dimanche 9 janvier 2011

Authentification d'email : DKIM (+ SPF) (+ Gandi.net)

Récemment, Google a mis à jour ses news pour indiquer qu'il est désormais possible d'utiliser l'authentification d'email "DKIM" (DomainKeys Identified Mail) pour les utilisateurs de Google Apps pour leur domaine. Fonctionnalité fort sympathique quand on apprend qu'elle permet d'éviter des problèmes de spam qui utiliseraient une adresse mail de votre nom de domaine, ce qui peut résulter bien souvent à la catégorisation de certains des emails de votre domaine en spam alors que les mails en question proviennent bien des utilisateurs authentifiés de celui-ci.
Google nous indique comment faire dans ses FAQ, seulement ce n'est pas très clair lorsqu'on décide de mettre la dite fonctionnalité en place.

Après plusieurs essais infructueux et plusieurs recherches qui ne m'avançaient guère, j'ai compris à force d'examiner les messages dans Google Mail qu'il faut combiner 2 types de vérifications faites grâce au configuration DNS.
Et plus particulièrement pour Gandi, il faut :
  • une entrée SPF TXT avec en nom "@" et en valeur "v=spf1 include:_spf.google.com ~all"
  • une entrée DKIM TXT avec en nom la valeur fournie par dans votre interface de gestion google apps, si vous ne changez pas le préfixe ce sera "google._domainkey", et pour valeur la clé qui vous sera aussi fourni par la même interface de gestion.

Configuration GANDI

La configuration avec uniquement la 2ème ligne ne fonctionne pas, car apparemment le test se passerait comme ceci : 1. vérification de l'attribut SPF, 2. vérification de la clé pour le DKIM.

De fait, avec cette configuration lors de l'envoi d'un mail des utilisateurs de votre domaine grâce à Google Apps, les entètes de leur mail seront signés et normalement le détail de cet entète montrera quelque chose comme : "signed-by: your-domain.com"


DKIM dans GMail

Mise à jour :
Pour les personnes intéressées par le format de la chaîne SPF : http://www.openspf.org/SPF_Record_Syntax