Attention au format SVG qui doit être précisément SVG Tiny/Portable Secure 1.2 format (SVG P/S).

Cela se fait via un champ DNS TXT : default._bimi.mondomaine.net
Une valeur simple : v=BIMI1;l=https://votre_domain.tld/xxx/logo.svg;a=;

Une valeur avec un rejet de signature il faut mettre « a=; » explicitement.
Sinon il faut indiqué une signature au format pem.

Pour vérifier que le format du logo est bien correcte, vous pouvez utiliser également mxtoolbox.

Transformer son logo au bon format BIMI

Sur la partie compatibilité du format, je me réfère au site officiel du bimigroup qui conseille d’utiliser un outils de conversion disponible sur… Github d’une personne tiers…

J’ai converti mon logo SVG au format Tiny 1.2 pour ensuite utiliser leur outil windows pour le mettre au format SVG P/S. Autant PowerDMARC me renvoie que cela est valide, autant mxtoolbox me dit que le format ne respecte pas la norme… Je sèche un peu sur cette partie là.

Astuce pour stocker votre logo BIMI

Si vous avez suivis la mise en place du MTA-STS via docker, vous pouvez très bien mettre votre logo svg pour le BIMI sur le serveur nginx contenant votre fichier mta-sts.txt . Vous déplacez votre fichier à la racine de src :

cp mon_logo.svg /etc/docker/mta-sts.monlinux.net/src/logo.svg

Vous testez que le logo est disponible, vous devez avoir un code HTTP 200 :

$ curl -I https://mta-sts.monlinux.net/logo.svg
HTTP/2 200
accept-ranges: bytes
content-type: image/svg+xml
date: Mon, 26 May 2024 22:22:49 GMT
etag: "6638f52d-455b"
last-modified: Mon, 26 May 2024 22:20:13 GMT
server: nginx/1.25.5
content-length: 17755

Ensuite il faut créer le champ DNS suivant : « default._bimi.mondomaine.net » avec la valeur suivante : « v=BIMI1;l=https://mta-sts.mondomaine.net/logo.svg;a=;« 

Conclusion

Une fois le BIMI et le MTA-STS configuré à l’aide de power Dmarc pour la vérification, vous aurez un score honorable :

L’article BIMI pour identifier l’expéditeur mail est apparu en premier sur Mon linux.

Création du fichier mta-sts

La première chose à faire est de récupérer vos champs MX, pour cela :

dig @1.1.1.1 -t mx monlinux.net

Prenez la réponse, ici mta-gw.infomaniak.ch

monlinux.net.           300     IN      MX      5 mta-gw.infomaniak.ch.

Ensuite créer le fichier mta-sts.txt en format UTF8 linux avec les données suivantes, si vous avez plusieurs entrées mx, ajouter autant de ligne « mx: votre-2e-serveur" que nécessaire :

version: STSv1
mode: testing
mx: mta-gw.infomaniak.ch
max_age: 2592000

• la version est actuellement STSv1
• le mode testing permet à des serveurs non encore prêts de communiquer avec vous, il est possible d’être strict en utilisant le mode enforce pour que seuls des serveurs supportant TLS n’échange avec vos serveurs mails
• max_age est le temps en secondes de validité de l’autorisation. Au début partez sur 1h et une fois tout en place, vous pouvez mettre 1jour ou 1 mois si vous ne changez pas vos MX souvent.

Un article complet avec des détail sur dmarcadvisor en parle.

Création du docker

Le plus light étant de faire un container docker sur votre serveur ou votre cluster. Voici un exemple pour un docker simple avec nginx derrière un reverse proxy Traefik. Ce nginx est donc configuré en http étant donné que c’est Traefik qui gère la partie TLS HTTPS.

