Plesk prend en charge un certain nombre de solutions anti-spam pour la validation de l’identité des mails :

  • DKIM (DomainKeys Identified Mail) est une méthode utilisée pour associer l’identité d’un nom de domaine à un message sortant et pour valider l’identité d’un nom de domaine associée à un message entrant par authentification cryptographique.
  • SPF (Sender Policy Framework) est une méthode utilisée pour empêcher la falsification d’adresses d’expéditeurs, c’est-à-dire l’utilisation de fausses adresses d’expéditeurs. Elle permet au serveur de messagerie de vérifier que le mail entrant d’un domaine vient d’un hôte autorisé par l’administrateur de ce domaine. De plus, Plesk utilise SRS (Sender Rewriting Scheme), de sorte que les messages transférés puissent passer le contrôle SPF.
  • DMARC (Domain-based Message Authentication, Reporting et Conformance) est une technologie qui permet d’étendre les fonctionnalités des méthodes SPF et DKIM. La politique DMARC détermine la façon dont les mails sont gérés selon les résultats des vérifications DKIM et SPF.

Configuration du serveur de messagerie requise pour ces solutions :

Serveur de messagerie DKIM SPF* SRS DMARC
Postfix (Linux)
Qmail (Linux)
MailEnable Professional (Windows)
MailEnable Standard (Windows) Version 9.16 ou ultérieure
SmarterMail (Windows)
IceWarp (Windows)

Dans cette table, “+” signifie que la solution est prise en charge par toutes les versions prises en charge par Plesk Obsidian. ‘-‘ signifie que la solution n’est pas prise en charge.

Note: *In the table above, SPF support means SPF for incoming mail. Linux mail servers are marked with ‘+’ because Plesk for Linux supports SPF for incoming and outgoing mail. Windows mail servers are marked with ‘-’ because Plesk for Windows supports SPF for outgoing mail only.

DKIM

Enabling DKIM for a domain attaches a special header to every email sent from the domain. This header contains a cryptographic private key. The recipient mail servers use a public key to verify that an email was indeed sent from the domain and no one tampered with the email content in transit. Emails that do not have the header will be detected as not authentic.

Pour assurer la prise en charge DKIM, Plesk utilise une bibliothèque externe (Linux) ou le serveur de messagerie utilisé dans Plesk (Windows).

Enabling or Disabling DKIM on the Server

DKIM est activé par défaut dans Plesk. Pour désactiver DKIM ou le conserver uniquement pour les mails sortants ou entrants, allez dans Outils & Paramètres > Paramètres du serveur de messagerie (groupe « Mail »). Faites défiler jusqu’à la section « Protection anti-spam DKIM » et décochez une ou les deux des cases suivantes :

  • Autoriser la signature des mails sortants. Cette option permet aux clients d’activer la signature DKIM pour les mails sortants, domaine par domaine. Cette option n’active pas automatiquement la signature de tous les mails sortants. Pour utiliser DKIM, les utilisateurs doivent l’activer domaine par domaine.
  • Vérifier les mails entrants (Plesk pour Linux). Cette option active la vérification DKIM pour tout mail entrant. Tous les messages sont vérifiés et si la vérification échoue, les messages sont signalés avec l’en-tête spécifique.

Note: vous ne pouvez pas désactiver la vérification DKIM pour les mails entrants si DMARC est activé.

Enabling DKIM for a Domain

Si la signature DKIM est activée sur le serveur (cf. section Activer ou désactiver DKIM sur le serveur ci-dessus), les clients peuvent signer les mails sortants pour leurs domaines.

To enable DKIM signing of outgoing mail for a domain:

  1. Go to Websites & Domains > your domain > the « Mail » tab > Mail Settings.

  2. Select the « Use DKIM spam protection system to sign outgoing email messages » checkbox and then click Apply.

    If you use the Plesk DNS server, you have enabled DKIM for the domain. Plesk adds the following two records to the DNS zone of the domain (example.com stands for your domain name):

    • default._domainkey.example.com contains the public part of the generated key.
    • _ domainkey.example.com contains the DKIM policy. You can edit this policy.

    If you use an external DNS server, you have one more step left. Plesk cannot add the DNS records to the external DNS server. Add them yourself using a hint from Plesk.

  3. Click « How to configure external DNS » to open the hint. Copy two DNS records you see there and add them to the DNS server.

