Bonjour,
il y a un an, je m'étais lancé, un peu la fleur au fusil en mode "je teste jusqu'où je peux aller pour voir" de monter un petit serveur mail chez moi.
Je l'avais fait à base de postfix et dovecot, mais n'ayant pas pu faire ce que je voulais (je n'ai pas réussi à gérer correctement le certificat pour imaps, et les adresses mail étaient liées à des comptes utilisateurs), l'expérience s'est arrêtée là.
J'aimerais retenter aujourd'hui, mais en m'y préparant un peu plus, et du coup je viens à la pêche aux info ici car je sais que plusieur personnes hébergent des mails chez eux.
donc voila mes critères à priori (ils peuvent changer)
- création simple d'alias pour un compte.
- des comptes de courriels non liés à un compte utilisateur si possible.
- protocole imaps et smtp (je pense limiter le smtp dans mon réseau en local, au moins dans un premier temps, surtout vu les difficultés qu'il y a à faire accepter ses courriels par les gros fournisseurs)
- installable sous debian sans dépendances hors dépôts
Voila, je suis preneur de retours, conseils et pointeurs avant de me pencher plus dans des tutos et de retenter l'essais.
# des pistes
Posté par NeoX . Évalué à 6. Dernière modification le 05 mai 2022 à 12:33.
il te faudra quand meme gérer les logins/mot de passe ailleurs,
on appelle cela le 'backend'
cela peut etre une base de données (mysql, sqlite), cela peut etre un annuaire (ldap, activedirectory)
et ce n'est pas parce qu'un email est lié à un compte que tu ne peux pas interdire à cet utilisateur de se connecter sur l'ordi/serveur
imaps : c'est pour que tes utilisateurs récupèrent leurs emails, normalement pas de souci en dehors d'avoir un certificat, meme autosigné, que tu fais reconnaîtras aux logiciels des utilisateurs
smtp : si le but de tes emails c'est de ne jamais sortir de chez toi, ca reste tres restreint, mais c'est ta vie, c'est ton choix.
en tout cas il va y avoir le SMTP (souvent 25) pour recevoir les emails provenant de l'extérieur de chez toi (ton fournisseur écrit @domain.tld, et ca arrive dans ta boite email)
et il va y avoir le SMTP pour que tes utilisateurs puissent envoyer une réponse… souvent en SMTPs avec identification et mot de passe (SSL ou TLS, port 465 ou 587), pour que les utilisateurs puissent envoyer des emails meme s'ils ne sont pas sur le reseau local
apres les classiques restent quand meme postfix et dovecot
postfix pour recevoir et envoyer les emails,
dovecot pour fournir une interface IMAP à tes utilisateurs
avec postfix, tu peux gérer les alias dans un fichier du type
de memoire faire pointer l'option "aliases" vers un fichier genre /etc/postfix/aliases.db
ecrire un fichier /etc/postfix/aliases contenant
puis dans le dossier /etc/postfix, faire la commande
enfin je dis ca de memoire,
y a longtemps que je ne fais plus cela à la main et que je passe par :
évidemment, du coup c'est une dépendance "externe" car il faut ajouter un depot et dépendre de ce fournisseur.
[^] # Re: des pistes
Posté par moi1392 . Évalué à 3.
Merci pour ta réponse
à la base c'était pour créer facilement beaucoup d'adresses de courriel différentes, et je n'avait pas forcément envie de créer un user à chaque fois sur ma machine.
Mais si je peux facilement gérer des alias, peut-être que cette contrainte n'en sera plus une.
J'ai oublié de préciser, mais je serai le seul utilisateur, donc pas de problématique pour permettre aux user de créer un compte ou de changer leur mot de passe perdu/oublié.
Par contre, j'aimerais bien avoir un certificat fait par une autorité valide (let's encrypt si possible) ça facilite pas mal pour des utilitaires un peu récalcitrants, surtout sur ordiphone.
[^] # Re: des pistes
Posté par Tarnyko (site web personnel) . Évalué à 2.
Perso je me sers d'un couple Exim/Courier dont j'apprécie la philosophie KISS et sans fioritures.
