Wiki CgX

Parce que j'ai un cerveau, mais pas trop.

Outils pour utilisateurs

Outils du site


it:linux-selfhosting:mta-mda:rspamd

Rspamd

Comprendre les symboles Rspamd

Source : https://wiki.fiat-tux.fr/books/administration-syst%C3%A8mes/page/rspamd#bkmrk-comprendre-les-symbo

Voici une liste de symboles expliqués (cette liste n’est pas exhaustive) :

  • ARC_REJECT : la signature ARC est-elle valide ?
  • ARC_SIGNED : existe-t-il une signature ARC ?
  • ASN : score de l’IP par rapport à son ASN auquel il appartient. Rspamd fait des statistiques au niveau des adresses IP, sous-réseaux, ASN et pays
  • BAYES_SPAM : analyse bayésienne du mail
  • CTYPE_MIXED_BOGUS : mails multipart/mixed sans partie non-textuelle
  • DKIM_SIGNED : le message possède une signature DKIM (sans préjuger de sa validité)
  • DKIM_TRACE : un truc avec DKIM, c’est sûr, mais je sais pas quoi exactement
  • DMARC_POLICY_SOFTFAIL : la vérification DMARC a échoué
  • FORGED_RECIPIENTS : les destinataires ne sont pas les mêmes que la commande mail RCPT TO
  • FORGED_RECIPIENTS_MAILLIST : les destinataires ne sont pas les mêmes que la commande mail RCPT TO mais le message vient d’une liste de diffusion
  • FORGED_SENDER : l’en-tête Sender est forgé (différence entre l’en-tête From et MAIL FROM)
  • FORGED_SENDER_MAILLIST : l’en-tête Sender est forgé (différence entre l’en-tête From et MAIL FROM) mais le message vient d’une liste de diffusion
  • FROM_NEQ_ENVFROM : l’adresse From est différente de celle de l’enveloppe
  • FROM_NO_DN : l’en-tête From n’a pas de display name
  • HAS_LIST_UNSUB : possède l’en-tête List-Unsubscribe
  • HAS_REPLYTO : est-ce que le mail a bien un header Reply-To ?
  • LOCAL_WL_IP : vérification de la liste blanche locale
  • MAILLIST : le mail semble venir d’une liste de diffusion
  • MID_RHS_MATCH_FROM : est-ce qu’on retrouve l’adresse From dans le Message-ID ?
  • MID_RHS_NOT_FQDN : le Message-ID ne contient pas de nom de domaine pleinement qualifié (fqdn)
  • MIME_GOOD : Content-Type connu
  • MIME_TRACE : un truc qui a à voir avec les types MIME, mais je sais pas quoi exactement
  • PRECEDENCE_BULK : envoi de mail en masse
  • RCPT_COUNT_ONE : un seul destinataire
  • RCVD_COUNT_THREE : le mail a entre 3 et 5 en-tête Received (a transité par 3/4/5 serveurs différents)
  • RCVD_IN_DNSWL_FAIL : fail du test https://www.dnswl.org (une liste blanche d’adresses IP)
  • RCVD_TLS_LAST : le dernier serveur (last hop) utilise un transport sécurisé
  • R_DKIM_ALLOW : DKIM correct
  • RECEIVED_SPAMHAUS_FAIL : a priori, blacklisté chez Spamhaus (une RBL)
  • R_EMPTY_IMAGE : le message contient des parties texte vides et une image
  • REPLYTO_DN_EQ_FROM_DN : le display name de l’en-tête Reply-To est-il le même que celui du From ?
  • REPLYTO_DOM_NEQ_FROM_DOM : le domaine Reply-To ne correspond pas à celui de From
  • R_SPF_ALLOW : respect de l’enregistrement SPF
  • TO_DN_NONE : Aucun des destinataires n’a de display names
  • TO_DOM_EQ_FROM_DOM : le domaine To est le même que celui de From

DKIM Signing

Générer une (nouvelle) paire de clés

rspamadm dkim_keygen -b 2048 -s 201910 -k /var/lib/rspamd/dkim/domain.tld.201910.key > /var/lib/rspamd/dkim/domain.tld.201910.key.pub
  • b : La longueur de la clé. 2048 semble être un minimum en 2019
  • s : Le nom/sous-domaine de la clé. Ici j'ai utilisé YYYYMM pour pouvoir roller facilement d'une année à l'autre…

Puis mettre à jour la zone avec le contenu de domain.tld.201910.key.pub

Puis dans :

/etc/rspamd/local.d/dkim_signing.conf
domain.tld {
selector = "201910";
privkey = "/var/lib/rspamd/dkim/domain.tld.201910.key";
}

En cas de rotation de clé, ne pas garder les deux dans rspamd : La nouvelle remplace l'ancienne

En cas de rotation de clé, attention avant de retirer l'ancienne clé de la zone. Les mails que vous avez déjà envoyés peuvent faire l'objet de vérifications DKIM après-coup… Laisser les deux quelques jours ou quelques semaines.

Et on pense a reloader rspamd :

systemctl restart rspamd.service 

Forcer une politique DMARC

Source : https://wiki.fiat-tux.fr/books/administration-syst%C3%A8mes/page/rspamd#bkmrk-forcer-une-politique

Quand la politique DMARC n'est pas respectée, ça influence le score de spam, mais ça ne rejette pas forcément le mail. Pour forcer la politique appliquée selon ce que recommande l'enregistrement

/etc/rspamd/local.d/dmarc.conf
actions = {
    quarantine = "add_header";
    reject = "reject";
    }
it/linux-selfhosting/mta-mda/rspamd.txt · Dernière modification : 22 Mar 2023 :: 18:06 de CgX