Créé l’arborescence nécessaire :

mkdir -p mta-sts.monlinux.net/src/.well-known
cd mta-sts.monlinux.net
vim src/.well-known/mta-sts.txt
vim docker-compose.yml

Le contenu du fichier docker-compose.yml :

Suite à mon article sur Traefik, je rappelle que le réseau partagé pour toutes les applications webs externes sont sur proxy-net. Sans cluster, je lui donne un nom et une limite de mémoire et ensuite des règles Traefik avec le resolver let’s encrypt.

version: '3.7'

networks:
  proxy-net:
    external: true

services:
  nginx:
    image: nginx:latest
    mem_limit: 100m
    container_name: mta_sts_monlinux
    networks:
      - proxy-net
    labels:
        - traefik.enable=true
        - "traefik.http.routers.mta_sts_monlinux.rule=Host(`mta-sts.monlinux.net`)"
        - traefik.http.routers.mta_sts_monlinux.tls.certresolver=le
        - traefik.http.routers.mta_sts_monlinux.entrypoints=websecure
        - traefik.frontend.passHostHeader=true
    volumes:
      - ./src:/usr/share/nginx/html
    restart: unless-stopped

Création des noms de domaine

Ne pas oublier de créer le domaine mta-sts.monlinux.net et de faire pointer sur votre Traefik ou autre hébergement web.

Ensuite il faut tester l’accessibilité via curl :

$ curl https://mta-sts.monlinux.net/.well-known/mta-sts.txt
version: STSv1
mode: testing
mx: mta-gw.infomaniak.ch
max_age: 2592000

Maintenant il faut créer un record DNS de type TXT « _mta-sts.monlinux.net » avec comme valeur la version et un id unique qui s’incrémentera au moment d’un changement de politique. Personnellement je prend le même format que pour les dns, la date et 2 chiffres YYYYMMDDNN. Dans mon cas la valeur sera « v=STSv1;id=2024050601;« 

Vérification du champ mta-sts

Vérifiez que tout est correcte avec votre outil favori. Dans mon cas, j’utilise mxtoolbox. Vous mettrez votre domaine et vous choisissez le type « MTA-STS Lookup« 
Vous aurez droit à un rapport complet sur votre champ dns, le contenu de votre fichier et les vérifications des serveurs MX présents.

Voici l’exemple sur mon domaine :

L’article Se protéger du spoof DNS avec MTA-STS est apparu en premier sur Mon linux.

Deux type de rapports DMARC

• rua : adresse à laquelle envoyer les rapports agrégés de DMARC
• ruf : adresse à laquelle envoyer les rapports d’erreur individuels

Vous devez créer une adresse mail générique pour recevoir les rapports agrégés pour l’analyser avec un outil interne. Souvent du style dmarc_rua@mondomain.tld. Il faut ensuite modifier votre champ DMARC pour lui ajouter des paramètres :

_dmarc.mondomain.tld=v=DMARC1; p=none; rua=mailto:dmarc_rua@mondomain.tld; fo=1

fo=1: Générez un rapport d’échec DMARC si l’un des mécanismes d’authentification sous-jacents (SPF ou DKIM) produit un résultat autre que « pass » aligné. (Recommandé)

Exemple multi-email rua avec le séparateur virgule :

v=DMARC1;p=none;rua=mailto:dmarc_rua@xxx.brussels,mailto:xxxxxxxx@rua.easydmarc.us;ruf=mailto:xxxxxxxx@ruf.easydmarc.us;fo=1

Exemple quarantaine :

v=DMARC1;p=quarantine;rua=mailto:dmarc_rua@xxx.mondomain.tld;fo=1;

Les différents type de paramètres

Plus de détail sur les rapports agrégés

Outils d’analyse Power Dmarc en ligne

J’ai testé l’outil en ligne Power Dmarc, il est gratuit pour un domaine en usage personnel pour 10.000 mails envoyés / mois en envoyant un mail au support très réactif.
En pro, cela démarre à 8$/mois pour <50.000 mails/mois pour 5 domaines, ce qui est honnête comme tarif.

La création du compte est assez complet et vous pouvez vérifier directement que vous avez vous champs SPF, DMARC, DKIM sont correctes.

Notez que le DKIM va prendre un sélecteur « automatiquement », mais pas vraiment… Sauf si vous avez 1,2,etc pour votre sélecteur.

Chez Infomaniak, c’est une date au format international, il faut donc allez la renseigner sous peine d’avoir un « faux » score négatif.

Pour se faire, allez dans Settings > Manage Domains :

Après avoir sélectionné votre domaine, allez mettre le sélecteur manuellement :

Rapport généré depuis easyDmarc

Afin de montrer ce que permet la mise en place des rapports DMARC, vous voyez ici qu’une partie non authentifiée dans le champ SPF est envoyée depuis MailChimp, typiquement le marketing qui avait mis cela en place sans avertir l’IT.

Il faut régulariser cela avant de passer en mode « reject » le champ DMARC sous peine d’avoir ces mails-là bloqués!