Bien que le mode par défaut soit d'utiliser des comptes UNIX, tu peux leur dire de s'alimenter dans des fichiers BerkeleyDB (.db, des genres de SQLite) où tu rajoutes des couples utilisateur/password virtuels via des commandes shell -les boîtes étant de simples folders Maildir
[^] # Re: des pistes
Posté par root_rtfm . Évalué à 1. Dernière modification le 06 mai 2022 à 06:50.
Bonjour,
Il est possible d'utiliser l'option recipient_delimiter de postfix et de déclarer un autre delemiter (ex : %), ensuite, tout les mails de la forme moi192%@monadresse.fr arrivent dans la boite moi192@monadresse.fr.
Il est en également possible d'envoyer un mail avec cet adresse en surchargeant dans le client mail le champ from avec moi192%@monadresse.fr.
L'avantage de cette méthode, c'est qu'il n'y a que le compte moi192@monadresse.fr qui doit être créé.
Je pense qu'il doit y avoir d'autres solutions mais je ne les ai pas testées.
Pour la partie certificat pour l'imaps et le smtps, les certificats auto-signés passent au moins sur Android (pas testé sur Iphone).
[^] # Re: des pistes
Posté par moi1392 . Évalué à 2.
J'ai déjà un certificat Let's encrypt pour un nextcloud que j'héberge (sur une autre machine) chez moi.
Est-ce que copier le certificat généré par certibot pour un site web dans la config imaps est suffisant ou j'ai raté un truc ?
[^] # Re: des pistes
Posté par NeoX . Évalué à 3.
si le nom de domaine utilisé dans les 2 services est le meme, genre maison.chezmoi.org
oui, ca peut marcher
si ton nextcloud est en cloud.chezmoi.org
et ton mail en mail.chezmoi.org ou imap.chezmoi.org …
il faudra recalculer le certificat pour qu'il gere TOUS les domaines
[^] # Re: des pistes
Posté par GG (site web personnel) . Évalué à 2.
Ce n'est pas un soucis avec Let's Encrypt d'avoir un certificat par domaine et sous-domaine. C'est même recommandé.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: des pistes
Posté par cg . Évalué à 2.
Pour SMTP, je voulais préciser qu'avec STARTTLS, tu peux faire du chiffrement sur le port 25. La connexion se fait en clair au départ, et le client passe en TLS tout de suite après. Côté serveur, tu peux rendre STARTTLS obligatoire ou optionnel.
C'est important, car en pratique, les autres relais de messagerie vont avoir tendance à surtout utiliser le port 25.
Le port 587 est plutôt pour les envois authentifiés depuis un client de messagerie comme Thunderbird par exemple (port dit de "submission").
Le port 465 est déprécié, c'est mieux de l'éviter.
En résumé (voir aussi notre amie Wikipedia ):
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: des pistes
Posté par cg . Évalué à 2.
C'est vrai, le port 465 est finalement revenu en grâce après des aller-retours. Merci pour la correction. Je ne savais qu'il se nommait aussi
submissionsd'ailleurs.Un petit sondage sur les MX de gmail, EDF, Orange (fr et com), l'ANSII et à mon travail, je ne trouve que du port 25 ouvert sur Internet, et c'est ce à quoi je m'attendais.
Par contre, sur
smtp.gmail.com,smtp.orange.fr,smtp.free.fr, etc…, qui sont utilisés par les clients de messagerie pour l'envoi de mail, on trouve bien 25, 465 et 587. Ça ratisse large pour être compatible avec les différentes configs et être en accord avec les dernières RFC comme tu l'as justement fait remarquer. Logique aussi.# 2 solutions à explorer
Posté par Ataxya (site web personnel) . Évalué à 2.
Hello !
Il y a poste.io et mailcow qui fonctionne bien, mais il fonctionne sous docker.
Mais c'est très simple à installer, juste à configurer les DNS et les comptes, et ça fonctionne !
Par contre, je ne recommande pas d'héberger les mails à la maison. Je sais qu'au moins Orange bloque le port 25 SMTP en sortie (pour éviter le spam, d'après eux), et plus généralement, le PTR autogénéré par les opérateurs font que généralement, tes mails passe en spam.
