Ceci est une ancienne révision du document !
Quitter Gandi
Ça sent le sapin, ça se précise… petites notes diverses pour gérer le bazar.
Mails
- Synchroniser des boites mails, pour ne pas perdre lors du transfert : imapsync
Prestataire mail : rien de bien pertinent la dernière fois que j'ai regardé, surtout vu qu'il me *faut* ces fichus jokers. Possible de transférer une partie des boites, temporairement, chez infomaniak ou autre… Ou simplement tout mettre en alias sur une seule, mais c'est pas top.
Il faut surtout apprendre à les héberger soi-même. Pas le choix. Et à cause de DKIM/DMARC il semble mieux de gérer les dns soi-même aussi dans cette affaire… mais on va essayer d'y aller petit à petit.
Serveurs mails
Besoins
- Mails avec joker ( moi.*@mondomaine.com et pas du “+” ! retrouver le nom de la fonction). C'est pas du “catchall” mais ça sert de piste. wildcard !
- pigeonhole (dovecot) a l'air de supporter ça : https://datatracker.ietf.org/doc/html/rfc5233.html
- pour opensmtpd il est très simple de changer le caractère + qui sert à dire d'ignorer tout ce qu'il a après, et proposer par exemple le point. Idem avec postfix.
- Multidomaine (gérer les autres aussi)
- Pouvoir faire des listes d'attentes pour limiter le nombre de mail sortant suivant les fournisseurs (moins de X par minute en direction des Gafams, bloquer temporairement en cas de fonctionnement bizarre) ; se paramètre sur postfix (cf doc Chatons)
Liste
À voir si ça répond aux demandes
- https://modoboa.org/fr/ : existe en version fr ce qui est un gros plus. Cependant, je ne suis pas certaine que l'interface m'apporte tant que ça par rapport à des trucs sur mesure… Mais pas éliminé pour autant.
https://mailinabox.email/: comme son nom l'indique, c'est une boite, et pas conseillé si on veut mettre les mains dans le cambouis.- https://www.iredmail.org/ : la doc est…. pas terrible…
https://github.com/sovereign/sovereign: playbooks Ansible, c'est sans doute bien à terme mais pas pour apprendre.https://www.mailpile.is/ : dev bloqué depuis pas mal d'années car ils attendaient de réécrire en python 3…-
- https://docs.mailcow.email/prerequisite/prerequisite-system/ : il n'aime pas les containers.
- proxmox mail : à première vue c'est un proxy qui permet de filtrer le trafic, ça ne dispense pas d'installer postfix/dovecot etc derrière, mais ça peut aider dans la gestion du flux. De bons retours sur cet aspect : https://forum.chatons.org/t/recette-pour-serveur-mail-securise/323/16
https://maddy.email/: juste en CLI, en beta… non.AlternCpas de MAJ depuis 7 ans, tourne sur du vieux debian, plein de tickets ouverts.. Non !- https://github.com/postalserver/postal ; actif et pas mal de choses sympa mais configuré pour tourner avec Docker. Ceci dit de ce que je vois sur l'installation, ça parait pas si bloquant… hum…
- https://mailu.io : j'avais testé, sympa de mémoire mais à voir si ça répondra aux besoins. Docker aussi.
- https://mailu.io/1.9/webadministration.html#aliases pour potentiel wildcard
- https://github.com/docker-mailserver/docker-mailserver : comme son nom l'indique.
https://poste.io/: fournit même le café, pardon le webmail. Enfin sauf que c'est du semi-open et que la version communautaire n'a pas tout. De toute façon c'est du Docker, sans regret !
Interfaces seules :
- Modoboa (listé plus haut)
- https://webmin.com/ qui a un script “usemin” semblant faire le taf (grosse surcouche par contre)
- Interface de gestion : https://mailboy.manurevah.com/
- https://www.ima.jungclaussen.com/ (ispmail)
- postfix admin
Notes variées :
- “mail en multi-domaine (TLS/SNI) avec la pile suivante: Postfix, Dovecot, Rspamd, Modoboa (donc avec NginX, uWsgi, Postgresql…).” Source
- L'ajout des antivirus fait monter énormément le besoin matériel (RAM, CPU). Mais vraiment, hein. “Prévoir minimum 4Go de ram de base, monter à 8Go si y'a du webmail et portail de configuration”
- Doc de référence :
- https://workaround.org/ “The ISPmail guide / A complete and educational guide to running your own mail server on Debian”
- https://rodolphe.breard.tf/article/mettre-en-place-un-serveur-mail-perso/ : OpenSMTPD/Dovecot/rspamd/
- https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/ : Postfix/Dovecot/rspamd/Openldap
- Nécessité absolue de fail2ban et bien checker les logs, sinon on va se faire grave hacker la figure. https://forum.chatons.org/t/recette-pour-serveur-mail-securise/323/39
Alternatives
- Gestion du spam (rspamd) : https://www.mailcleaner.org/ ; amavis ?
- Intérêt de postfix, intégration d'outils comme postscreen (qui permet de mettre un délai avant de répondre, ce qui dégage des zombies)
Webmail :
- https://snappymail.eu est vraiment sympa, dans la démo que j'ai eu.
Nom de domaine
L'augmentation est énorme pour un service qui passe à zéro. Donc va falloir migrer… Vu qu'on va gérer ses propres DNS avec le mail, le seul impératif du registrar sera donc de pouvoir pointer son DNS.
https://www.bookmyname.com est une bonne possibilité. Prix coûtant, ça fait un peu bricolage de tech mais, ben… c'est presque à ce genre de personne qu'on peut le plus se fier ? Ça reste une filiale Iliad/Scaleway.
Bonnes pratiques pour ne pas passer pour un spammeur
Configurer le reversedns et, dans l'absolu, avoir un serveur dédié uniquement au mail, pas d'autres ports ouverts ni rien. C'est une marque de confiance et ça évite que les “gros” pensent qu'on s'est fait trouer parce qu'on a des ports bizarres ouverts.
Limiter l'envoi de mails à la minute, par utilisateur :
Voir aussi diverses astuces sur https://wiki.chatons.org/doku.php/heberger/administration_systeme_avancee/mail
Deux adresses mails sont nécessaires quand on gère son mail, afin de répondre à des RFC :
- postmaster@domain
- abuse@domain
Ça peut être des aliases, mais si ça n'existe pas et qu'un autre fournisseur veut me contacter, ça va baisser la réputation.
Anti-spammeurs de l'enfer
Les gens qui bloquent pour les autres, et dont il faut comprendre les règles :
- VadeSecure
Outils utiles
- https://nstools.fr/ : plein de tests sur plein de trucs.
- Directement tester chez plein de monde si on est bloqué, avec le lien pour débloquer : https://multirbl.valli.org/
- Au moment où je commence à mettre le serveur en place, mon ip est bloqué par 5 opérateurs, échoue ici et là, et est globalement valide sur la centaine d'autres. Je testerais la procédure une fois le serveur mail installé, car les liens sur lesquels je clique expliquent bien qu'ils ne débloquent que si on a un serveur mail. Bref, par défaut, on y sera forcément au début.
- http://mxtoolbox.com/ : pas mon préféré mais il raconte aussi des trucs
- https://www.mail-tester.com/ : on lui envoie un mail et il nous dit ce qui va… ou pas.
Pas à pas
Ça se passe sur la page dédiée pour ne pas mélanger notes de recherche et expérimentation : Paramétrer son propre serveur mail.