Se passer de Google, Facebook et autres Big Brothers 2.0 #2 — Le courriel

31
1
avr.
2019
Internet

Aujourd’hui, Internet est occupé en grande partie par les services de grosses entreprises privées. Ceci pose de nombreux problèmes : logiciels privateurs, centralisation des données, pistage permanent, censure, exploration de données, dépendance à des tiers, etc.

Cette dépêche fait suite à celle sur les moteurs de recherche. Cette série décrit (et critique) des solutions de remplacement qui sont soit utilisables en auto‐hébergement, soit via des services établis sur des logiciels libres. Dans cette deuxième dépêche, nous allons nous intéresser au courrier électronique, donc à ce qui est lié aux protocoles IMAP, POP et SMTP. Les commentaires sont aussi là pour préciser des oublis ou corriger les éventuelles erreurs.

watching


N. D. M. : Cette dépêche a été initiée le 2 juin 2014. Les informations qu’elle contient n’ont peut‐être pas toutes été mises à jour, cependant ce sujet est aujourd’hui plus que jamais d’actualité, et cette dépêche fait écho à de nombreuses autres initiatives plus récentes.

Sommaire

Courriel

Explications rapides sur le fonctionnement

Client‐serveur

Le courriel, alias l’e‐mail, est plus vieux que le Web, il est né avant Internet, avec UUCP. Il est basé sur la notion de client‐serveur et de communication asynchrone. Les clients sont d’utilisation ponctuelle, alors que les serveurs doivent être reliés en permanence au réseau Internet pour assurer la distribution des messages.

Une adresse de courriel se découpe en deux parties : Utilisateur@NomdeDomaine. Un serveur est rattaché à un nom de domaine qui est à droite de l’arobase et gère plusieurs utilisateurs qui sont à gauche de l’arobase.

Un client de messagerie peut envoyer son message à n’importe quel serveur (en général celui associé à l’adresse de l’expéditeur). Le serveur se charge ensuite de transmettre ce message au serveur hébergeant le compte du destinataire (déterminé par son nom de domaine). Le destinataire utilise également un client de messagerie pour se connecter à ce serveur et lire les messages qui lui sont adressés. Le client peut être :

  • une interface Web affichée dans votre navigateur, on les surnomme des webmails ;
  • un logiciel sur un ordinateur personnel, avec une belle interface graphique ou en ligne de commande ;
  • une application installée sur un mobile.

Si l’utilisateur peut changer facilement de client, voire en utiliser plusieurs en même temps, un changement de serveur impose un changement d’adresse.

Format : TXT ou HTML

Les courriels peuvent être rédigés en texte (TXT) ou en HTML. Si le HTML permet de créer des messages plus agréables, avec la possibilité d’inclure des images, il permet de cacher des liens à l’utilisateur ou de le tracer via les images contenues dans le message.

Protocoles : IMAP, POP et SMTP

Les communications entre les clients et les serveurs sont standardisées et interopérables. Il est donc possible d’associer n’importe quel client avec n’importe quel serveur. Les protocoles suivants sont les plus utilisés :

  • IMAP utilisant les ports 143 et 993 (TLS implicite), qui permet de synchroniser les différents dossiers du serveur avec ceux du client, laissant ainsi les messages sur le serveur ;
  • POP utilisant les ports 110 et 995 (TLS implicite) ; historiquement, il permet de récupérer les messages sur les serveurs et les efface ensuite du serveur (mais il est toutefois possible de les y laisser) ;
  • SMTP utilisant les ports 25, 587 (TLS explicite avec STARTTLS) et 465 (TLS implicite) ; il permet l’envoi et la distribution des messages.

Si l’IMAP et le POP concernent seulement la relation client‐serveur, le protocole SMTP s’occupe aussi de la relation entre les serveurs, donc de l’acheminement du courriel.

Le webmail s’appuie en plus sur le protocole HTTP (HTTPS est à préférer) et la norme HTML.

Pour aller un peu plus loin

Du chiffrement pour les canaux de communication

Si vous croisez ces acronymes avec un S ajouté à la fin, c’est qu’ils utilisent TLS (le successeur de SSL), dans ce cas le canal de communication est chiffré et relativement à l’abri des oreilles indiscrètes. C’est donc un ajout indispensable en ces temps d’écoutes généralisées. Vous obtenez ainsi :

  • HTTPS (pour les webmails) ;
  • IMAPS ;
  • POP3S ;
  • SMTPS.

Ces protocoles permettent de chiffrer le canal de communication, mais pas le message lui‐même. En effet, un courriel est schématiquement une carte postale ; il est relativement facile de le lire (voire de le modifier) lors de son acheminement. De même, les courriels ne donnent aucune garantie sur l’identité de l’expéditeur. Il est très facile d’envoyer un courriel depuis l’adresse not’.président@présipauté.grd sans que cela ne demande de connaître le couple identifiant‐mot de passe du serveur. Chiffrer le courriel avec GPG peut être une solution à tous ces problèmes.

Les filtres

Il est possible de filtrer ses messages. Cette action peut être réalisée par le serveur lui‐même notamment pour enlever le courriel indésirable (par exemple, avec SpamAssassin) ou sur le client pour trier automatiquement les messages dans différents dossiers. Toutefois, le serveur tournant en continu, la gestion des filtres est une tâche qui lui est de plus en plus confiée, le client se limitant à commander les règles de filtrages avec Sieve (RFC 1228) ou Procmail / Maildrop.

Les autres protocoles

Notez que vous pouvez aussi utiliser Exchange, le protocole propriétaire de Microsoft, qui permet au sein d’un seul canal de gérer ses courriels mais aussi ses agendas, ses carnets d’adresses (actions possibles avec CardDAV et CalDAV).

Selon ses promoteurs, XMPP pourrait être utilisé pour faire du courriel en lieu et place de l’IMAP, du POP et du SMTP. Cela permettrait, entre autres, d’avoir une communication synchrone (messagerie instantanée), de pallier les problèmes d’authentification de l’émetteur, de lier aux courriels la gestion des agendas et des carnets d’adresses. Toutefois, cela pose le problème de l’existant qui est très fortement dépendant des trois protocoles précités.

Les améliorations

Pour limiter le courriel indésirable, les géants américains ont proposé des normes pour valider plus facilement les expéditeurs et limiter l’usurpation d’identité:

  • DomainKeys Identified Mail (DKIM), qui s’occupe d’authentifier de manière fiable le nom de domaine de l’expéditeur, ce qui est à droite de l’arobase (le @) ;
  • Sender Policy Framework (SPF), qui s’occupe de vérifier le nom de domaine de l’expéditeur.