@AtaxyaNetwork
[^] # Re: 2 solutions à explorer
Posté par aiolos . Évalué à 4.
Une solution pour le smtp, c'est de faire en sorte que ton serveur d'envoie passe par le smtp d'orange (ou autre opérateur), c'est clairement bien moins bien en terme d'auto-hébergement mais c'est un "entre-deux" à considérer.
[^] # Re: 2 solutions à explorer
Posté par moi1392 . Évalué à 2.
C'est une bonne idée pour une étape intermédiaire en effet.
je peux même essayer de configurer ça au cas par cas si possible, genre selon l'adresse avec laquelle j'envoie, ou le domaine de l'adresse de destination.
[^] # Re: 2 solutions à explorer
Posté par moi1392 . Évalué à 2.
Merci.
Je ne suis pas chez orange, je n'ai pas de soucis pour faire sortir du SMTP.
Par j'ai en effet cru comprendre que c'est vraiment très relou de faire accepter ses mail quand on s'auto-héberge.
Pour l'instant je ne compte pas virer mes autres compte mails (c'est pour ça que je ne compte pas ouvrir smtp en entrant chez moi sauf dans mon réseau local pour tester) et j'utiliserai mon installation en test pour les mails pas importants. J'aviserai par la suite quand ma config fonctionnera depuis un certain temps sans soucis ( laissez moi rêver un peu (: )
[^] # Re: 2 solutions à explorer
Posté par NeoX . Évalué à 3.
donc tu ne recevras jamais d'email à par de toi même et de tes machines ?
# yunohost
Posté par Craig77 . Évalué à 5.
Hors sujet puisque dépôt tiers, mais c'est clef en main, annuaire ldap, config dns, certificat letsencrypt, diagnostic, aliases,… ça juste marche.
Ça s'installe sur debian (10)
Peut-être pour s'inspirer du code ?
[^] # Re: yunohost
Posté par moi1392 . Évalué à 2.
j'ai vu passer plusieurs messages de commentaires sur Yunohost.
je ne me suis pas penché dessus, mais j'ai eu l'impression que ça gérait beaucoup de choses, j'ai déjà certains de ces services chez moi (dns par exemple) et je ne sais pas comment cela va cohabiter, donc pour l'instant je mets ce genre de solution de coté, si vraiment je n'arrive pas à faire ce que je veux avec ma méthode, j'y viendrai peut-être.
[^] # Re: yunohost
Posté par ze0 . Évalué à 4.
tu devrais vraiment jeter un coups d'oeil.
https://yunohost.org/fr/whatsyunohost
Perso je l'utilise depuis des années, parce que avant je passais des heures et des heures à faire de la config et de la maintenance régulièrement parce que il y a toujours un truc qui va pas. quand j'ai découvert yunohost ce fut la libération. tout est simple d'usage et plutôt complet.
tu peux avoir que du mail si tu veux ou tu peux avoir pleins de services/applications supplémentaires testés et approuvés par yunohost, facile à déployer (zerobin, nextcloud, jirafeau, calibreweb, dokuwiki, etc … liste ici
on sous estime souvent la maintenance dans des projet perso, ici elle est simple: checker si c'est à jour, récupérer les backups.
et c'est bonheur quand un énième magasin en ligne ou service me demande un mail, je génère un alias sur mon pc ou mon téléphone en littéralement 30sec
Je le conseil chaudement.
Bon courage dans tes recherches et tes choix.
[^] # Re: yunohost
Posté par moi1392 . Évalué à 2.
je suis retourné jeter un oeil, et j'ai retrouvé le point qui me gênait, yunohost, c'est une distribution complète, donc si je me décide à me tourner vers cela, ça sera dans une VM forcément.
[^] # Re: yunohost
Posté par moi1392 . Évalué à 2.
Juste pour compléter ma réponse et pourquoi ça me gêne : par auto-hébergement, j'entends sur une machine chez moi. Et du coup je n'entends pas dédier cette machine seulement à cela.
