Forum Linux.debian/ubuntu Postfix et rspamd : Signature mail DKIM

Posté par electro575 le 18 juin 2025 à 08:34. Licence CC By‑SA.

Étiquettes : aucune

juin

2025

Bonjour à tous,

J'avais déjà mis en place une signature DKIM auparavant mais je dois la renouveler.

J'ai effectué ceci pour la mise en place et mis ce qu'il faut en zone DNS mais rien n'y fait côté mailtester ça ne passe pas !

Création de la clef publique et privée.

mkdir /var/lib/rspamd/dkim
chown _rspamd: /var/lib/rspamd/dkim
rspamadm dkim_keygen -d domain.org -s 2025061701 -b 2048 -k /var/lib/rspamd/dkim/domain.org.2025061701.key > /var/lib/rspamd/dkim/domain.org.2025061701.txt
chown _rspamd: /var/lib/rspamd/dkim/*
chmod u=r,go= /var/lib/rspamd/dkim/*

Mise en place de la prise en compte sous rspamd.

nano /etc/rspamd/local.d/dkim_signing.conf

path = "/var/lib/rspamd/dkim/$domain.$selector.key";
selector_map = "/etc/rspamd/dkim_selectors.map";
### Active la signature DKIM pour les alias
allow_username_mismatch = true;
# pour gérer les signatures par sous-domaine (détails plus bas)
use_esld = false;

nano /etc/rspamd/dkim_selectors.map

domain.org 2025061701

Voici les logs de rspamd au démarrage, je ne sais pas si rspamd a bien pris en compte la clef.

(main) <j4krnk>; cfg; dkim_module_config: init internal dkim module
(main) <j4krnk>; lua; lua_maps.lua:278: reuse url for complex map definition chqbixcj: DKIM signing networks
(main) <ymzrne>; map; rspamd_map_add: added map /etc/rspamd/dkim_selectors.map
(main) <j4krnk>; cfg; rspamd_init_lua_filters: init lua module dkim_signing from /usr/share/rspamd/plugins/dkim_signing.lua; digest: 5801ba3744
(main) <j4krnk>; lua; rbl.lua:1203: added rbl rule DWL_DNSWL: checks: alive,user,local,dkim
(main) <j4krnk>; lua; rbl.lua:1203: added rbl rule RSPAMD_URIBL: checks: alive,dkim,emails,urls
(main) <j4krnk>; lua; rbl.lua:1203: added rbl rule SEM_URIBL_UNKNOWN: checks: alive,dkim,emails,urls
(main) <j4krnk>; lua; rbl.lua:1203: added rbl rule SEM_URIBL_FRESH15_UNKNOWN: checks: alive,dkim,emails,urls
(main) <j4krnk>; lua; rbl.lua:1203: added rbl rule URIBL_MULTI: checks: alive,helo,dkim,emails,replyto,urls,rdns,selector
(main) <j4krnk>; lua; rbl.lua:1203: added rbl rule DBL: checks: alive,helo,dkim,emails,replyto,urls,rdns,selector
(main) <j4krnk>; lua; rbl.lua:1203: added rbl rule SURBL_MULTI: checks: alive,helo,dkim,emails,replyto,urls,rdns,selector
(main) <j4krnk>; cfg; rspamd_map_parse_backend: map '/etc/rspamd/local.d/maps.d/spf_dkim_whitelist.inc.local' is not found, but it can be loaded automatically later
(main) <j4krnk>; cfg; rspamd_map_parse_backend: map '/var/lib/rspamd/spf_dkim_whitelist.inc.local' is not found, but it can be loaded automatically later
(main) <j4krnk>; cfg; rspamd_map_parse_backend: map '/etc/rspamd/local.d/maps.d/dkim_whitelist.inc.local' is not found, but it can be loaded automatically later
(main) <j4krnk>; cfg; rspamd_map_parse_backend: map '/var/lib/rspamd/dkim_whitelist.inc.local' is not found, but it can be loaded automatically later
(main) <j4krnk>; cfg; rspamd_map_parse_backend: map '/etc/rspamd/maps.d/dkim_whitelist.inc' is not found, but it can be loaded automatically later
(main) <8m79ek>; map; read_map_file: /etc/rspamd/local.d/maps.d/dkim_whitelist.inc.local: map file is not found; it will be read automatically if created
(main) <8m79ek>; map; read_map_file: /var/lib/rspamd/dkim_whitelist.inc.local: map file is not found; it will be read automatically if created
(main) <dyatkr>; map; rspamd_map_read_http_cached_file: read cached data for https://maps.rspamd.com/rspamd/spf_dkim_whitelist.inc.zst from /var/lib/rspamd/2368c73b937d98513ed72c4b04f4247bda43fdb5.map, 2860 bytes; next check at: 2025-06-18 09:14:32; last modified on: 2025-06-09 18:44:07; etag: (NULL)
(main) <dyatkr>; map; read_map_file: /etc/rspamd/local.d/maps.d/spf_dkim_whitelist.inc.local: map file is not found; it will be read automatically if created
(main) <dyatkr>; map; read_map_file: /var/lib/rspamd/spf_dkim_whitelist.inc.local: map file is not found; it will be read automatically if created
(main) <dyatkr>; map; rspamd_kv_list_fin: read hash of 236 elements from https://maps.rspamd.com/rspamd/spf_dkim_whitelist.inc.zst
(main) <ymzrne>; map; rspamd_kv_list_fin: read hash of 1 elements from /etc/rspamd/dkim_selectors.map

Si vous avez des idées, je suis preneur.