Les normes sont régulièrement améliorées pour s’adapter aux nouveaux besoins. Le protocole IMAP est régulièrement amélioré. Par exemple, la RFC 6154 permet d’harmoniser le nommage des dossiers d’envoi et de réception entre les différents clients et serveurs, point intéressant qui évite de perdre du temps lors de la configuration. Autre exemple, la RFC 2087 permet au client de messagerie de savoir le quota de stockage. Renseignez-vous sur la prise en charge de ces RFC par les clients et surtout par le serveur que vous utilisez. L’IANA publie une liste de ces différentes RFC.

Vocabulaire

  • arobase : représenté par le symbole « @ », il permet de séparer le nom de l’utilisateur du service (ou nom de domaine) qui lui fournit l’adresse électronique ;
  • liste de diffusion : mécanismes permettant de communiquer avec un nombre indéterminé d’individus sans connaître le courriel de chacun, comparable aux forums présents sur le Web ;
  • OpenPGP : permet de chiffrer le contenu des messages (non pas le canal de communication) ; il ne chiffre pas les en‐têtes (le contenant) permettant l’exploitation des méta‐données par les espions ; il a été proposé par le logiciel propriétaire Pretty Good Privacy (PGP), puis normalisé dans la RFC 4880 ; GNU Privacy Guard est le pendant libre le plus connu ;
  • spam ou pourriel : courriels non désirés par les destinataires, souvent à but promotionnel ;
  • pièces jointes : fichiers attachés à un courriel ;
  • MTA : Mail Transport Agent ; ce sont ces serveurs qui sont au cœur du système de courriel ; ils communiquent entre eux en utilisant le protocole SMTP, les messages sont relayés d’un serveur à l’autre, jusqu’à atteindre le serveur du destinataire qui va alors passer le courriel à un MDA ;
  • MDA : Mail Delivery Agent ; il s’agit du serveur qui implémente les protocoles POP ou IMAP, c’est ce serveur qui héberge la boîte aux lettres associée à une adresse, avec les messages reçus ;
  • MUA : Mail User Agent ; c’est l’application utilisée pour lire les messages, celle que nous avons appelée « client » ci‐dessus ; elle se connecte au MDA et permet de télécharger et d’afficher les messages ; on trouve des MUA sous forme d’applications natives, ou sous forme de webmails ;
  • FAI : fournisseur d’accès à Internet.

Services de courriels

Tout le monde ne souhaite pas administrer son propre serveur de courriel. Le risque est d’ailleurs important de perdre des messages en cas de coupure réseau ou de mauvaise configuration ou de panne du serveur. Il est donc préférable de recourir à un service fourni par un tiers, qui regroupe les boîtes de messagerie de plusieurs personnes et peut donc mutualiser le coût d’un hébergement plus fiable.

La plupart des FAI fournissent gratuitement un compte de courrier électronique inclus dans l’abonnement. Cependant, il n’est pas recommandé de l’utiliser, car ce compte est souvent détruit lorsqu’on se désabonne de l’accès Internet associé. On devient donc lié définitivement au FAI.

Une liste non exhaustive de fournisseurs de services de courriels :

GMX

GMX est un fournisseur de courrier électronique basé en Allemagne. En France, l’entreprise a racheté le nom de domaine caramail.fr et propose un service de courriel gratuit. Les données sont stockées en Europe.

Gandi

Le métier de Gandi est la fourniture de noms de domaine (comptez entre une à plusieurs dizaines d’euros TTC par an, suivant l’extension demandée), et il propose un ensemble de services liés à ce domaine, dont des alias de courriel (une adresse appartenant à votre domaine qui renvoie le courriel vers une adresse existante) ou des boîtes de messagerie indépendantes (3 Gio inclus, option pour passer à 50 Gio possible)

Gandi vous propose deux interfaces Web pour lire vos courriels :

  • Roundcube 0.9.5 avec l’extension password (par défaut) ;
  • SOGo 3.2 ;

Thunderbird et Gandi

Thunderbird et son partenaire Gandi : un compte de courriel (libre) à partir de 12 € par an. Il suffit d’installer Thunderbird et de cliquer sur CompteNouveau → « Créer un nouveau compte courrier ». On choisit son nom de domaine. On obtient donc une adresse de la forme chezmoi@chezmoi.org (ou une autre variante).

Mailoo

Mailoo fournit un service de courriel gratuit (avec une adresse en mailoo.org) établi sur des logiciels libres (Debian GNU/Linux, Apache 2, PHP5, MySQL, OpenLDAP, RoundCube, Dovecot, DRBD, Pacemaker, etc.), hébergé par Lost Oasis et Online. Il fournit :

  • 1 Gio en IMAP (évolutif) ;
  • services POP, IMAP et SMTP (en clair ou chiffré) ;
  • chiffrement des courriels avec OpenPGPjs ;
  • pas de publicités sur les pages ;
  • webmail Roundcube ;
  • serveurs MX secondaires avec rétention ;
  • RBL et filtres anti‐indésirables ;
  • sauvegarde sur site géographique distant ;
  • services en HA ;
  • filtres SIEVE ;
  • « fetcher » POP3 ;
  • synchronisation des contacts Google.

Mailoo a passé le flambeau à net-c depuis janvier 2019.

Riseup.net

Riseup.net est un fournisseur de services en ligne sécurisés (de courriel, mais aussi de pad collaboratif, discussion en ligne, listes de diffusion, VPN, etc.) dédiés à des personnes ou associations politisées (altermondialisme, féminisme, écologie, etc., la liste des activismes modernes est longue). Il s’agit d’un collectif états‐unien qui utilise des logiciels libres, intègre rapidement leurs améliorations et qui propose de nombreux niveaux de sécurité (notamment un VPN, en plus du chiffrement des serveurs et d’une prise en charge d’openPGP sur leur webmail). Leur modèle économique repose sur les dons de ses utilisateurs (gentiment sommés de donner régulièrement).
Riseup.net se situe donc totalement dans l’alternative vis‐à‐vis des grandes entreprises du Web centralisatrices. Malheureusement, l’inscription est filtrée : il faut connaître au minimum deux utilisateurs de Riseup.net pour pouvoir accéder à son service de courriel.
Fait intéressant, le collectif Riseup.net a créé un logiciel de réseau social en ligne peu connu : « Crabgrass », qui, évidemment, propose des espaces sécurisés.

