Configuration de votre domaine – hébergement d’un domaine perso sur notre infrastructure

Configuration de votre domaine – hébergement d’un domaine perso sur notre infrastructure

Généralités

Vous avez votre nom de domaine et vous souhaitez nous confier la gestion du courriel ?

Ajout du service « Domaine personnel hébergé »

Avant de changer les DNS (voir ci-dessous) créez votre compte sur https://sud-ouest2.org puis dans l’onglet « Sud-Ouest » cliquez sur : « Vous avez un domaine personnel hébergé sur l’infrastructure de l’association ».

Vous pouvez alors décider du montant que vous souhaitez attribuer à ce service et après validation une page vous indique les identifiants et mot de passe de l’administrateur du domaine.

Création des comptes courriel associés

Vous pouvez alors vous rendre sur https://mail.sud-ouest2.org et utiliser les identifiants reçus à l’étape précédente. Cliquez sur l’onglet « Identités » et créez autant de compte que vous en aviez précédemment en cliquant sur « ajouter ». C’est aussi avec ce bouton que vous pourrez rajouter vos alias si vous en aviez.

À partir de là vous pouvez synchroniser les comptes  et passer à l’étape suivante : mettre à jour les DNS.

Mettre à jour vos DNS

Voici ce que vous devrez faire au niveau du DNS :

  • Ajouter un champ MX pour le serveur primaire (priorité 10) et un second (priorité 100) pour le serveur de secours (backup)
IN MX 10 mx.sud-ouest2.org.
IN MX 100 mx-backup.sud-ouest2.org.
  • Quelques entrées pour les accès IMAP, POP et SMTP à votre convenance (vous pouvez adapter)
imap IN CNAME mail.sud-ouest2.org.
mail IN CNAME mail.sud-ouest2.org.
pop3 IN CNAME mail.sud-ouest2.org.
smtp IN CNAME mail.sud-ouest2.org.

La raison pour laquelle nous vous proposons d’utiliser des CNAME est que ça nous laisse la possibilité de modifier nos entrées DNS et faire évoluer l’infrastructure sans que vous ayez à mettre à jour vos DNS (ce qui serait le cas si on vous communiquait les adresses IP de nos serveurs à l’heure actuelle).

Et en supplément optionnel…

Tant que vous êtes dans la modification de vos entrées DNS nous vous proposons quelques petites choses en plus… que vous pouvez ou pas activer si vous voulez.

Autoconfig

Pour que vos utilisateurs bénéficient des outils d’auto-configuration « modernes » (documentation Mozilla et peut-être Microsoft), vous pouvez ajouter les entrées suivantes :

_autodiscover._tcp   IN SRV 0 0 443 mail.sud-ouest2.org.
_imaps._tcp          IN SRV 0 0 993 mail.sud-ouest2.org.
_submission._tcp     IN SRV 0 0 465 mail.sud-ouest2.org.
autoconfig           IN CNAME autoconfig.sud-ouest2.org.
autodiscover         IN CNAME mail.sud-ouest2.org.

Si les services de découverte automatique ne fonctionnent pas encore, n’hésitez pas à nous le dire c’est qu’on a oublié de cocher une case dans la configuration 🙂

SPF

Si vous voulez que votre domaine bénéficie de SPF, ajoutez une entrée DNS comme ceci:

IN TXT "v=spf1 a mx include:sud-ouest2.org -all"

DKIM

Si vous voulez que votre domaine utilise DKIM et expédie des courriels signés, nous vous proposons d’utiliser la clé publique de sud-ouest.org qui signera alors tous vos courriels sortants et améliorera ainsi le filtrage antispam de vos correspondants…

Voici la clé DKIM publique utilisée sur notre infrastructure :

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuCBXGUFoM59zVYu40BVQIlUi0k8N3+hOmdooG13W+Jjn/ngOQveeICOKBPNnHU3rf4lsQJ9Gx4lBbAzy2CecirSvzxFWY2y47cJ65lQsdxbTL3Ux5YL/0TYrgqVOsE5nxQMafiL6Osox7xkoeAVoWkiDw/M8OEcgWaVLXWhd/YgVGjQyo+2mPUELLqZTx/ZOHNvvHNom1AzI8hNENFxo77ruZpyNAccrQkcKRpWlsvHRDutGfKDF96mr/tbXENSbbawSxH3SHlmHsOaA3Kx0q7mq+uq0YLyV82dZq6u6o3WDQ9Otv+Hh18RHHAlYnaB+oNvS6nhvSQn6mRrOUllcnQIDAQAB