[^] # Re: yunohost
Posté par GG (site web personnel) . Évalué à 2.
Tu as tout à fait raison de séparer les services dans des VM différentes.
Que ce soit chez toi ou ailleurs.
Yunohost est particulièrement pensé pour être installé à domicile.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: yunohost
Posté par GG (site web personnel) . Évalué à 2.
Gérer la messagerie email, ce n'est pas "simple".
Yunohost fait un super travail.
Si tu veux gérer plusieurs groupes de personnes avec chacune la possibilité de gérer leurs adresses emails, alors AlternC est préférable. Mais AlternC est bien plus long à configurer, parce qu'il va un peu plus loin.
Si tu optes pour AlternC, je te recommande d'installer la version faite par Koumbit (La fusion des différentes versions est en cours… c'est fait proprement donc ça prends du temps).
Yunohost, c'est bien plus facile à prendre en main. Tu auras tes certificats Let's Encrypt pris en charge, ainsi que DKIM. Et s'il y a la partie DNS, alors tu devrais aussi avoir SPF pris en charge.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
# OpenSMTPd
Posté par raspbeguy (site web personnel, Mastodon) . Évalué à 2.
Hello,
Il y a plusieurs années j'ai créé mon serveur mail sans rien y connaître, à base de Postfix et Dovecot comme toi, parce que c'est ce que conseille la grande majorité des tutos. J'ai tellement lutté pour arriver à faire ce que je voulais, et ma compréhension de la chose était tellement faible qu'une fois que c'est tombé en marche je suis resté très longtemps sans oser toucher à ça. Postfix est tellement monstrueux au niveau complexité…
Et puis il y a un ou deux ans, j'ai fini par prendre le taureau par les cornes et je suis passé à OpenSMTPd. Ce programme fait partie du projet OpenBSD et suit les même règles de simplicité de configuration, tout en étant disponible dans les dépôts de la plupart des distributions. Ça a été le jour et la nuit !
Depuis lors je conseille à tout le monde d'utiliser OpenSMTPd, qui a peut être moins de fonctionnalités que Postfix (en fait j'en sais rien) mais qui est bien plus facile à comprendre.
Un gentil du net
[^] # Re: OpenSMTPd
Posté par moi1392 . Évalué à 2.
j'ai survolé (de très très haut, et très rapidement) le site de OpenSMTPd hier soir, mais pour l'instant j'avoue que je suis sans avis là dessus, je referai un tour et je chercherai un tuto ou deux pour m'en faire une idée plus claire.
Merci pour la réponse.
[^] # Re: OpenSMTPd
Posté par romain23 . Évalué à 2. Dernière modification le 06 mai 2022 à 10:02.
Bonjour,
Pour la configuration d'OpenSMTPD il y a cet excellent article qui aide bien :
https://poolp.org/posts/2019-09-14/setting-up-a-mail-server-with-opensmtpd-dovecot-and-rspamd/
[^] # Re: OpenSMTPd
Posté par nlgranger . Évalué à 0.
Niveau sécurité c'est écrit en C et l'équipe semble réduite. Pour un serveur exposé sur internet ça m'a fait hésiter quand je bidouillais aussi pour me faire un serveur mail.
[^] # Re: OpenSMTPd
Posté par gUI (Mastodon) . Évalué à 3.
Que veux-tu dire par là ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: OpenSMTPd
Posté par nlgranger . Évalué à 1.
Peu de temps après que je commence à m'y intéresser il y a eu une cve assez sévère qui permettait une exécution de code arbitraire. Ça m'a un peu refroidit.
# Solution intermédiaire
Posté par Funix (site web personnel, Mastodon) . Évalué à 5.
personnellement j'ai une solution intermédiaire, je stocke mes mails sur un serveur local consultable également à distance (sur mon téléphone mobile entre autres) mais j'utilise le POP et SMTP de mon FAI pour faire le lien avec internet, comme ça j'ai pas à gérer cette partie là.
Ça donne quelque chose comme cela
J'utilise donc un serveur imap (dovecot) et roundcubemail pour consulter mes mails à distance et l'antique sendmail comme MTA.