Vous voyez également un certains nombre de mail transférés vers gmail ou Infomaniak, vous devez interdire les transfert dans votre serveur de mail ou votre prestataire.

Une fois que vous n’avez plus que des compliants, alors vous pouvez passer le champ DMARC à « v=DMARC1; p=reject; ».

Si vous avez des solutions open-source pour l’analyse des rapports XML, n’hésitez pas à partager, c’est une prochaine étape!

L’article Monitoring de rapport DMARC est apparu en premier sur Mon linux.

SPF

Permet de vérifier qu’un serveur/une IP puisse envoyé des mails pour le domaine en question.

Ce n’est qu’un champ dns à ajouter.

Exemple :

• pour OVH : "v=spf1 include:mx.ovh.com ~all"
• pour Infomaniak : « v=spf1 include:spf.infomaniak.ch include:spf.mailjet.com ~all« 

Il signifie que les paramètres SPF à utiliser sont ceux du domaine « inclus ». Par exemple pour mx.ovh.com :
text = "v=spf1 ptr:mail-out.ovh.net ptr:mail.ovh.net ip4:8.33.137.105/32 ip4:192.99.77.81/32 ?all"

ATTENTION : Le champ SPF à une limite importante, il ne faut pas dépasser les 10 DNS lookups par champ SPF. Bien faire attention également à vos « include » qui peuvent en contenir eux-même également. Vous pouvez le vérifier via mxtool.com. Le code d’erreur « PermError » peut apparaitre dans vos logs si vous dépassez cette limite.

Une très bonne source pour ce champ SPF mais aussi les 2 éléments essentiels suivants, qui sont le minimum à mettre en place.

DKIM

Permet d’authentifier que le message est bien légitime. Pour cela, le serveur mail envoi une signature faite avec sa clé privée. Le serveur client vérifie la signature via la clé publique qui se trouve dans les DNS du domaine qui envoi le mail. Cette sécurité mail permet de s’assurer que le message n’a pas été altéré ou remplacé.

Si vous êtes chez Infomaniak, vous avez tout ce qu’il faut de configuré.

Chez Microsoft, vous deviez générer une clé pour chaque domaine. Dans M365, il faut aller sur https://security.microsoft.com/ > Stratégies et règles > Stratégies de menace > sous Règles – Paramètres d’authentification des e-mails > onglet DKIM

Pour OVH, il y a 3-4ans ce n’était toujours pas d’actualité….

Si vous vous auto-hébergez, il faut générer une paire de clé sur : https://dkimcore.org

Mettre la clé privée dans le serveur mail et la clé publique dans les dns :
Key001._domainkey.mondomaine.tld.=v=DKIM1;p=xxxxxxxxxxx
Selector Key001

publier la clé dans les dns, à faire chez votre registar dns si vous êtes en auto-hébergé ou chez microsoft:

source bien détaillée

Si vous êtres chez Microsoft, je vous conseille aussi d’utiliser leur relay pour envoyés vos mails serveurs et applicatif signé par le DKIM.

DMARC

Champ txt permettant de dire aux serveurs mails distants quoi faire avec les mails incorrectement reçu de leur domaine.
3 possibilités :

• Rejeter (Reject)
• Ne rien faire (none)
• Considérer comme suspect (quarantine) pour que les mails usurpés se mettent dans les spam des destinataire mais ne sont pas supprimé

Exemple de record pour commencer :
_dmarc.mondomain.tld=v=DMARC1; p=none;

_dmarc.mondomain.tld= v=DMARC1; p=quarantine;sp=quarantine

• p: Appliquez cette politique aux e-mails qui échouent au contrôle DMARC. Cette politique peut être définie sur ‘none’ (aucune), ‘quarantine’ (quarantaine) ou ‘reject’ (rejet). ‘none’ est utilisé pour collecter le rapport DMARC et obtenir un aperçu des flux d’e-mails actuels et de leur statut ;
• sp: Cette politique doit être appliquée aux e-mails provenant d’un sous-domaine de ce domaine qui échouent au contrôle DMARC. En utilisant cette balise, les propriétaires de domaine peuvent publier une politique ‘générique’ pour tous les sous-domaines ;

Si votre infrastructure est utilisée et que vous ne savez pas si des personnes de votre entreprise utilise des systèmes de newsletter tel que mailchimp, mailjet, etc ou que vous avez peut-être des serveurs utilisés ailleurs que sur votre infrastructure, je vous conseille de commencer par un « none » ou un « quarantine ».