Autistici.org

Les critères pour participer et profiter des services offerts sur ses serveurs sont de partager leurs valeurs sur l’anti‐fascisme, l’anti‐racisme, l’anti‐sexisme et l’anti‐militarisme.
Un projet de site Web chez Autistici doit également partager son approche non commerciale.
Services proposés :

  • blog et hébergement ;
  • services d’anonymisation, VPN personnel ;
  • courriel, listes de diffusion, lettres d’actualité et forums ;
  • messagerie instantanée.

Autistici.org

Sud-ouest.org

L’association Sud‐ouest propose une adresse électronique à prix libre. La messagerie de la toile est Roundcube. On peut choisir une adresse en @sud-ouest.org, @mailz.org, @aquitania.org ou @neutralite.org. L’anti‐pourriel fonctionne très bien et les responsables sont disponibles. Les créateurs de l’association sont des membres de l’April et de l’Abul.

On peut s’inscrire avant de payer.

Lautre.net

L’association libriste autogérée lautre.net propose beaucoup de services (hébergement…), dont la messagerie, à partir de 23 € par an.

À Grenoble : Gresille

Dans une volonté d’« acentralisation » d’Internet, Gresille propose à l’échelle de Grenoble et de ses alentours un certain nombre de services à prix libre (boîtes de messagerie, listes de diffusion, hébergement…) autour d’un opérateur Internet indépendant, Grenode12, et s’inscrit dans une démarche de transmissions et d’échange de savoirs.

À Rennes : gozmail

À l’image de Gresille, il existe à Rennes gozmail mettant l’accent sur le courriel local – et donc breton. Les machines sont hébergées à Rennes et Nantes (chez Grifon et FAImaison) afin de garantir cette « acentralisation ».

Les boîtes sont à prix libre, le quota est de 100 Mio entre 1 € et 9 € par an, à 1 Gio (voire plus, en demandant gentiment) au‐delà. Vous pouvez rencontrer l’équipe technique tous les premiers mardis du mois au bar La cité d’Ys à Rennes.

L’association propose un compte de messagerie à prix libre ainsi que de nombreux autres services (hébergement, listes de diffusion, échange pair à pair, forge de logiciels, sondages, et plus si vous le leur demandez).

Gratuit, facile et chiffré : Protonmail

Protonmail a été créé par trois anciens chercheurs du CERN suisse, mais l’équipe s’agrandit après une campagne de financement participatif réussie d’un demi‐million de dollars. L’entreprise est suisse et les serveurs sont donc hébergés en Suisse, donc les données sont protégées par le droit helvète (apparemment) plus strict. Le but affiché de Protonmail est de rendre le plus facile possible l’accès à la cryptographie. Et pour cela, l’entreprise veut que sa solution soit gratuite et facile à utiliser. Pour ce faire, elle propose un compte de courriel gratuit à côté d’options payantes et développe un webmail moderne (c’est‐à‐dire dynamique et « responsive » pour les ordiphones).

À noter ce journal qui indique que l’équipe de ProtonMail envisage de libérer le code du frontal, mais pas celui du back‐end. Elle considère que le faire dévoilerait des informations sur son infrastructure. Cet argument relève de la sécurité par l’obscurité, une pratique au mieux ambiguë.

Tutanota

Dans la même veine que Protonmail, Tutanota propose depuis 2011 un courriel chiffré de bout en bout, gratuit jusqu’à 1 Gio de stockage, dont le code du client est disponible sur GitHub.

Tutanota est un service de messagerie de la Toile allemand qui s’est créé à la suite des révélations d’Edward Snowden et qui chiffre les courriels de bout en bout, aussi bien entre les utilisateurs du service que les utilisateurs externes. En effet, si vous adressez un courriel à quelqu’un qui est sous Gmail, vous pouvez spécifier un mot de passe que vous lui communiquez en direct (via un canal sécurisé) et celui‐ci pourra lire votre message directement sur le site Tutanota en entrant le mot de passe.

Tutanota n’entrepose aucun mot de passe dans ses bases de données. Tout le processus de chiffrement et déchiffrement passe par les navigateurs. Par conséquent, si vous oubliez votre mot de passe Tutanota… Ce service a été mis au point par trois anciens étudiants en informatique, devenus compétents en chiffrement. Ils bossent actuellement sur la conception d’une application mobile. Dans sa version gratuite, la messagerie de la toile propose 1 Gio de stockage et le code source est d’ores et déjà disponible (licence GPL v3).

Il est à noter qu’il n’est pas possible d’utiliser les clients IMAP et SMTP classiques avec un compte Tutanota : l’équipe considère que cela empêcherait de garantir un chiffrement de bout en bout (cf. la FAQ).

Source : Planète Linux, août-septembre 2014 p. 4

L’auto‐hébergement

Auto‐hébergement.fr

Attention au blocage du port 25 par votre FAI !

Si vous envisagez l’installation d’un serveur de courriel chez vous, vérifiez que le port 25 du routeur de votre boîtier ADSL ou fibre est ouvert ou possiblement ouvrable. Par exemple, si vous êtes abonné à Free ou Alice, la configuration est simple et gratuite via une case à cocher dans l’interface de configuration de la box. En revanche, si vous êtes abonné à Orange, le port est bloqué définitivement et l’envoi de courriels directement de votre ordinateur est impossible et non configurable ni négociable, à moins de passer par d’autres offres de type professionnel avec une IP fixe (option payante, 15 € HT/mois), l’ouverture du port 25 est ensuite gratuite sur demande.

Gardez également en tête que certaines listes DNS-BL déclarent les plages d’adresses IP dites « domestiques » comme mises sur liste noire, avec pour conséquence pour les administrateurs utilisant ces listes d’interdire tout courriel provenant d’une adresse IP de ces plages.

En outre, certains moteurs anti‐pourriel s’appuient également sur l’adresse IP d’origine pour catégoriser les courriels en indésirables…

Il devient aujourd’hui de plus en plus délicat d’héberger ses courriels sur une connexion domestique.

Comme alternative, il est possible d’utiliser le serveur SMTP de son FAI en relai (SMTP relay), à condition que ledit serveur accepte de distribuer les messages d’autres domaines (ce n’est pas le cas pour les serveurs de SFR, qui refusent de relayer les messages n’étant pas expédiés par une adresse @sfr.fr). La notion d’auto‐hébergement en prend un coup, mais « ça fait le boulot ».

N. B. : Les ports 465 (SMTPS) et 587 (soumission) sont aussi très utiles.

Les distributions dédiées à l’auto‐hébergement

YunoHost

YunoHost (Why you no host?) est un système d’exploitation basé sur Debian GNU/Linux qui a pour but de faciliter l’auto‐hébergement. YunoHost fournit un système complet de gestion du courrier électronique. De plus, YunoHost propose un système de messagerie instantanée et plein d’applications modulaires pour tous les besoins.