Plus de détails par ici https://www.funix.org/fr/linux/index.php?ref=mail
https://www.funix.org mettez un manchot dans votre PC
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Solution intermédiaire
Posté par Funix (site web personnel, Mastodon) . Évalué à 2.
les serveurs du FAI ne sont qu'en tampon, tout est stocké en local et ça me permet de consulter mes mails à distance et de n'importe quel poste de mon réseau local tout en ayant la main sur une batterie de filtres antispam.
C'est une config que j'ai construite au fil de l'eau depuis des années, ça peut paraitre effectivement assez complexe mais ça marche plutôt bien. Je vais toutefois regarder les solutions qui sont proposées sur ce post, par curiosité.
https://www.funix.org mettez un manchot dans votre PC
# Mes 2 cents
Posté par gouttegd (site web personnel) . Évalué à 2.
Avec ma configuration créer un nouvel alias pour un compte consiste juste à rajouter une ligne dans
/etc/postfix/virtual.Perso j’ai un mélange des deux. Certains comptes sont associés à un compte utilisateur sur la machine (et les mails sont délivrés dans un dossier dans le
$HOMEde ces utilisateurs), d’autres sont des comptes virtuels qui sont tous associés à un seul et unique compte utilisateurvmail(tous les mails étant délivrés dans des sous-dossiers spécifiques dans le$HOMEde cet utilisateurvmail).Que veux-tu dire par « limiter le smtp dans mon réseau en local ? »
Pour clarifier si besoin, rappelons que par rapport à un serveur mail donné, le protocole SMTP est utilisé pour en gros trois choses assez différentes :
① pour permettre aux utilisateurs ayant un compte sur le serveur de soumettre un mail au serveur ;
② pour transmettre un mail soumis vers un autre serveur ;
③ pour recevoir des mails venant de l’extérieur, destinés à des utilisateurs ayant un compte sur ce serveur.
Quelle est la partie que tu veux « limiter au réseau local » ?
S’il s’agit du ①, une configuration possible est effectivement de n’autoriser la soumission de mail que depuis le réseau local, auquel cas on peut éventuellement (en fonction de la confiance accordée audit réseau) décider de se passer d’authentification (quiconque sur le réseau local peut soumettre un mail, sans avoir à s’authentifier). Est-ce à quelque chose comme ça que tu pensais ?
Rien d’exotique sur mon serveur, que du très classique et du complètement disponible dans les dépôts de Debian (et probablement n’importe quelle autre distribution) :
dovecot-{core,imapd,sieve,managesieve}(IMAP(S) et Sieve) ;postfix(SMTP) ;postfix-policyd-spf-python,opendkim,opendmarc(SPF, DKIM, DMARC) ;bogofilter(filtre spam).[^] # Re: Mes 2 cents
Posté par moi1392 . Évalué à 2.
C'est une solution qui peut me convenir.
C'est à peu près cela, je serai le seul utilisateur, ce que je veux dire c'est que je n'ouvre pas le port smtp sur internet, ça m'évite d'avoir à me battre avec la sécu de ce coté là. Mais je laisserai quand même une authentification en place, même minimale.
J'ai d'autre adresses de courriel que je compte utiliser encore quelque temps le temps de m'assurer que ma config remplie tous mes besoins, dans un premier temps je ne m'en servirai que pour des trucs peu important ou je peux me permettre d'attendre d'être chez moi pour répondre.
Juste une question sur ta config, tu as des soucis pour envoyer des mail chez les gros fournisseurs ou ça passe bien ?
[^] # Re: Mes 2 cents
Posté par gouttegd (site web personnel) . Évalué à 3.
Il n’y a que Microsoft (Live, ex-Hotmail) qui pose régulièrement problème en rejetant silencieusement des mails ou en les envoyant dans un dossier spam.
Le soucis avec Microsoft est que mon serveur n’envoie pas assez de mails pour que son adresse IP soit remarquée (en bien ou en mal) par les systèmes de réputation. Du coup, mon adresse n‘a pas de réputation, ce qui apparemment pour Microsoft est équivalent à ne pas avoir de bonne réputation.¹ Et sans bonne réputation, ben les mails sont classés en spam par défaut.