Vous pourrez ensuite mettre en place du monitoring de rapport DMARC pour voir si tout est ok avant de passé à « reject » comme politique.

Si vous maîtrisez tout, faites quelques tests en « quarantine » durant quelques semaines avant de passer à « reject ».

Vous avez là un bon bagage pour la sécurité mail, et pour aller plus loin, je vous conseille l’article de nextinpact sur le sujet ou microsoft avec méthode d’introduction.

L’article Sécurité mail – SPF DKIM DMARC est apparu en premier sur Mon linux.

Je propose un script qui envoie par mail automatiquement un fichier zip contenant les analyses du mois de tous vos servers Squid. C’est envoyé au format CSV et cela contient le topsites. Pratique pour savoir qui pompe le plus sur le réseau chaque mois et pouvoir backlister les sites en question

Script d’envoi de rapport free-sa par mail

Ce script est a exécuter dans une tâche cron le premier du mois pour bien faire :

0 4 1 * *    root    /usr/local/sbin/send_csv_mail.sh >/dev/null

Lien de téléchargement du script : send-csv-mail.sh

#!/bin/bash
# Auteur : Belgotux
# Site : www.monlinux.net
# Adresse : belgotux@monlinux.net
# Version : 1.0
# Date : 24/09/2014
# Description : extract data from free-sa analyses, all package in a zip file and send by mail
# Required : free-sa-genere-report.sh

servers_list="server1 server2 server3 server4"
temp_dir="/tmp"
log_root_directory="/var/www"
    #example topsite : /var/www/server1/01_08_14-31_08_14-1/topsites.html
date_range=$(date +01_%m_%y-%d_%m_%y-1 -d -1day)
    #example date +01_%m_%y-%d_%m_%y-1 -d -1day : execute the cronjob the 1st month day
month_date=$(date +"%m-%Y" -d -1day)
first_month_date=$(date +01_%m_%y -d -1day)
MAILTO="root"

#Cronjob :
# 0 4 1 * *    root    /usr/local/sbin/send_csv_mail.sh >/dev/null

if [ ! -d $temp_dir/$(basename $0 .sh) ] ; then
    mkdir $temp_dir/$(basename $0 .sh) && echo "Create temp directory $temp_dir/$(basename $0 .sh)" || echo "Error creating temp directory $temp_dir/$(basename $0 .sh)"
fi

#generate the csv files
for server in $servers_list ; do
    echo $server
    #sometime no trafic last day of month
    if [ -e "$log_root_directory/$server/$date_range/topsites.html" ] ; then
        topsites_file="$log_root_directory/$server/$date_range/topsites.html"
    else
        topsites_file="$(ls -1dR /var/www/bratislava/$first_month_date* | tail -n 1)/topsites.html"
    fi
    echo "No,URL,Requetes,Octets,Utilisateurs" > $temp_dir/$(basename $0 .sh)/$server.csv && cat $topsites_file | tail -n +22 | head -n -5 | sed -e 's/<tr><td>\([^<]*\)<td class=lt><a href="\([^"]*\)">\([^"]*\)<\/a><td>\([^<]*\)<td>\([^<]*\)<td class=lt>\([^<]*\).*/"\1","\2",\4,"\5","\6"/g'  >> $temp_dir/$(basename $0 .sh)/$server.csv
done

# zip them to send by mutt mail
if [ ! -x /usr/bin/zip ] ; then
    echo "Error zip program not installed!" 1>&2
    exit 1
fi
/usr/bin/zip -r $temp_dir/topsites_$month_date.zip $temp_dir/$(basename $0 .sh)/

#remove temp files
    rm -f $temp_dir/$(basename $0 .sh)/*

# send mail
echo "In attachment the reports for month $month_date" | /usr/bin/mutt -s "CSV report free-sa log analyses $month_date" -a $temp_dir/topsites_$month_date.zip -- $MAILTO

exit $?

 Topsites anonyme

Pour avoir le topsite de manière anonyme, voici le filtre sed à remplacer :

s/<tr><td>\([^<]*\)<td class=lt><a href="\([^"]*\)">\([^"]*\)<\/a><td>\([^<]*\)<td>\([^<]*\).*/"\1","\2",\4,"\5"/g'

Avec cela vous pouvez envoyer uniquement le top 100 anonyme des sites les plus consultés pour faire réagir pacifiquement les collègues un peu trop souvent sur le web

L’article Envoie mensuel des analyses free-sa de Squid est apparu en premier sur Mon linux.

