Path: ...!weretis.net!feeder8.news.weretis.net!news.imp.ch!news.alphanet.ch!alphanet.ch!.POSTED!not-for-mail
From: Marc SCHAEFER <schaefer@alphanet.ch>
Newsgroups: fr.comp.mail.serveurs
Subject: Signature DKIM absente
Date: Wed, 7 Jun 2023 11:09:23 -0000 (UTC)
Organization: Posted through news.alphanet.ch
Message-ID: <u5poh3$59t$1@shakotay.alphanet.ch>
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
Injection-Date: Wed, 7 Jun 2023 11:09:23 -0000 (UTC)
Injection-Info: shakotay.alphanet.ch; posting-account="schaefer";
	logging-data="5437"; mail-complaints-to="usenet@alphanet.ch"; posting-host="634ce6c9682d817d72f6177875e2bb4f.nnrp.alphanet.ch"
User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-23-amd64 (x86_64))
Cancel-Lock: sha256:KlyubiI3LNtPljZbqUiQCPVDTrrgCrS5X7k/b++95b0= sha256:0g0eywBAbIHM0JlhA483Yj/cHUdd3iOfxttM4jWCgHU=
Bytes: 3435
Lines: 55

Bonjour,

La plupart du temps, on configure DMARC avec DKIM et SPF. Ou alors
DMARC+DKIM (et pas de SPF, ce qui est facile à vérifier dans le DNS).

Toutefois, dans un cas particulier, mon spamassassin a mis en
quarantaine un e-mail d'un domaine dont la policy DMARC est reject. Le
SPF était correct, par contre, il n'y avait pas de signature DKIM dans
cet e-mail.

Très concrètement, c'est cette règle locale là qui s'est appliquée dans
spamassassin:

   meta DMARC_REJECT !(DKIM_VALID_AU || SPF_PASS) && __DMARC_POLICY_REJECT

avec:

   askdns __DMARC_POLICY_REJECT _dmarc._AUTHORDOMAIN_ TXT /^v=DMARC1;.*\bp=reject;/

Je n'ai pas trop de problème avec cette règle locale, vu que jusqu'ici
ça marche plutôt bien.  Il a été recommandé à l'émetteur d'ajouter une
signature DKIM à ses e-mails, d'autant plus que sans et sauf super-bonne
réputation chez les GAFAM, il ne devrait pas pouvoir tellement leur
envoyer de mail sans.

Toutefois, je me suis demandé quel comportement est recommandé dans ce
cas étrange.

Très concrètement à nouveau, il ne semble pas possible de trouver
l'entrée DKIM dans le DNS si une signature DKIM n'est pas présente dans
le mail (la signature va comporter entre autre un identifiant qui permet
de trouver, justement, cette entrée DKIM, ce qui diffère du
fonctionnement de SPF et DMARC où l'on peut facilement vérifier si SPF
ou DMARC est configuré ou non).  Donc, la seule chose qui pourrait
obliger la présence d'une signature DKIM serait une policy DMARC, du
style: si pas de signature DKIM, rejeter.

Or, je n'ai pas trouvé d'élément spécifique à DKIM dans DMARC, à part
le flag strict qui modifie ce qui est validé, mais ne semble pas
modifier le comportement en absence de signature (voir RFC-6736,
section 3.1.1).

Et le RFC-6376 sur le DKIM ne dit que ceci: "Therefore, a Verifier
SHOULD NOT treat a message that has one or more bad signatures and no
good signatures differently from a message with no signature at all.",
me semble-t-il.

Donc, faut-il en déduire que même si la policy DMARC est "reject",
en cas d'absence de signature, voire même des mauvaises signatures,
la décision de laisser passer, rejeter ou mettre en quarantaine
reste celle du récepteur?

-- 
Attention: limitez le nombre de lignes de citation à l'essentiel, sinon
je ne verrai pas votre réponse. Et si vous écrivez souvent des bobards,
je ne vous lirai plus et je recommanderai (NoCeM) de ne plus vous lire.