Note: If you have domain aliases you use to send mail, add the DKIM DNS records for them as well. Use the same records as for the main domain but with the domain alias name.

image DKIM external DNS

SPF et SRS

SPF (Sender Policy Framework) est une méthode utilisée pour empêcher la falsification d’adresses d’expéditeurs, c’est-à-dire l’utilisation de fausses adresses d’expéditeurs. Cette méthode permet à l’administrateur d’un domaine de définir une politique qui autorise des hôtes spécifiques à envoyer des mails depuis le domaine. Le serveur de messagerie cible vérifie si les mails entrants depuis un domaine sont émis par un hôte autorisé par l’administrateur de ce domaine. La méthode SPF se base sur des règles spécifiées par l’administrateur dans la zone DNS de l’expéditeur.

Dans Plesk, vous pouvez définir une politique SPF pour les mails sortants en indiquant les règles dans un enregistrement DNS. Dans Plesk pour Linux, SPF vérifie également par défaut les mails entrants.

When SPF is set up, the mail server checks incoming mail using the following algorithm steps:

  1. Read local rules.

    Local rules are the rules used by the spam filter. An example local rule can be the following: a:test.plesk.com.

  2. Search for the sender’s DNS SPF record (if any).

    An example SPF record can be the following:example.com. TXT v=spf1 +a +mx -all

  3. Concatenate the local rules and the SPF record into the resulting policy.

    In our example, the resulting policy will be example.com. TXT v=spf1 +a +mx +a:test.plesk.com -all.

    Note: If the mail server detects no SPF record, the resulting policy will comprise the local rules only.

  4. Check mail against the policy resulting from the previous step.

  5. Read guess rules.

    Guess rules are the global rules that override the SPF record. An example guess rule can be the following: v=spf1 +a/24 +mx/24 +ptr ?all.

  6. Check mail against the guess rules only.

  7. Compare the results of the two checks: the one made against the resulting policy (step 4) and the one made against the guess rules only (the previous step). Apply the check whose result is more permissive.

See more information on SPF check statuses.

Pour configurer une politique SPF pour les mails sortants :

Allez sous Outils & Paramètres > Template DNS et modifiez l’enregistrement TXT DNS associé à SPF. Cet enregistrement DNS est toujours présent dans le template DNS pour l’ensemble du serveur. Voici un exemple d’enregistrement SPF créé par Plesk :

example.com.    TXT    v=spf1 +a +mx +a:test.plesk.com -all

Les différentes parties de cet enregistrement ont la signification suivante :

Partie Description
v=spf1 Le domaine utilise SPF en version 1.
+a Tous les hôtes des enregistrements « A » sont autorisés à envoyer des mails.
+mx Tous les hôtes des enregistrements « MX » sont autorisés à envoyer des mails.
+a:test.plesk.com Le domaine test.plesk.com est autorisé à envoyer des mails.
-all Tous les autres domaines n’ont pas l’autorisation d’envoyer des mails.

Pour en savoir plus sur la syntaxe des enregistrements DNS SPF, consultez la page :. La politique des notations est disponible ici : RFC7208.

(Plesk pour Linux) Pour configurer SPF afin de vérifier les mails entrants :

  1. Allez dans Outils & Paramètres > Paramètres du serveur de messagerie (sous « Mail ») et faites défiler jusqu’à la section « Protection anti-spam SPF ».

  2. Sélectionnez une option dans la zone de liste déroulante Mode de contrôle du SPF pour spécifier comment traiter l’e-mail quand SPF applique les règles locales et d’évaluation:

    1. Créer seulement des en-têtes Received-SPF et ne jamais bloquer - pour accepter tous les messages entrants quels que soient les résultats de la vérification SPF.
    2. En cas de problème lors de la recherche des DNS, utiliser les messages d’erreur temporaires - pour accepter tous les messages entrants quels que soient les résultats de la vérification SPD, même si la vérification SPF a échoué en raison de problèmes de recherche DNS.
    3. Rejeter le mail quand SPF se résout en « fail » (refus) - pour rejeter les messages des expéditeurs qui ne sont pas autorisés à utiliser le domaine concerné.
    4. Rejeter le mail quand SPF se résout en « soffail » - pour rejeter les messages des expéditeurs qui ne peuvent pas être identifiés par le système SPF comme autorisés ou ne sont pas autorisés parce que le domaine n’a pas d’enregistrements SPF publiés.
    5. Rejeter le mail quand SPF se résout en « neutral » - pour rejeter les messages des expéditeurs qui ne peuvent pas être identifiés par le système SPF comme autorisés ou ne sont pas autorisés parce que le domaine n’a pas d’enregistrements SPF publiés.
    6. Rejeter le mail quand SPF ne résout pas en « pass » - pour rejeter les messages qui ne passent pas la vérification SPF pour quelque raison que ce soit (par exemple, lorsque le domaine de l’expéditeur ne met pas en œuvre SPF et la vérification SPF renvoie le statut « unknown »).
  3. Pour spécifier les règles locales, tapez les règles dont vous avez besoin dans le champ Règles SPF locales.
    Par exemple : include:spf.trusted-forwarder.org.