# Idées de base

Posté par Cyril Brulebois (site web personnel) le 18 juin 2025 à 09:00. Évalué à 5 (+3/-0).
Lire attentivement les informations produites par l'outil de test de réception…

« ça ne passe pas » n'est pas un diagnostic.

Sur un essai effectué à l'instant, j'ai notamment :
La signature DKIM de votre message est :
```
v=1;
a=rsa-sha256;
q=dns/txt;
c=relaxed/relaxed;
[…]
s=mail2022;
[…]
```
ce qui permet de valider le sélecteur utilisé (mail2022 ici).

Alternativement, vu ta question sur la bonne prise en compte des informations que tu as changées, casser la configuration volontairement (déplacer les secrets, introduire une typo volontaire dans la map, etc.) pour vérifier que le serveur ne démarre pas, ou bien démarre mais logue une erreur à l'envoi.

C'est une méthode un peu brutale mais qui peut être efficace si on a déjà une hypothèse bien probable/plausible. Le reste du temps, augmenter au besoin le niveau de verbosité des logs et… lire les logs est un bon endroit pour débuter.

Debian Consultant @ DEBAMAX
Répondre
- [^] # Re: Idées de base
  
  Posté par LeBouquetin (site web personnel, Mastodon) le 18 juin 2025 à 13:41. Évalué à 3 (+1/-0).
  
  casser la configuration volontairement (déplacer les secrets, introduire une typo volontaire dans la map, etc.) pour vérifier que le serveur ne démarre pas
  
  Une pratique trop peu usitée et pourtant extrêmement puissante, en particulier quand on veut identifier l'origine d'un problème (ou d'une résolution) parmi plusieurs hypothèses.
  
  #tracim pour la collaboration d'équipe __ #galae pour la messagerie email __ dirigeant @ algoo
  
  Répondre
  - [^] # Re: Idées de base
    
    Posté par electro575 le 18 juin 2025 à 16:25. Évalué à 1 (+0/-0).
    
    Les logs, ok, d'autres pistes ?
    
    Comment vérifier comme mailtester la conformité DKIM ?
    
    Répondre
    - [^] # Re: Idées de base
      
      Posté par electro575 le 18 juin 2025 à 22:01. Évalué à 1 (+0/-0). Dernière modification le 19 juin 2025 à 07:39.
      J'ai identifié le problème mais je ne sais pas comment m'en sortir car le module de signature DKIM attend user@domain.org alors que je n'ai que "user".
      
      (rspamd_proxy) <4725DA>; proxy; dkim_symbol_callback: skip DKIM checks for local networks and authorized users (rspamd_proxy) <4725DA>; lua; dmarc.lua:360: skip DMARC checks as either SPF or DKIM were not checked (rspamd_proxy) <4725DA>; dkim_signing; lua_dkim_tools.lua:185: user is authenticated (rspamd_proxy) <4725DA>; dkim_signing; lua_dkim_tools.lua:407: use domain(header) for signature: domain.org (rspamd_proxy) <4725DA>; dkim_signing; lua_dkim_tools.lua:427: final DKIM domain: domain.org (rspamd_proxy) <4725DA>; dkim_signing; lua_dkim_tools.lua:447: couldnt find domain in username
      
      J'ai essayé de changer plusieurs fois des paramètres du fichier /etc/rspamd/local.d/dkim_signing.conf sans succès.
      
      J'ai trouvé d'autres personnes qui avaient ce problème mais pas de solution.
      
      https://github.com/rspamd/rspamd/issues/1768
      https://github.com/rspamd/rspamd/issues/1593
      
      Auriez-vous une idée pour signer les mails DKIM sans avoir user@domain.org ?
      
      Merci
      Répondre
      - [^] # Re: Idées de base
        
        Posté par NeoX le 18 juin 2025 à 22:37. Évalué à 3 (+0/-0). Dernière modification le 19 juin 2025 à 07:39.
        
        vu que DKIM c'est pour signer en fonction du DOMAINE (le D de DKIM il me semble), ca semble logique que ca ne signe pas si c'est envoyé par user au lieu de user@domain.tld
        
        d'apres lechat francais
        
        Configurer le sélecteur DKIM : Assurez-vous que le sélecteur DKIM utilisé dans la configuration de votre serveur de messagerie correspond à celui utilisé dans l'enregistrement DNS. Par exemple, si votre enregistrement DNS est dkim._domainkey.domain, le sélecteur est dkim.
        
        or, d'apres ce que tu nous fournis plus haut, tu fais ton selecteur sur domain.org
        
        nano /etc/rspamd/dkim_selectors.map domain.org 2025061701
        
        Répondre