#1 Le 23/04/2013, à 20:06
- lildadou
[spamassassin] T_DKIM_INVALID sur une signature DKIM valide
Bonjour,
spamassassin ajoute le flag T_DKIM_INVALID pour tout les messages signé avec DKIM. Pourtant, mon filtre DKIM marque bien que la signature est correcte avant que spamassassin ne fasse son boulot. Le problème vient du packet opendkim. Ce packet est compilé avec la librairie libunbound, ce qui active automatiquement la vérification DNSSEC. Lorsqu'une signature DKIM est vérifier sans utiliser DNSSEC on obtiens ceci:
Authentication-Results: domain.tld; dkim=pass
(2048-bit key; insecure key) header.i=@gmail.com header.b=XPWfszpU;
dkim-adsp=passD'après ce que j'ai googlé, c'est ce tout petit insecure key qui fait que spamassassin invalide la signature DKIM. J'ai bataillé dur pour activer DNSSEC pour opendkim (j'expliquerai en Annexe I) pour me rendre compte que GMail, Yahoo ou Hotmail n'utilisent pas DNSSEC (pan!)
Comment faire pour que spamassassin arrête de mettre un T_DKIM_INVALID? Quelqu'un peut me dire comment créer un paquet de opendkim compilé sans libunbound?
Annexe I: Activer DNSSEC pour opendkim.
Prérequis: opendkim doit avoir été compilé avec la libraire libunbound
Un résolveur a besoin d'une Trust Anchor pour pouvoir faire une vérification DNSSEC. Un peu comme X.509 a besoin de certificats racine. Le fichier de configuration de opendkim paramétre cette ancre avec le champ TrustAnchorFile qui doit avoir pour valeur un chemin de fichier. Ce fichier contient la/les clef publique des ancres de confience en syntaxe unbound. Le site de unbound donne un exemple: celui de la zone racine.
Hors ligne
#2 Le 23/04/2013, à 21:34
- Pseudo supprimé
Re : [spamassassin] T_DKIM_INVALID sur une signature DKIM valide
annulé.
j'ai confondu la réception
Dernière modification par Titouan (Le 23/04/2013, à 21:54)