• [^] # Re: Autohébergement

    Posté par (site web personnel) . En réponse au journal Linux ne m'intéresse plus. Évalué à 5.

    J'ai du mal à suivre... cette option inaccessible aux mineurs non-accompagnés serait configurée par défaut avec une valeur qui invalide soit DKIM soit la signature GPG dans certains cas où tu signes un courriel ?

    Thunderbird n'est pas le seul.
    Historiquement les mails étaient encodés en 7 bits, l'encodage en 8bit a été ensuite déployé massivement car permettant de réduire les quantités de données à transmettre. Toutefois, même encore maintenent, quelques vieux serveurs SMTP ne gèrent pas encore le 8bit.
    Ce support du 8bit peut (et non pas "doit") faire l'objet d'une déclaration en début de communication (EHLO).
    Quand un serveur d'envoi fait face à un serveur qui ne prend pas en charge le 8bit, il doit convertir le mail en 7bit, ou base64, ou quoted-printable.

    Là dessus est venu se greffer DKIM. Et la RFC 6376 indique bien que le serveur qui applique la signature DKIM devrait systématiquement convertir préalablement les mails 8bit en 7bit ou quoted-printable :

    Some messages, particularly those using 8-bit characters, are subject
    to modification during transit, notably conversion to 7-bit form.
    Such conversions will break DKIM signatures. In order to minimize
    the chances of such breakage, Signers SHOULD convert the message to a
    suitable MIME content-transfer encoding such as quoted-printable or
    base64 as described in [RFC2045] before signing.

    Mais un mail signé qvec PGP ne peut pas être converti, pour les mêmes raisons qu'un mail signé avec DKIM ne pourra pas être converti plus loin dans la chaine de transmission.

    Donc dans un monde parfait, les vieux serveurs ne supportant pas le 8bit sont au placard, et les serveurs contrôlant les signatures DKIM sont capables de vérifier la signature des mails en 8bit.
    Mais on ne vit pas dans un monde parfait, donc il existe encore des vieux serveurs, et pire, beaucoup de serveurs vont invalider la signature DKIM d'un mail 8bit car il n'est pas censé être en 8bit.
    Bref, c'est la merde.

    L'utilisateur qui signe ses mails avec PGP et ayant connaissance de ce problème doit donc prendre soin d'envoyer ses mails dans un encoding autre que 8bit.
    Mais les utilisateurs font ce au'ils veulent, en tant qu'admin, on en revient donc à faire le choix parmi :
    - on ne convertit pas le mail PGP 8bit, on signe DKIM comme ça, et DKIM sera parfois rejeté (une fois sur deux, à la louche).
    - on convertit comme un bourrin en pétant la signature PGP
    - on s'arrache les cheveux à essayer d'implémenter des règles tordues dans son MTA, du genre :

    si (PGP et 8bit) {
    Pas de DKIM
    } elseif (8bit pas PGP) {
    convertit en 7bit et signe DKIM
    } else {
    signe DKIM seulement
    }

    Bon courage pour faire appliquer ça aux MTA les plus répandus (libres ou pas).
    Conclusion, de nos jours, configurer un serveur SMTP n'est pas un chose facile.