Ce qui donnerait donc une entrée DNS valide :

dkim._domainkey IN TXT ( "v=DKIM1; k=rsa; s=email; h=sha256; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuCBXGUFoM59zVYu40BVQIlUi0k8N3+hOmdooG13W+Jjn/ngOQveeICOKBPNnHU3rf4lsQJ9Gx4lBbAzy2CecirSvzxFWY2y47cJ65lQsdxbTL3Ux5YL/0TYrgqVOsE5nxQMafiL6Osox7xkoeAVoWkiDw/M8OEcgWaVL" "XWhd/YgVGjQyo+2mPUELLqZTx/ZOHNvvHNom1AzI8hNENFxo77ruZpyNAccrQkcKRpWlsvHRDutGfKDF96mr/tbXENSbbawSxH3SHlmHsOaA3Kx0q7mq+uq0YLyV82dZq6u6o3WDQ9Otv+Hh18RHHAlYnaB+oNvS6nhvSQn6mRrOUllcnQIDAQAB" )

bizarrement j’ai observé que chez OVH l’entrée DNS est la suivante (notez les parenthèses):

dkim._domainkey IN TXT ( "v=DKIM1; k=rsa; s=email; h=sha256; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuCBXGUFoM59zVYu40BVQIlUi0k8N3+hOmdooG13W+Jjn/ngOQveeICOKBPNnHU3rf4lsQJ9Gx4lBbAzy2CecirSvzxFWY2y47cJ65lQsdxbTL3Ux5YL/0TYrgqVOsE5nxQMafiL6Osox7xkoeAVoWkiDw/M8OEcgWaVL" "XWhd/YgVGjQyo+2mPUELLqZTx/ZOHNvvHNom1AzI8hNENFxo77ruZpyNAccrQkcKRpWlsvHRDutGfKDF96mr/tbXENSbbawSxH3SHlmHsOaA3Kx0q7mq+uq0YLyV82dZq6u6o3WDQ9Otv+Hh18RHHAlYnaB+oNvS6nhvSQn6mRrOUllcnQIDAQAB" )

Note: Si vous voulez suivre l’assistant graphique d’ajout d’une entrée DKIM chez OVH vous pouvez suive la documentation détaillée proposée sur le wiki: https://sud-ouest2.org/wiki/domaine/chez_ovh

alors que chez GANDI il semble que les parenthèses ne sont pas nécessaires (voire même puissent poser problème)

dkim._domainkey IN TXT "v=DKIM1; k=rsa; s=email; h=sha256; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuCBXGUFoM59zVYu40BVQIlUi0k8N3+hOmdooG13W+Jjn/ngOQveeICOKBPNnHU3rf4lsQJ9Gx4lBbAzy2CecirSvzxFWY2y47cJ65lQsdxbTL3Ux5YL/0TYrgqVOsE5nxQMafiL6Osox7xkoeAVoWkiDw/M8OEcgWaVL" "XWhd/YgVGjQyo+2mPUELLqZTx/ZOHNvvHNom1AzI8hNENFxo77ruZpyNAccrQkcKRpWlsvHRDutGfKDF96mr/tbXENSbbawSxH3SHlmHsOaA3Kx0q7mq+uq0YLyV82dZq6u6o3WDQ9Otv+Hh18RHHAlYnaB+oNvS6nhvSQn6mRrOUllcnQIDAQAB"

DMARC

Et pour finir, passons à DMARC

_dmarc IN TXT "v=DMARC1;p=quarantine;sp=quarantine;pct=100;adkim=r;aspf=r;fo=1;ri=86400;rua=mailto:postmaster@sud-ouest2.org;ruf=mailto:postmaster@sud-ouest2.org;rf=afrf"

Vérifier vos enregistrements

Voici quelques instructions à utiliser pour vérifier si vos enregistrements DNS sont corrects. Attention si vous venez de faire les modifications pensez bien au délai de propagation des DNS (et à la mise en cache) !

dig +short TXT dkim._domainkey.sud-ouest2.org
dig +short TXT _dmarc.sud-ouest2.org

Pensez à remplacer sud-ouest2.org par votre domaine 🙂

Si vous voulez aller plus loin

Il est grandement conseillé d’ouvrir un compte et de mettre en place l’entrée DNS qui permet d’authentifier votre domaine auprès de Google … disons que si vous ne le faites pas vous aurez probablement droit à des messages comme celui-ci:

(host alt1.gmail-smtp-in.l.google.com[209.85.233.27] said: 421-4.7.0 This message does not have authentication information or fails to pass 421-4.7.0 authentication checks. To best protect our users from spam, the 421-4.7.0 message has been blocked. Please visit 421-4.7.0 https://support.google.com/mail/answer/81126#authentication for more 421 4.7.0 information. q14si16888903lji.50 – gsmtp (in reply to end of DATA command))

Direction https://postmaster.google.com