    En savoir plus sur les règles SPF.

  4. Vous pouvez aussi spécifier les règles d’évaluation dans le champ Règles d’évaluation SPF.

    Par exemple : v=spf1 +a/24 +mx/24 +ptr ?all

  5. Pour définir un message d’erreur arbitraire qui sera renvoyé à l’émetteur SMTP quand un mail sera rejeté, saisissez le texte du message dans la zone de saisie Explication du SPF.

    Si aucune valeur n’est définie, c’est le texte par défaut qui sera utilisé pour la notification.

  6. Pour terminer la configuration, cliquez sur OK.

(Plesk pour Linux) Pour désactiver la vérification SPF pour les mails entrants :

  1. Allez dans Outils & Paramètres > Paramètres du serveur de messagerie (sous « Mail »).
  2. Dans la section « DMARC », décochez la case Autoriser DMARC à vérifier la messagerie entrante le cas échéant.
  3. Dans la section « Protection anti-spam SPF », décochez la case « Activer la protection anti-spam SPF pour vérifier la messagerie entrante » et cliquez sur OK.

Utilisation de SRS

En plus de SPF, certains serveurs de messagerie dans Plesk prennent en charge SRS (Sender Rewriting Scheme), un mécanisme permettant de réécrire les adresses d’expéditeurs lorsqu’un e-mail est renvoyé de telle sorte que l’e-mail renvoyé continue à être compatible SPF. SRS permet de garantir la remise des messages à leur destinataire au cas où SPF est utilisé.

SRS est utilisé automatiquement lorsque des messages sont transférés depuis des boîtes mail hébergées sous Plesk.

Pour assurer la fonctionnalité SRS, Plesk utilise une bibliothèque externe (Linux) ou un logiciel de serveur de messagerie (Windows).

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) est une technologie qui étend les fonctionnalités des politiques expéditeur SPF et DKIM . La politique DMARC détermine la façon dont les mails sont gérés selon les résultats des vérifications DKIM et SPF. Cette technologie s’appuie sur les règles indiquées dans la zone DNS de l’expéditeur.

Dans Plesk, vous pouvez définir une politique DMARC pour les mails sortants en indiquant les règles dans un enregistrement DNS. Dans Plesk pour Linux et Plesk pour Windows qui utilisent SmarterMail, DMARC vérifie également par défaut les mails sortants.

Pour configurer une politique DMARC personnalisée pour les mails sortants :

Allez sous Outils & Paramètres > Template DNS et modifiez les enregistrements DNS associés à la politique DMARC. Ces enregistrements DNS sont toujours présents dans le template DNS pour l’ensemble du serveur. (En revanche, les enregistrements DNS associés à DKIM sont ajoutées aux zones DNS des différents domaines lorsque vous activez DKIM sur le domaine.)

Par exemple, la politique DMARC par défaut de Plesk est définie dans l’entrée :

_dmarc.<domain>.    TXT    v=DMARC1; p=none

Cette politique recommande que le serveur de messagerie de réception ne supprime pas les messages même s’ils ont échoué au contrôle. Vous pouvez définir une politique plus stricte. Toutefois, notez que le serveur destinataire est libre d’appliquer sa propre politique aux messages entrants.

Les clients d’hébergement peuvent modifier les politiques domaine par domaine.

Pour plus d’informations sur DMARC, y compris sur les notations des politiques, consultez https://datatracker.ietf.org/doc/rfc7489/.

Pour désactiver DMARC pour les mails entrants :

  1. Allez dans Outils & Paramètres > Paramètres du serveur de messagerie (sous « Mail »).
  2. Dans la section DMARC, décochez la case « Autoriser DMARC à vérifier la messagerie entrante » et cliquez sur OK.

image 78142