Du coup, il faudrait que mon serveur envoie beaucoup plus de mails (i.e. se comporte davantage comme un spammeur) pour qu‘il ait une chance de se faire une réputation de serveur qui n’envoie pas de mails à tort et à travers (i.e. de serveur qui n’envoie pas de spam). Faut pas chercher à comprendre, c’est de la logique Microsoft.
¹ Ce qui revient en gros à dire que si tu n‘as jamais été accusé d‘un crime et que tu n’es donc jamais passé devant un tribunal, tu ne peux pas te dire « innocent » puisqu’aucun juge n’a jamais explicitement dit que tu n’étais pas coupable.
# En auto hébergement ou pas ?
Posté par AncalagonTotof . Évalué à 3.
Y'a déjà plein de réponses utiles dans les commentaires, mais quid de l'emplacement ?
Chez un fournisseur de serveur cloud-bidule-VM-machin-truc-pas-chez-soi, pas de soucis.
En auto hébergement, chez soi à sa maison, il y a un problème insurmontable à ma connaissance : le reverse DNS.
Les destinataires des mails qui partent de chez moi peuvent vérifier plein de trucs (DKIM, dmarc ou je sais plus quoi), tout va bien, je suis propre sur moi.
Mais dès qu'ils demandent "elle est à qui cette IP ?", ils tombent sur le
machin-x.y.z.t.mon.fournisseur.d.acces.internet.fr.Et ça leur plaît pas bien, et mes messages finissent souvent dans les spams des destinataires.
[^] # Re: En auto hébergement ou pas ?
Posté par moi1392 . Évalué à 2.
Par auto-hébergement, je veux dire sur une machine chez moi.
je n'avais pas pensé au problème du reverse DNS en effet, cela peut-être gênant :/
[^] # Re: En auto hébergement ou pas ?
Posté par Christophe "CHiPs" PETIT (site web personnel) . Évalué à 1.
Même avec une machine/VM chez OVH ou autre, ça vire facilement à la galère s'il y a un minimum d'activité : SFR, La Poste, Google et consorts te bannissent régulièrement sans avertissement, ce qui n'aide pas à gérer des listes de diffusion associatives, avec SYMPA par exemple.
Avec mon domaine perso sur une autre VM OVH avec Postfix, je ne suis pas embêté car je passe sans doute sous les radars au niveau du volume.
J'ai mis le minimum pour SPF dans le DNS, vu des choses sur DMARC et autres, mais ça commence à être trop compliqué pour moi et c'est un métier que je n'ai pas vraiment envie de faire…
[^] # Re: En auto hébergement ou pas ?
Posté par gouttegd (site web personnel) . Évalué à 3.
Note qu’il n’y a même pas besoin d’un test reverse DNS pour ça : les blocs d’adresses IP alloués par les FAIs à leurs clients sont, globalement, connus et le simple fait d’avoir une adresse dans un tel bloc peut suffire pour que tels mails soient rejetés.
Donc même si tu pouvais d’une façon ou d’une autre configurer l’enregistrement DNS inverse de ton adresse IP personnelle pour correspondre au nom affiché de ton serveur… ça ne te mettrait pas pour autant à l’abri d’un rejet basé seulement sur l’utilisation d’une adresse perso.
# Merci
Posté par moi1392 . Évalué à 2.
Merci à tous pour vos retours.
Je n'ai pas répondu à tous les messages (j'ai eu un week end très chargé) mais je les ai au moins lu.
Je pense dans un premier temps retenter l'expérience avec postfix + dovecot, parce que j'aime bien bidouiller un peu quand même, et pour le coté satisfaction personnelle d'avoir un truc certe un peu bancal, mais qui marche et que j'ai monté moi même.
Et si je n'arrive pas à mes fins de façon satisfaisante, je passerai à la solution yunohost dans une VM.
Je repasserai certainement poser une ou deux questions pour des problèmes plus précis quand ils se poseront à moi.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.