Pour que le dmarc soit valide, il faut que le SPF et le DKIM soit valide.
Pour ce faire, il faut réécrire l’adresse du from par celle de la liste, on perd donc l’adresse réelle de l’envoyeur d’origine. Par contre son nom et prénom reste affiché mais plus son adresse mail.
Ce qui donne par exemple :
blabla-request@listes.ouvaton.coop; de la part de; Gurvan Rottier-Ripoche blabla@listes.ouvaton.coop
|SPF :|PASS avec IP 51.158.64.220
|DKIM :|‹ PASS › avec le domaine listes.ouvaton.coop
|DMARC :|‹ PASS ›|
Et non pas :
blabla-request@listes.ouvaton.coop; de la part de; Gurvan Rottier-Ripoche g.rottier-ripoche@inulogic.com
Il faut faire très attention à la configuration car c’est très punitif en cas d’erreur, l’effet étant fortement négatif à la moindre erreur (ce qui est le but du système en soit).
Par exemple sur la liste projet qui n’a pas la réécriture d’activée (ni la configuration correctement générée), certains mails sont parfait quand c’est bien la liste qui envoi, exemple le mail d’inscription :
dkim=pass header.i=@listes.ouvaton.coop header.s=default header.b=SnobATi+;
spf=pass (google.com: domain of projets-owner@listes.ouvaton.coop designates 51.158.64.220 as permitted sender) smtp.mailfrom=projets-owner@listes.ouvaton.coop;
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=listes.ouvaton.coop
Mais dans le cas d’un mail envoyé depuis mon adresse, ça invalide tout alors que le dkim utilisé par mon adresse chez Microsoft est correct.
dkim=neutral (body hash did not verify) header.i=@inulogic.onmicrosoft.com header.s=selector2-inulogic-onmicrosoft-com header.b=WBgwBMLC;
arc=fail (body hash mismatch);
spf=pass (google.com: domain of projets-owner@listes.ouvaton.coop designates 51.158.64.220 as permitted sender) smtp.mailfrom=projets-owner@listes.ouvaton.coop
Authentication-Results: coucou26.listes2.vox.coop; dmarc=none (p=none dis=none) header.from=inulogic.com
ARC-Authentication-Results: i=1; mx.microsoft.com 1; spf=pass smtp.mailfrom=inulogic.com; dmarc=pass action=none header.from=inulogic.com; dkim=pass header.d=inulogic.com; arc=none
La seule configuration idéale pour avoir le dkim valide et le dmarc accepté est la réécriture complète des adresses.
A voir dès que la doc sera terminée :).
Gurvan.