J'ai configuré Opendkim milter pour fonctionner avec postfix sur ma machine. Maintenant, les e-mails sont signés et vérifiés correctement, c'est-à-dire que le code source de l'e-mail affiche l'en-tête DKIM-Signature.
L'enregistrement TXT sur le DNS autoritaire est configuré comme ceci :
# root > server > ~
> delv -t txt dkim-domain._domainkey.domain.eu
...
...
dkim-domain._domainkey.domain.eu. 1780 IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8drA4hH8gJaVpLaHhtQonhpOeanMo/oPmrAVehP3lBYAjsoxifCIclLqJo7kk0maelqu9SIN9ttQ0boCzEiQBMO1" "c1P+Sj/PxphZB71c8VNhqMJ32VG6Ky3ZD4Tds39Vye/wsWdi+842MUT3Z2dJnxS2AAG4pSkjaytFPCs0J94OUQC0tDErbnsMZh+gg+7IsYgND8FR/cRDzpXjD0qFJk4Cnc1q27WorPAGAiRsRfLt9u" "gkYgQRwapnofmKJ3hk/L8096YR7gan60L4+RGojsx5ppTdIEhYasyK9MokefmVeNyGwVXTJchqG8vhcg9uGjGy9mPiPg4B2TQgEBPwyQIDAQAB"
...
...Donc, à première vue, tout est en ordre, mais lorsque je lance les diagnostics sur ma machine, cela affiche ceci :
# root > server > ~
> opendkim-testkey -d domain.eu -s dkim-domain -vvv
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'dkim-pistam._domainkey.pistam.eu'
opendkim-testkey: key not secure
opendkim-testkey: key OKRemarquez la réponse key not secure. J'ai lu dans cette réponse que cet avertissement existe car le DNSSEC n'est pas activé. Mais le DNSSEC pour mon domaine domain.eu est activé, selon DNSViz.
ADD:
Il se peut que le sujet auquel j'ai fait référence plus tôt soit trompeur, car j'ai lu plus tard une réponse ici, suggérant que cet avertissement est dû à des autorisations trop permissives concernant la paire de clés ! J'ai défini les droits d'utilisateur sur la paire de clés et leur dossier comme ceci :
# root > server > ~
> ls -l /etc/opendkim/keys/
total 8
-rw------- 1 opendkim opendkim 1675 Dec 30 08:45 dkim-rsa-private.key
-rw------- 1 opendkim opendkim 451 Dec 30 08:46 dkim-rsa-public.key
# root > server > ~
> ls -ld /etc/opendkim/keys/
drwx------ 2 opendkim opendkim 4096 Jan 1 07:18 /etc/opendkim/keys/Donc, cela devrait être sécurisé... Mais ce n'est pas le cas.
1 votes
Apparemment, la même question a été posée ici auparavant. J'ai essayé d'y répondre.
0 votes
@glts Je comprends. Dans mon cas, la commande
digmontre le drapeauaddonc je dois utiliser le paramètreTrustAnchorFile /path/to/root.keyà l'intérieur de/etc/opendkim.conf. Comme j'utilise le resolver Unbound, je devrais probablement suivre this, this et this... Qu'en penses-tu? Est-ce que cela résoudra également l'avertissement deopendkim?1 votes
Je ne sais pas exactement pourquoi cela ne fonctionne pas pour vous. J'ai également exécuté Unbound localement. Dans /etc/opendkim.conf, j'ai deux paramètres pertinents,
TrustAnchorFile /usr/share/dns/root.keyetNameservers 127.0.0.1(sur Ubuntu 20.04). En tout cas, j'obtiensclé sécuriséepour mon domaine ...0 votes
@glts Avez-vous modifié des paramètres à l'intérieur de
/etc/unbound/unbound.conf? Je ne l'ai pas fait.1 votes
Non, simplement
apt install unboundje pense0 votes
Dans mon cas, Unbound a une clé racine ici
/var/lib/unbound/root.key. Cette même clé devrait-elle être utilisée dansopendkim? Si tu le sais peut-être?1 votes
Je ne sais pas. Dans Debian/Ubuntu, le fichier d'ancrage de confiance est fourni par un package dédié
dns-root-data...0 votes
Ce package est installé aux côtés de packages que je peux lister en utilisant
apt-cache rdepends dns-root-data. Cela liste les packages tels queunbound,opendkim,bind9... Doncdns-root-dataest installé sur mon système et il fournit des fichiers que je peux lister avecdpkg-query -L dns-root-data. Parmi les fichiers se trouve une ancre de confiance de la zone racine/usr/share/dns/root.key. J'ai également mis à jour l'ancre de confiance de la zone racine de unbound en utilisantunbound-anchoret cela a mis à jour le/var/lib/unbound/root.key. J'ai utilisévimdiff /var/lib/unbound/root.key /usr/share/dns/root.keyet confirmé que les clés sont similaires.0 votes
Mais probablement, je dois utiliser
/usr/share/dns/root.keyà l'intérieur deopendkimcar il peut lire ce fichier en raison des autorisations de fichier.0 votes
La seule chose que j'ai dû ajouter était le
FichierTrustAnchor /usr/share/dns/root.keyà l'intérieur de/etc/opendkim.conf. Maintenant l'avertissement a disparu. Si vous pouvez poster une réponse ici, je l'accepterai.