Page Wikipédia de YunoHost

Autres distributions en développement

Cozy, UBOS, Sovereign, Sandstorm, FreedomBox et Homebox.

Les serveurs IMAP, POP3 et SMTP

Exim4, Postfix, OpenSMTPd

Ce sont des MTA : Mail Transfert Agent. Ils se chargent de réceptionner les courriels provenant de clients de messagerie (MUA) ou d’autres MTA, puis de les transporter vers des agents de distribution du courriel (MDA) ou d’autres MTA. Pour réceptionner ou transporter les courriels, les MTA utilisent les protocoles SMTP ou SMTPS. En clair, sans ça, votre serveur ne va jamais fonctionner.

Dovecot, Courier mail server

Ce sont des MDA : agent de distribution de courriels. Ils vont se charger de faire le lien entre le client de messagerie (MUA) et le serveur. Ils parlent POP3 ou IMAP, avec en option un moyen de chiffrer le canal via TLS.

Modoboa

http://modoboa.org

Messagerie de la Toile et plate‐forme d’hébergement et d’administration de messagerie dont l’objectif est de simplifier la vie de tout le monde, administrateur et utilisateur. Elle est écrite en Python.

Horde / IMP

Horde est une solution complète et mûre (client de messagerie, carnet d’adresses, agenda et gestion de tâches, synchronisation avec un ordiphone, etc.) écrite en PHP.

Il gère le protocole IMAP pour la connexion au MDA, CalDAV pour l’exportation du calendrier, CardDAV pour celle des contacts, ainsi que ActiveSync Exchange, le protocole de synchronisation complète (courriel, contacts, calendrier, notes et tâches) développé par Microsoft.

Zimbra

Solution d’auto‐hébergement chez OVH Kimsufi :

  • les plus :
    • facile à installer : ISO Ubuntu + Zimbra fournis,
    • client complet (CardDAV, WebDAV, porte‐documents, messagerie de la Toile ; même niveau de fonctionnalité qu’Outlook…),
    • procédures de mises à jour assistées + tutoriels par la communauté,
    • simple à mettre à jour en HTTPS (utilisation de StartCom) ;
  • les moins :
    • besoin de beaucoup de mémoire vive (2 Gio minimum),
    • mettre à jour régulièrement, sinon risque d’attaque,
    • coût du serveur dédié / virtuel,
    • usine à gaz ?

Pause tuto

Vous trouverez un tuto très minimaliste pour mettre en place votre serveur de messagerie.

iRedMail

iRedMail est un script d’installation et configuration automatique d’une pile complète pour son service de messagerie électronique.

Il installe et configure : Postfix, Dovecot, Managesieve, Apache, MySQL/PostgreSQL, OpenLDAP, Policyd ou Cluebringer, Amavisd, Roundcube, AWStats, Fail2ban.

Parmi les fonctionnalités, on peut noter :

  • gestion multi‐domaine ;
  • gestion des redirections ;
  • gestion des quotas ;
  • filtres anti‐pourriel et antivirus ;
  • liste blanche ;
  • liste noire ;
  • liste grise (en option) ;
  • mise en quarantaine ;
  • paramétrage une adresse de capture (« catch‐all ») ;
  • utilisation de signature avec la norme DKIM et du cadre d’application de stratégie d’envoi (SPF) ;
  • message d’absence ;
  • aide à la mise en place d’un enregistrement de serveur de courriels (MX) secondaire ;
  • sauvegarde quotidienne des bases de données.

Le script permet de configurer sa pile de courriels en utilisant différentes applications dorsales (arrières‐plans) : MySQL, PostgreSQL ou OpenLDAP.

Il est compatible avec les distributions Red Hat, CentOS, Debian, Ubuntu et les systèmes FreeBSD et OpenBSD, et il utilise exclusivement le gestionnaire de paquets de la distribution pour installer les logiciels.

N’importe quelle distribution généraliste (Debian, Fedora, Arch Linux, etc.) peut être utilisée, mais avec plus de travail d’adaptation.

Une interface d’administration, iRedAdmin, permettant de gérer les comptes, les domaines, les paramètres, etc., à partir de votre navigateur est proposée. Il faut cependant noter que la version gratuite est limitée en fonctionnalités. Elle satisfera les besoins d’un particulier qui utilise la configuration par défaut, ou d’un bricoleur qui peut aller faire la configuration dans la base de données et dans les fichiers.

Pour les professionnels, une interface complète payante est aussi proposée par un abonnement annuel (pour obtenir les mises à jour) ou à vie. Cette interface n’est pas obligatoire pour gérer les services qui peuvent être configurés en ligne de commande ou en utilisant d’autres interfaces (postfixadmin, phpldapadmin, phpmyadmin, etc.)

Citadel

La marche est haute pour avoir son propre serveur de courriel, qu’il soit auto‐hébergé chez soi, ou sur une machine associative (ou un serveur loué). Mais il existe un très vieux logiciel qui fait le boulot facilement : CITADEL. Dans sa version Citadel/UX.

Il n’est pas inclus dans la plupart des distributions, peut‐être parce qu’il est difficile à empaqueter et qu’il vient avec ses propres compilations de quelques bibliothèques en paquet « tout prêt » ; ce n’est souvent pas apprécié. Enfin, il est publié uniquement en continu (rolling‐release). Il peut également rebuter, car sa doc dit quelque chose comme wget script.sh | sh ce qui est, à juste titre, déconseillé. Mais même si vous faites tout à la main et vous le compilez sur une machine à part, pour ne pousser en production que les binaires compilés, cela restera nettement plus simple que beaucoup d’autres solutions. Il s’installe facilement, se configure très facilement, fonctionne bien, tient la charge, et convient bien à un premier petit auto‐hébergement.

Il vient avec une interface Web complètement dépassée, bien que maintenue, que l’on utilisera pour configurer les alias des comptes de messagerie, etc., et que l’on désactivera rapidement ensuite, au profit de l’usage d’autres interfaces citées ici.

Sécurité de l’auto‐hébergement

Ne pensez pas être en totale sécurité sur un système auto‐hébergé. Bien sûr, les données sont beaucoup mieux maîtrisées par leur propriétaire. Mais, comme l’a bien dénoncé Edward Snowden, Orange, par exemple, surveille soi‐disant finement les échanges sur la ligne.

Le système auto‐hébergé fait qu’il est facile de détecter les messages d’un utilisateur, puisqu’il n’y a qu’un seul utilisateur par serveur. L’anonymat n’est donc pas garanti, même si l’on prend soin de sécuriser les connexions et de chiffrer les messages.

