Configuration de votre domaine pour héberger vos listes de diffusion

Configuration de votre domaine pour héberger vos listes de diffusion

Généralités

Vous avez votre nom de domaine et vous souhaitez confier à Sud-Ouest.org l’hébergement de listes de diffusion ? Voici ce que vous devrez faire au niveau du DNS :

  • Ajouter une entrée “listes.votredomaine.tld” qui pointe vers notre serveur “listes.sud-ouest2.org”, ce qui donne par exemple
listes IN A 87.98.220.62
  • Ajouter un champ MX pour le serveur primaire
listes IN MX 10 mx.sud-ouest2.org.
listes IN MX 100 mx-backup.sud-ouest2.org.

Une adresse courriel listmaster@votredomaine.tld

Par défaut l’administrateur de votre moteur de liste de diffusion (sympa) est configuré pour être listmater@votredomaine.tld … vous vous engagez donc à ce que cette adresse fonctionne avant de mettre en place les listes de diffusion !

Et en supplément optionnel…

Tant que vous êtes dans la modification de vos entrées DNS nous vous proposons quelques petites choses en plus… que vous pouvez ou pas activer si vous voulez.

SPF

Si vous voulez que votre domaine bénéficie de SPF, ajoutez une entrée DNS comme ceci :

listes IN TXT "v=spf1 a mx include:sud-ouest2.org -all"

DKIM

Si vous voulez que votre domaine utilise DKIM et expédie des courriels signés, nous vous proposons d’utiliser la clé publique de sud-ouest.org qui signera alors tous vos courriels sortants et améliorera ainsi le filtrage antispam de vos correspondants…

dkim._domainkey.listes IN TXT ( "v=DKIM1; k=rsa; t=s; s=email; h=sha256; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuCBXGUFoM59zVYu40BVQIlUi0k8N3+hOmdooG13W+Jjn/ngOQveeICOKBPNnHU3rf4lsQJ9Gx4lBbAzy2CecirSvzxFWY2y47cJ65lQsdxbTL3Ux5YL/0TYrgqVOsE5nxQMafiL6Osox7xkoeAVoWkiDw/M8OEc" "gWaVLXWhd/YgVGjQyo+2mPUELLqZTx/ZOHNvvHNom1AzI8hNENFxo77ruZpyNAccrQkcKRpWlsvHRDutGfKDF96mr/tbXENSbbawSxH3SHlmHsOaA3Kx0q7mq+uq0YLyV82dZq6u6o3WDQ9Otv+Hh18RHHAlYnaB+oNvS6nhvSQn6mRrOUllcnQIDAQAB" )

Bizarrement j’ai observé que chez OVH l’entrée DNS est la suivante (notez les parenthèses):

dkim._domainkey.listes IN TXT ( "v=DKIM1; k=rsa; s=email; h=sha256; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuCBXGUFoM59zVYu40BVQIlUi0k8N3+hOmdooG13W+Jjn/ngOQveeICOKBPNnHU3rf4lsQJ9Gx4lBbAzy2CecirSvzxFWY2y47cJ65lQsdxbTL3Ux5YL/0TYrgqVOsE5nxQMafiL6Osox7xkoeAVoWkiDw/M8OEcgWaVL" "XWhd/YgVGjQyo+2mPUELLqZTx/ZOHNvvHNom1AzI8hNENFxo77ruZpyNAccrQkcKRpWlsvHRDutGfKDF96mr/tbXENSbbawSxH3SHlmHsOaA3Kx0q7mq+uq0YLyV82dZq6u6o3WDQ9Otv+Hh18RHHAlYnaB+oNvS6nhvSQn6mRrOUllcnQIDAQAB" )

alors que chez GANDI il semble que les parenthèses ne sont pas nécessaires (voire même puissent poser problème)

dkim._domainkey.listes IN TXT "v=DKIM1; k=rsa; s=email; h=sha256; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuCBXGUFoM59zVYu40BVQIlUi0k8N3+hOmdooG13W+Jjn/ngOQveeICOKBPNnHU3rf4lsQJ9Gx4lBbAzy2CecirSvzxFWY2y47cJ65lQsdxbTL3Ux5YL/0TYrgqVOsE5nxQMafiL6Osox7xkoeAVoWkiDw/M8OEcgWaVL" "XWhd/YgVGjQyo+2mPUELLqZTx/ZOHNvvHNom1AzI8hNENFxo77ruZpyNAccrQkcKRpWlsvHRDutGfKDF96mr/tbXENSbbawSxH3SHlmHsOaA3Kx0q7mq+uq0YLyV82dZq6u6o3WDQ9Otv+Hh18RHHAlYnaB+oNvS6nhvSQn6mRrOUllcnQIDAQAB"

Concernant DKIM

Pensez bien à modifier la configuration de vos listes de diffusions comme ceci : Allez dans le sous-menu DKIM du menu “Configurer la liste”:

Puis complétez cette page avec les informations ci-dessous et sauvegardez :

  • Insérer une signature aux messages postés par la liste. (dkim_feature): ON
  • Chemin vers le fichier contenant la clé privée DKIM de la liste (private_key_path) : VIDE
  • Selecteur pour la recherche DNS de la clé publique DKIM. (selector) : dkim
  • Balise DKIM “d=” ; vous devriez probablement utiliser la valeur par défaut. (signer_domain) : listes.votredomaine.tld
  • Balise DKIM “i=”. Vous devriez sans doute laisser cette valeur vide. (signer_identity) : @listes.votredomaine.tld
  • Les catégories de messages de liste qui seront signés avec DKIM. (dkim_signature_apply_on): tout message
  • Protection DMARC (dmarc_protection): tous
  • Expression régulière de concordance de domaine (domain_regex) : vide
  • Nouvelle adresse From (other_email) : votreliste@listes.votredomaine.tld (par exemple si l’adresse mail de votre liste est tech@listes.sud-ouest.org mettez cette information)
  • Nouveau format de nom From (phrase) : “Nom” (via List)(name_via_list)

Exemple de configuration pour la liste de diffusion dev du projet abuledu.org:

DMARC

Et pour finir, passons à DMARC

_dmarc.listes IN TXT "v=DMARC1;p=quarantine;sp=quarantine;pct=100;adkim=r;aspf=r;fo=1;ri=86400;rua=mailto:postmaster@sud-ouest2.org;ruf=mailto:postmaster@sud-ouest2.org;rf=afrf"

Si vous voulez aller plus loin

Il est grandement conseillé d’ouvrir un compte et de mettre en place l’entrée DNS qui permet d’authentifier votre domaine auprès de Google … disons que si vous ne le faites pas vous aurez probablement droit à des messages comme celui-ci:

(host alt1.gmail-smtp-in.l.google.com[209.85.233.27] said: 421-4.7.0 This message does not have authentication information or fails to pass 421-4.7.0 authentication checks. To best protect our users from spam, the 421-4.7.0 message has been blocked. Please visit 421-4.7.0 https://support.google.com/mail/answer/81126#authentication for more 421 4.7.0 information. q14si16888903lji.50 – gsmtp (in reply to end of DATA command))

Donc direction https://postmaster.google.com pour ajouter listes.votredomaine.tld dans la liste des domaines authentifiés par Google et modifiez votre zone DNS en conséquence.