Je voulais sauvegarder mes mails avec un seul fichier par mail. Donc sauvegarder le fichier de Thunderberd n’était pas envisageable, et il me faillait quelque chose d’automatique. Je me suis donc servi de mon Banana pi sous Debian Wheezy. Le système le plus simple étant d’utiliser le logiciel Getmail4.

Configuration de Getmail4

J’ai testé avec Gmail et OVH, cela fonctionne sans souci.

Faites quand même attention et lisez le man, Getmail4 sert à la base pour synchroniser ses mails distants et locaux. Donc une fausse manip peut également supprimer vos mails distants.

Getmail4 à l’avantage de tenir à jour un fichier de status pour savoir quels mails sont déjà synchronisés en local. Il va donc chercher les nouveaux de manière incrémentale.

Voici un exemple de fichier de configuration IMAP pour Gmail. Remplacer l’utilisateur local « localuser » par le votre :

        [retriever]
        type = SimpleIMAPSSLRetriever
        server = imap.googlemail.com
        port = 993
        username = test@test.tld
        password =
        mailboxes = ("INBOX",)

        [destination]
        type = Maildir
        path = /stock/backup_mails/mails1/
        user = localuser

        [options]
        read_all = false
        delivered_to = false
        received = false
        verbose = 2
        message_log = /var/log/backup_mails/mail1.log

Créez les répertoires nécessaires et les droits associés :

mkdir -p belgotux-mails/cur belgotux-mails/new belgotux-mails/tmp
chown -R localuser belgotux-mails

Pour lancer différentes configurations en une seule commande :

/usr/bin/getmail -l -r /stock/protected-data/backup_mails/belgotux-getmail.conf -r /stock/protected-data/backup_mails/gaetan110589-getmail.conf -r /stock/protected-data/backup_mails/brogniaux.gaetan-getmail.conf -r /stock/protected-data/backup_mails/ovh-getmail.conf -g /stock/protected-data/backup_mails

Status des mails

Le status des mails déjà synchronisés est mis dans un fichier binaire type « oldmail-imap.googlemail.com-993-xxx-[Gmail].Tous les messages ». Si vous voulez relancer une synchronisation complète, il faut supprimer ce fichier en plus des archives mails de /stock/backup_mails/mails1/

L’article Sauvegarder ses mails gmail ou IMAP en local est apparu en premier sur Mon linux.

Exim utilisé comme simple relay SMTP

Dans mon cas c’est pour utiliser le relais SMTP de mon FAI : Belgacom.

Éditer le fichier suivant : /etc/exim4/update-exim4.conf.conf

dc_eximconfig_configtype='smarthost'
dc_other_hostnames=''
dc_local_interfaces='127.0.0.1 ; ::1'
dc_readhost='monlinux.net'
dc_relay_domains=''
dc_minimaldns='false'
dc_relay_nets=''
dc_smarthost='relay.skynet.be'
CFILEMODE='644'
dc_use_split_config='false'
dc_hide_mailname='false'
dc_mailname_in_oh='true'
dc_localdelivery='mail_spool'

Éditer /etc/mailname pour le domaine de base : « monlinux.net » par exemple.

Configuration avancée

Pour un remplacement d’expéditeur, on peut éditer fichier /etc/email-addresses (envelope-from)

root: mon_id@skynet.be

Dans la source mail l’expéditeur est : root <mon_id@skynet.be>

Si on a besoin de travailler aussi avec d’autres noms de domaine, rajouter les dans /etc/exim4/update-exim4.conf.conf :

dc_other_hostnames='monlinux.net'

Prendre en compte les changements dans exim :

 # update-exim4.conf

Réécriture

Pour la réécriture simple voir le fichier : /etc/email-addresses

root rpi@monlinux.net

On y met l’utilisateur interne du système et la réécriture externe.

Un MTA plus récent existe : SSMTP. Je dois faire des tests de performances avant d’en parler. Si quelqu’un l’a déjà utilisé qu’il n’hésite pas à mettre un commentaire.

L’article Configuration exim4 avec un relay SMTP est apparu en premier sur Mon linux.