Les clients de messagerie (MUA)

Les clients Web

RoundCube

RoundCube est un client Web de messagerie écrit en PHP, avec une interface dotée d’un style moderne, riche en fonctionnalités. Il est stable et vient de passer en version 1.3.3 (nov. 2017). Avec le greffon de navigateur Mailveloppe, il permet le chiffrement (OpenPGP) des courriels.

RainLoop

RainLoop est un client en PHP. Le client lui‐même est libre, mais certains modules additionnels sont disponibles uniquement dans une version payante dont le code n’est pas publié.

Le client se connecte en IMAP au serveur de messagerie, et n’a pas besoin d’être hébergé au même endroit que celui‐ci. On peut donc l’utiliser avec n’importe quelle boîte de courriel accessible via IMAP.

Rainloop propose une interface moderne personnalisable avec des thèmes, avec la gestion des dossiers IMAP, d’un carnet d’adresses (éventuellement synchronisable avec un serveur CardDAV) et du courrier indésirable.

MailPile

MailPile est un client Web qui a pour but de faciliter le chiffrement des messages. Il est actuellement en version bêta.

CaliOpen

CaliOpen cherche à faciliter la compréhension du public sur les moyens mis en œuvre pour assurer la confidentialité des échanges (échanges non limités au seul courriel). Ainsi, l’interface devrait signaler de manière compréhensible pour un béotien si le message a été transmis en clair lisible par tous (comme une carte postale au sein d’un réseau postal) ou de manière chiffrée (enveloppe opaque avec un sceau de cire pour rester dans la comparaison du système postal).

SOGo

SOGo possède un design moderne et est notamment utilisé par gandi.net en plus de son webmail Roundcube.

Les client lourds

À côté des sacro‐saints Thunderbird, Evolution et KMail, vous pouvez aussi bien essayer des clients plus légers comme Sylpheed, Claws Mail, Balsa, Mutt, ou même des petits nouveaux comme Geary (prometteur, mais qui n’est pas encore tout à fait au point) ou encore Trojitá.

Sans parler de ceux qui fonctionnent ailleurs que sous GNU/Linux :

  • Beam, pour Haiku et BeOS ;
  • Yam, pour AROS, AmigaOS et MorphOS ;
  • SimpleMail, pour AmigaOS et MorphOS.

Kmail

KMail est un client orienté pour KDE (mais utilisable sous tout bureau). Il fait partie du gestionnaire d’informations personnelles KDEPIM (courriel, agenda, contacts, news, notes…).

Kube

Kube est un client très récent débuté en 2017. Il utilise QtQuick et des bibliothèques KDE.

Claws‐mail (ou sylpheed)

Claws est un client en C++/GTK, peu consommateur de ressources et rapide. Claws est la version bleeding‐edge de Sylpheed.

Mozilla Thunderbird

Mozilla Thunderbird, tri‐licence, polyvalent. Faut‐il présenter ce célèbre client de messagerie ?

Disponible sous GNU/Linux, macOS et Windows, il est, comme son grand frère Firefox, extensible. D’ailleurs, l’une des extensions les plus populaires est Lightning, qui permet de gérer les agendas distants avec CalDAV. Thunderbird est à son aise avec les protocoles IMAP, SMTP et POP, et propose une configuration automatique pour les fournisseurs de courriel les plus courants. Vous pourrez utiliser en son sein plusieurs comptes différents.

Vous pourrez lui apprendre de nouvelles fonctionnalités pour gérer GPG avec l’extension Enigmail, téléverser vos pièces jointes vers un « cloud », ajouter le protocole Exchange, gérer le protocole Sieve, etc.

L’extension mailhops permet de voir le pays d’envoi du courriel.

Mozilla s’occupe désormais de la maintenance de sécurité, l’ajout de nouveautés est l’œuvre de passionnés (même si Thunderbird permet de faire des économies substantielles à des grandes organisations comme le ministère français de l’Intérieur).

Evolution

Client du projet GNOME en GTK 3. Evolution a la particularité de gérer nativement le protocole Exchange de Microsoft.

Geary

Geary du projet GNOME.

Les clients en mode texte

mutt

mutt est un client de messagerie électronique avec une interface [Curses].

elm, pine, alpine

Ces clients de messagerie se sont succédé, la dernière version du plus récent, Alpine, basé sur Pine date de 2008.

mu4e : mu for Emacs

mu4e utilise votre structure « Maildir » existante (que vous pouvez synchroniser avec offlineimap ou fetchmail) et indexe les courriels avec mu. mu4e a été conçu pour gérer ses courriels le plus efficacement possible : recherche, lecture, réponse, déplacements et suppression. L’expérience utilisateur est un mélange de « dired » et « Wanderlust ».

Entre autres fonctionnalités :

  • totalement centré sur la recherche : il n’y a pas de fichiers, seulement des requêtes ;
  • l’interface est utilisée au mieux pour l’efficacité, avec des raccourcis clavier pour les actions communes ;
  • entièrement documenté, avec des exemples de configuration (comme celle de Gmail) ;
  • asynchrone : de lourdes actions ne bloquent jamais Emacs ;
  • on peut écrire des textes riches en utilisant org-mode (pour par exemple embarquer un graphe à partir de code Python) ;
  • auto-complétion des adresses fondée sur les messages ;
  • totalement extensible.

Les clients pour mobile

K-9 Mail

K-9 Mail est un client pour Android. Il est disponible sur le PlayStore de Google mais aussi sur la logithèque F-Droid, ainsi vous n’êtes pas obligé de souscrire aux sévices services de Google lorsque vous l’installez sur une ROM alternative à Android.

Il s’agit à l’origine d’une divergence (fork) du client de messagerie électronique par défaut fourni avec Android (qui reste plutôt minimaliste, Google préférant mettre en avant le client spécifique pour GMail).

K9-mail, sous licence Apache, en est à sa cinquième version et nécessite au minimum Android 4.0.3+ (Ice Cream Sandwich MR1, API 15). Son nom est un jeu de mot anglais tiré d’un personnage la série Docteur Who (K-nine sonnant comme le mot « canine »).

Ses fonctionnalités principales sont (d’après Wikipédia) :

  • gestion des protocoles IMAP, POP3, SMTP et des comptes Exchange 2003/2007 (avec WebDAV) ;
  • synchronisations des dossiers ;
  • chiffrement avec les applications Android Privacy Guard et OpenKeychain qui gèrent vos clefs GPG, vous pouvez donc chiffrer vos courriels de la même manière que sur votre ordinateur de bureau ;
  • signatures ;
  • installable sur la carte SD ;
  • possibilité d’utiliser des identités différentes pour l’envoi sur un même compte (par exemple, des alias).

