Tag Archive for 'postfix'

Configurer SPF sous Debian etch

mars 12th, 2008 by Jean-Baptiste

Le spam, y en a marre ! Un certain nombre de technologies sont en train d’être expérimentées sur Internet pour y remédier; l’une d’elle est SPF, qui offre aux administrateurs de noms de domaines la possibilité de déterminer quels serveurs sont autorisés à envoyer des emails ‘provenant’ de leur domaine. Par exemple, les serveurs de noms du domaine asteromith.net contiennent un enregistrement de type TXT qui spécifie les règles que les relais d’email doivent adopter lorsqu’ils reçoivent un message en provenance d’une adresse @asteromith.net. SPF est actuellement assez peu utilisé (entre autres par Google Mail) mais il sert de base à la technologie Sender ID, soutenue par Microsoft (et a priori présente sur MSN Live Mail).

Publier un enregistrement SPF est chose aisée, du moment qu’on maitrise un tant soit peu la configuration d’un serveur de nom. Là où les choses se compliquent quelque peu, c’est dans la configuration des relais - par exemple, l’excellent Postfix sur Debian Etch. Il existe un certain nombre d’implémentations de SPF pour Postfix, certaines natives, d’autres faisant appel à des “daemons” externes (il existe au moins une implémentation en Python et une en Perl).

Je n’ai pas inventé la poudre, j’ai suivi les instructions sur Yoann’s BloG. J’y ajouterai les deux commentaires suivants:

  • Après installation du paquet libmail-spf-query-perl, il faut récupérer le script à gzippé /usr/share/doc/libmail-spf-query-perl/examples/postfix-policyd-spf.gz
  • Nul besoin d’invoquer /usr/bin/perl, le script contenant l’entête idoine pour le lancement automatique (et surtout, mettre 2 arguments sur la ligne de commande du ’spawn’ a tendance à provoquer des retours d’erreurs dans les logs de postfix, semble-t-il)
  • Surtout éviter au maximum d’avoir à utiliser CPAN avec une machine 64 bits ! Mail::SPF dépend de NetAddr::IP qui ne compile par en 64 bits pour des questions de petits indiens ;)
  • Il vaut mieux ne pas essayer d’utiliser le script le plus récent de Openspf.org, qui dépend d’une version ‘trop récente’ de NetAddr::IP (autant s’en tenir au script packagé, qui a l’insigne avantage de fonctionner avec les bibliothèques Perl présentes dans Etch)

Ouf ! Après une soirée d’arrachage de cheveux, les mails passent à la moulinette SPF avant d’arriver dans nos boites. Prochaine étape: implémenter DKIM pour signer le courrier sortant :)

Mots-clefs :, , , ,
   Post in howtos    Add a comment