Alinea

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
pratique:informatique:mail:serveur_mail2 [20/05/2026 10:44] – [Logiciels à installer] Zatalyzpratique:informatique:mail:serveur_mail2 [04/06/2026 10:20] (Version actuelle) – [Dovecot] Zatalyz
Ligne 2: Ligne 2:
 ===== Pas à pas ===== ===== Pas à pas =====
 <WRAP center round todo 60%> <WRAP center round todo 60%>
-Version en travail reprenant les points clés vu dans les divers tutos et adaptés à ma propre façon de fonctionner.+<del>Version en travail</del> reprenant les points clés vu dans les divers tutos et adaptés à ma propre façon de fonctionner. 
 + 
 +Voir [[pratique:informatique:mail:serveur_mail3]] parce que j'ai changé d'idée plusieurs fois, je repart de zéro !!!
 </WRAP> </WRAP>
  
Ligne 28: Ligne 30:
 poste.example.org.  IN  A  a.b.c.d poste.example.org.  IN  A  a.b.c.d
 poste.example.org.  IN  AAAA  2001:a::b poste.example.org.  IN  AAAA  2001:a::b
-example.org.  IN  MX  10 mail.example.org.+example.org.  IN  MX  10 poste.example.org.
 </code> </code>
  
Ligne 47: Ligne 49:
 L'un et l'autre doivent donner le nom de domaine configuré pour les ip en question. Le "@9.9.9.9" à la fin permet de passer par l'extérieur, si on teste en local sur un ordi local, dig ne retourne rien... L'un et l'autre doivent donner le nom de domaine configuré pour les ip en question. Le "@9.9.9.9" à la fin permet de passer par l'extérieur, si on teste en local sur un ordi local, dig ne retourne rien...
  
 +<WRAP center round info 60%>
 +=== IPV6 et fournisseurs ===
 +La gestion d'ipv6 dépend entièrement du bon vouloir du fournisseur. Pas évident de savoir en amont, sauf à déjà avoir des machines chez ce fournisseur et accès à l'interface d'administration. 
 +
 +Quand on monte un serveur mail en local, cela dépend du FAI, mais aussi des capacités de la box. 
 +  * Chez OVH, ma box (jamais remplacée et assez vieille) ne permettais pas de faire de l'ipv6, mais l'interface web d'OVH le prenait en compte ; c'est donc sans doute ok à présent ? 
 +  * Chez Free, la box ne le gère pas non plus et ça reste un problème relevé sur les forums en 2026. De toute façon, les IP de Free seront résidentielles, et cela garantit une déliverabilité très mauvaise...
 +</WRAP>
  
 ===== Ports et nftables ===== ===== Ports et nftables =====
Ligne 71: Ligne 81:
  
 On ouvre les ports sur le proxy quand tout le reste est fini... On ouvre les ports sur le proxy quand tout le reste est fini...
 +
 +<WRAP center round info 100%>
 +Avec la config paramétrée dans [[pratique:informatique:parefeu:nftables|nftables]], ce qu'il faut modifier/surveiller : 
 +  * ''/etc/nftables.d/30-fight.nft'' : Protection contre le SMTP/Email Bombing, vérifier si ça ne bloque pas des serveurs légitimes.
 +  * ''/etc/nftables.d/40-confperso.nft'' : Autoriser en entrée ''80, 443, 25, 587, 993, 4190'' (encore que les deux premiers, uniquement si on a des outils de gestion web sur le serveur même ? mais c'est mon cas...)).
 +  * ''/etc/nftables.d/50-output.nft'' : Autoriser en sortie ''25, 465, 587'' (TODO : J'ai un petit doute sur SIEVE, on vérifiera...).
 +</WRAP>
  
 ===== Vérifier l'host ===== ===== Vérifier l'host =====
Ligne 403: Ligne 420:
  
 Primo créer un user spécialement pour gérer les mails, et stocker ces derniers sur /var/vmail : Primo créer un user spécialement pour gérer les mails, et stocker ces derniers sur /var/vmail :
-  groupadd -g 5000 vmail +<code>groupadd --system vmail 
-  useradd -g vmail -u 5000 vmail -/var/vmail -m +useradd --system --gid vmail vmail 
-  chown -R vmail:vmail /var/vmail+mkdir -/var/vmail 
 +chown -R vmail:vmail /var/vmail 
 +chmod u=rwx,g=rx,o= /var/vmail</code> 
 + 
 +<WRAP center round info 100%> 
 +  * ''--system'' crée un utilisateur explicitement "système", spécialement réservé aux services et daemons. L'ID sera choisi automatiquement dans ce qui est dispo sur la plage réservée aux utilisateurs systèmes. 
 +</WRAP> 
  
 Ensuite on va modifier des fichiers. Veiller à ce que les lignes suivantes existent et soient commentés/décommentées comme indiqué. Ensuite on va modifier des fichiers. Veiller à ce que les lignes suivantes existent et soient commentés/décommentées comme indiqué.
Ligne 890: Ligne 914:
 Problème pour envoyer un message à "nimporte qui sauf moi". Revoir la conf...  Problème pour envoyer un message à "nimporte qui sauf moi". Revoir la conf... 
  
 +
 +Dans les trucs à intégrer : 
 +  * ARC (Authenticated Received Chain) : transferts de mail. Voir OpenARC ? (les mêmes que opendkim et opendmarc, les trois logiciels se répondent bien).
 +  * MTA-STS (Strict Transport Security) : force le chiffrement TLS. Mais ça va demander de bien creuser... Parce que ça risque de bloquer des copains ? Va avec TLS-RPT (TLS Reporting) qui fait des rapports sur les échecs de chiffrement
 +  * DANE, DNSSEC : DANE utilise DNSSEC pour publier l'empreinte de votre certificat TLS directement dans le DNS. Ce qui demande que je comprenne mieux DNSSEC *aussi*. Complément à MTA-TLS. 
 +
 +Dans les trucs "osef" mais que je note pour arrêter de me demander ce que c'est quand je le croise :
 +  * BIMI : ajoute son logo à côté des emails, ça sert à rassurer la populace mais ça demande de passer par une certification tiers et ce n'est pas gratuit, pour un truc qui me semble quand même un peu gadget à côté du reste. En plus faut une marque déposée. Bref, un truc clinquant pour les riches, espérons que cela ne devienne pas une obligation...
 +
 +ARC, MTA-STS, TLS-RPT, BIMI, DANE et SMTP TLS SRV
 ===== vieux tuto ===== ===== vieux tuto =====
  
CC Attribution-Noncommercial-Share Alike 4.0 International Driven by DokuWiki 🏳️‍🌈 Symboles inclusifs et politiques
pratique/informatique/mail/serveur_mail2.1779266686.txt.gz · Dernière modification : 20/05/2026 10:44 de Zatalyz