Aller plus loin

  • # Auto-hébergement mail - Retour d'expérience

    Posté par . Évalué à 10.

    Bon article !

    Pour l'auto-hébergement mail, à mon avis, il manque une référence sur les solutions conteneurisées tel que Mailcow que j'utilise ou Mailu qui commence à gagner en maturité aussi.

    Ça fait maintenant deux mois que j'ai quitté la Google suite payante et que je me suis lancé dans l'auto hébergement mail (seul truc que je n'auto-hébergeai pas moi-même).

    Franchement, comme une grosse partie des gens qui comme moi, se sont lancés dans cette aventure, le souci majeur, c'est la réputation de l'IP qui sert à envoyer les mails.

    À moins de passer par un relais (FAI, hébergeur dédié/mutu), vous aurez de bonne chance de passer par le parcours du combattant "Réputation de mon IP". Il faut que d'une part les services tiers accepte vos mail et en suite ne les marque pas comme pourriel.

    Si vous voulez héberger chez vous : à mon avis vous êtes bon pour passer par un hôte relais SMTP sans quoi une grosse partie de vos mails ne seront tout simplement pas acceptés (Outlook/Hotmail, Yahoo et co, …)

    Si vous êtes hébergé chez Scaleway (Online) comme moi au équivalent (OVH, etc), tout dépends de l'IP que vous allez récupérer.

    À mon avis on peut classer en trois catégories :
    1. Pas de chance : vous avez une IP avec une mauvaise réputation et là, c'est grosse galère garantie et vous êtes bon pour faire du porte-à-porte pour blanchir votre IP auprès des services de réputation d'IP et "postmaster" de la planète.
    2. Neutre, l'IP n'a pas de mauvaise réputation : vos mails sont acceptés mais marqués comme pourriel par certains gros hébergeurs.
    3. Le cas de type "Perfect" : IP super propre avec une excellente réputation. Vous avez une chance incroyable. Vous devez cependant vous assurer que cette réputation ne se dégrade pas par la suite.

    Dans tous les cas si vous avez la possibilité de choisir une IP dans une liste il est fortement conseillé de la terser au maximum la réputation de cette dernière. Et là encore, ça n'offre pas de garantie absolue.

    Moi je suis dans le cas intermédiaire où j'ai choisi une IP qui était blacklistée nulle-part.

    Ça n'a pas empêché que les mails vers certain service comme AOL/Yahoo, Outlook/Hotmail, GMX/Caramail et d'autres était considérés comme pourriel. Après quelle que jours à me battre avec les services "Postmaster" des différents hébergeurs, j'ai pu résoudre la quasi-totalité des problèmes.

    Là, il y a quatre catégories :
    1. Facile (example GMX/Caramail) : Vous utiliser un service dédié ou vous ouvrez un ticket chez le prestataire. Ils répondent rapidement et vous blanchi votre IP/domaine dans la foulée :)
    2. Intermédiaire (exemple Google) : C'est un peu plus long. Ils disposent de systèmes de réputation d'IP plus opaques et m'a demandé plus de temps pour que ça passe.
    3. Difficile (exemple Yahoo/AOL) : ici, on monte encore d'un cran, avec plus d'échanges et d'allers-retours avec le service Postmaster pour que les mails passent enfin dans la boite de réception.
    4. Le BOOS DE LA FIN ! Le prestataire qui tien haut la main la palme de l'emmerdeur absolu : Outlook/Hotmail avec son "SmartScreen® Filter". Ça fait deux mois durant lequel j'ai tenté :
    1. Ajout des IPs dans leur service "Junk Mail Reporting Program"
    2. Ouverture de tickets : Il est ici très compliqué de dialoguer avec de vrais personnes. La majorité des réponses sont effectués par des automates, ensuite si on tente de pousser un peu plus loin, on se heurte à un mur avec toujours le même type de réponse préformatée avec de vagues recommandations qui ne change pas grand-chose dans l'absolu.
    3. Ouverture d'un certain nombre de comptes chez Homail pour marquer mes mails comme légitime.

    Voilà en gros où j'en suis, donc si quelqu'un a un tuyau pour le boss de la fin, je suis vraiment preneur !

    • [^] # Re: Auto-hébergement mail - Retour d'expérience

      Posté par . Évalué à 4.

      C'est exactement ce qui me fait peur dans le fait de m'auto héberger les emails. J'ai jamais sauté le pas (et du coup je suis chez GMail :( )

      Je pense utiliser une adresse email chez un prestataire style Gandi, qui lui a un SMTP bien réputé. C'est le presque auto-hébergement : je récupère mes emails, les stocke, les sauvegarde, les consulte avec mes outils et mon espace disque, mais l'envoi lui restera délégué.

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Auto-hébergement mail - Retour d'expérience

      Posté par (page perso) . Évalué à 5.

      Ahhh la joie de la réputation de ton domaine/adresse IP…

      Je n'ai malheureusement pas de solution pour t'aider dans ton boss de fin, mais avec mon expérience, je ne peux que t'inciter à persévérer.

      Je m'auto-héberge depuis pas mal d'années en ayant essayé différents modes: d'abord chez moi via mon FAI, puis avec un VM chez un hébergeur et enfin depuis environ 7 ans avec une Kimsufi (serveur dédié avec IP fixe).

      Le souci des spams s'est posé quelques fois mais je ne me souviens pas avoir eu de problèmes bloquants (c'est pour ca que je le fais toujours moi-même).

      Concrètement j'ai quand même mis en place tous les machins permettant de dire aux gens que je suis peut-être un bon gars: DKIM, SPF ou autres. Merci à tous les tutos disponibles et accessibles sur internet! Une obligation est d'avoir un accès complet au DNS de ton domaine pour pouvoir y mettre les règles que tu veux justement.

      Des fois je dois demander à certains nouveaux destinataires de regarder dans leur dossier spam si mon courriel ne s'y trouve pas, même si j'ai aucun problèmes avec d'autres comptes du même fournisseur.

      Après, ca m'arrive encore de temps en temps (une ou deux fois par an) d'avoir gmail (toujours lui) de me renvoyer dans ma face un courriel que j'ai envoyé en me disant "Non, toi t'es pas legit!". Je revérifie alors chez google si mon serveur est soudain devenu méchant, mais non. Ca doit venir de leur coté parce le même type de courriel renvoyé le lendemain ou un peu plus tard passe sans problèmes…

      • [^] # Re: Auto-hébergement mail - Retour d'expérience

        Posté par . Évalué à 3.

