "reject", en cas d'absence de signature, voire même des mauvaises signatures, la décision de laisser passer, rejeter ou mettre en quarantaine reste celle du récepteur? -- Attention: limitez le nombre de lignes de citation à l'essentiel, sinon je ne verrai pas votre réponse. Et si vous écrivez souvent des bobards, je ne vous lirai plus et je recommanderai (NoCeM) de ne plus vous lire.