        Oui pour ce qui est DKIM, SPF et co, tout est OK j'obtiens 10/10 sur mail-tester.com et pour l'IP j'ai 100 sur senderscore.org. Mon problème est uniquement Outook… On verra par la suite.

        • [^] # Re: Auto-hébergement mail - Retour d'expérience

          Posté par . Évalué à 4. Dernière modification le 01/04/19 à 21:24.

          Perso j'avais ouvert un ticket chez eux. 5 jours après il était clos résolu. Et depuis plus de problème.

          Pour Google j'ai utilisé un tuto qui n'as rien à voir avec la choucroute (accès à Drive) et ajouté du coup une info google au domaine (champ txt google-site-verif=xx). Suite à ça bizarrement plus aucun problème avec eux non plus pour le mail.

          (À mail-checker le score n'est que de 3,3/10 alors je me considère comme chanceux que mes mails arrivent toujours à destination ;)

          • [^] # Re: Auto-hébergement mail - Retour d'expérience

            Posté par . Évalué à 1.

            Oui, leur "SmartScreen® Filter" marche sur la tête… De manière générale j'ai l'impression que c'est la réputation de l'IP qui influe majoritairement sur le système de filtrage chez eux.

            Je l'ai aie contacté une autre fois pour déblacklister un bloc d'IP et la ça a été plus rapide.

            Par contre pour mon souci de pourriel : rien à faire pour l'instant malgré plusieurs tickets ouverts…

    • [^] # Re: Auto-hébergement mail - Retour d'expérience

      Posté par . Évalué à 2.

      Je suis intéressé pour savoir comment tu as fait pour parler à des vraies personnes chez GMail. Mes mails tombent par défaut dans les spams pour les destinataires qui n'ont pas encore marqué un mail venant de mon serveur comme légitime.

      A chaque fois je me vois renvoyer vers les consignes pour les spammeurs professionnel (expéditeurs de Newsletter & co). J'ai bien DKIM, DMARC et SPF, mais comme il y a maximum 5 mails qui partent de ce serveur par semaine c'est comme si je n'existais pas. Et du coup j'ai pas accès aux consoles postmaster pour voir ce qu'il se passe.

      Comment as-tu fait pour ne pas tomber dans les spams de GMail ?

      • [^] # Re: Auto-hébergement mail - Retour d'expérience

        Posté par . Évalué à 3.

        Concernant GMail j'ai juste enregistré mes domaines sur la page https://postmaster.google.com/managedomains
        Je me souviens vaguement avoir eu des soucis au début mais j'ai fait tellement de truc pour que ça marche avec Outlook/Hotmail que je me souviens plus trop ce que j'ai fait pour que ça marche avec GMail. En gros je crois que la grosse galère avec Outlook m'a fait oublier les autres galères :D

        • [^] # Re: Auto-hébergement mail - Retour d'expérience

          Posté par . Évalué à 1.

          J'ai fait ça aussi. J'ai jamais de donnée affichée, juste le message suivant:

          Aucune donnée à afficher pour le moment. Veuillez réessayer ultérieurement.
          Votre domaine doit répondre à certains critères relatifs à Postmaster Tools pour que les données puissent être affichées dans ce graphique. Pour plus d'informations, reportez-vous à la page d'aide.

          Le domaine est bien marqué comme validé et tout mes mails s'affichent comme signé (DKIM) dans l'interface de GMail. Mais rien n'y fait avec les nouveaux destinataires qui n'ont pas encore marqué mes mails comme non-spam.

          • [^] # Re: Auto-hébergement mail - Retour d'expérience

            Posté par . Évalué à 1.

            Oui moi aussi j'ai le même message pour mes domaines.

            Qu'est-ce que tu as comme résultat avec https://www.senderscore.org/ ?

            ReturnPath est un service employé par Outlook et co et sans doute par Google, Yahoo et d'autres pour déterminer la réputation de ton IP

            Je me plains de Outlook/Hotmail de mon côté mais tous les gros fournisseurs de mail disposent d'algos assez opaques.

            Je me sers de l'outil Spam Testing Tools qui permet de tester la réception de mail vers un grand nombre de fournisseurs de mail de la planète. Je l'utilise avec Thunderbids + Mail Merge qui permet d'envoyer une grosse quantité de mail (fichier csv avec la liste). ATTENTION : il faut mettre une tempo entre chaque envoi sinon il y a un risque de greylistage chez Yahoo/AOL notamment.

            • [^] # Re: Auto-hébergement mail - Retour d'expérience

              Posté par . Évalué à 1.

              SenderScore avec l'IP:

              Insufficient Email Seen

              We have not seen a sufficient volume of email from x.x.x.x to calculate scores or delivery rates.

              Did you enter the the IP address of your mail server? If you did, you haven't sent enough mail for us to calculate your score.

              Want to increase your sending volume? Read our white paper to learn 50 ways to grow your list.

              SenderScore avec le domaine:

              Sending IPs
              No data available in table

              Related Sending Domains
              No data available in table

              Bref, les petits on s'en tape, comme d'habitude. Tout le reste est vert là-bas. Je teste avec https://www.mail-tester.com/ J'ai 10/10 là-bas.

    • [^] # Re: Auto-hébergement mail - Retour d'expérience

      Posté par (page perso) . Évalué à 2.

      Voilà en gros où j'en suis, donc si quelqu'un a un tuyau pour le boss de la fin, je suis vraiment preneur !

      Pour moi, la réponse est souvent de changer d'hébergeur. À court terme, je convainc mes amis d'utiliser leur compte google et la fonction d'import IMAP/POP3. Cela leur permet de garder la même adresse. Outlook et Hotmail ne sont pas des exemples en matière de sécurité, de toute façon.

      À long terme, je prône l'auto hébergement, sachant que ce pourrait être plus simple, et j'essaie de le rendre plus accessible.

  • # Se passer des GAFAM...

    Posté par (page perso) . Évalué à 4.

    … Ah la bonne blague. Je sais bien que nous sommes un 1er avril, mais quand même ;)

  • # file d'attente SMTP

    Posté par (page perso) . Évalué à 5.

    J'ai buté sur cette phrase :

    alors que les serveurs doivent être reliés en permanence au réseau internet pour assurer la distribution des messages.

    Heu non. MTA/MX/MDA n'ont pas besoin d'être connectés h24. On pourrait rephraser :

    alors que les serveurs devraient être reliés en permanence au réseau internet pour assurer une distribution fluides des messages.

    • [^] # Re: file d'attente SMTP

      Posté par (page perso) . Évalué à 3.

      Je confirme.

      Ayant eu une panne de Box FAI chez moi pendant 1 semaine ½, quelques jours de downtime ne m’ont aucunement pénalisé, le temps que je bouge le serveur chez quelqu’un d’autre.
      Bon, évidemment, si j’avais attendu 1 semaine ½ pour faire ça, j’aurais pu perdre des mails… mais jusqu’à 5 jours, la probabilité de perdre des mails est assez faible.

      Et ça, c’est une grande force de SMTP ! Eussions-nous été encore le 1er de ce mois, j’aurais bien évoqué SMTP-o-PV, « SMTP over Pigeon Voyageur » de son nom complet, mais j’arrive trop tard…
      (en vrai, cette résilience de SMTP est très rassurante/apaisante pour un auto-hébergeur !)

  • # Client Android

    Posté par . Évalué à 6.

    Depuis peu il y a aussi FairEmail comme client sous Android. Il gère GPG avec OpenKeychain

    • [^] # Re: Client Android

      Posté par . Évalué à 1.

      En plus "joli", il y a SimpleEmail disponible sur F-Droid. Il a une interface material (avec les swipe pour effacer les messages, aperçu des messages etc…). C'est à la base un fork de FairEmail, mais avec un contributeur plus à l'écoute des besoins des utilisateurs.

  • # oui et non

    Posté par . Évalué à 4.

    Essayer de se passer des GAFAM c'est souhaitable mais pas facile.
    S'auto-héberger, c'est sans doute plus facile mais est-ce souhaitable ?

    Après avoir essayé moi-même il y a quelques années (principalement pour le mail), je pense aujourd'hui que non. La principale raison, à mes yeux, est que j'ai une famille qui ne saura pas s'en sortir s'il m'arrive quelque chose (et pour les mails, ça peut être très gênant). J'imagine que je ne suis pas seul dans ce cas.

    • [^] # Re: oui et non

      Posté par (page perso) . Évalué à 3.

      Ça serait souhaitable niveau vie-privée. Je ne sais pas si ça l'est niveau consommation d'énergie. Il y a plusieurs aspects difficiles côté admin sys: disponibilité du service (connexion, stockage, maintenance serveurs…), et réputation / blacklist.

      Et vu l'importance que prend l'email dans le cadre de la dématérialisation de nombreuses procédures (échanges avec l'administration ou avec des entreprises privées), le risque d'en perdre un à cause d'un problème admin sys doit conduire à bien évaluer les conséquences.

      Python 3 - Apprendre à programmer en Python avec PyZo et Jupyter Notebook → https://www.dunod.com/sciences-techniques/python-3

  • # Bluemind

    Posté par (page perso) . Évalué à 2.

    Félicitation pour cet article de qualité !

    J'en profite pour poser la question, dans les serveurs complets qui font également client web, il y a deux solutions cités : Horde et Zimbra.

    Je suis tombé sur Bluemind récemment (l'ennemie de Linagora), quelqu’un à un retour d’expérience permettant de juger s'il s'agit d'une alternative crédible à Zimbra en termes de fonctionnalités web (courriel, agenda, contacts, xmpp), et compatibilité formats standards (WebDAV) ?

    https://www.bluemind.net/

  • # Se passer de Google ... quand une alternative équivalente existe

    Posté par . Évalué à 1.

    Cet article est très intéressant, merci d'abord à leurs auteurs.

    Pour ma part je ne suis pas spécialement intéressé par de l'auto-hébergement mais j'aurais pu être intéressé par une offre "logiciel libre" pour sortir ma messagerie de Google … si je trouvais une offre fonctionnelle équivalente à Inbox. En effet je fais partie des fans absolu de "Inbox by Gmail" qui est en train de fermer (Google ne gardant que le classique Gmail). J'adorais l'outil Inbox non pas pour l'hébergement chez Google mais pour l'interface utilisateur et son affichage des mails par regroupement chronologique + par tag. Je trouvais cette ihm bigrement efficace tout en restant bigrement simple et lisible. Sauf que ça disparaît car Google arrête Inbox et revenir à Gmail ne me fait pas plaisir. En effet si quelques fonctionnalités ont été reportées sur Gmail, on est loin de cette simplicité + efficacité d'Inbox.

    Je voulais donc savoir s'il existait, à votre connaissance, une alternative proche fonctionnellement d'Inbox avec un service établi sur des logiciels libres ?

  • # évolutions de Sud-Ouest.org

    Posté par (page perso) . Évalué à 2.

    Bonjour,
    Sud-Ouest.org a évolué depuis 2010. Une refonte complète de la plateforme technique de Sud-Ouest.org https://sud-ouest2.org a récemment été effectuée. L'association Sud-Ouest.org est membre du CHATONS https://chatons.org.
    Les services proposés n'ont bien sûr pas changé sur le fond : service en ligne libre et loyal de courriel, listes de diffusion si nécessaire, prix libre, format ouvert, logiciel libre. Le service vise d'abord le grand public et les associations mais se prête aussi bien aux comptes individuels qu'aux syndicats, associations ou entreprises. L'ABUL et l'AFUL en sont membres fondateurs personnes morales.

  • # Gratuit, facile et chiffré : Protonmail

    Posté par (page perso) . Évalué à 3.

    Protonmail pour des besoins au delà d’une seule adresse de courriel, c’est pas que c’est cher, c’est que c’est cher sa mère la race de sa grand-mère.

    Genre, comme y a pas d’alias ni de redirection possible exit les adresses de types hostmaster, postmaster, etc.

    J’avais calculé rapidement pour mes besoins: 2 users, 3 domaines, 3 adresses, et une 15aine d’alias ou redirection, ça m’aurait coûter quelque chose comme 300€/an.

    Du coup je suis en train de regarder pour installer le module trees de riseup.net dans mon Dovecot auto-hébergé.

  • # Carte postale... Comment marche la poste ?

    Posté par . Évalué à 1.

    Jolie dépêche, juste je n'ai pas compris quelle protection réelle apporte TLS sur SMTP : lorsqu'on regarde les en-têtes d'un e-mail, on voit généralement plusieurs "rebonds" : Received: from X by Y with ESMTP(S). Si je comprends bien, chaque relai transmet au suivant ; Cela me pose plusieurs questions :

    • cela veut dire que chaque relais y va de sa connexion TLS vers le suivant ? Donc chacun reçoit le message en clair avant de le retransmettre ?
    • Si j'envoie un mail via un client lourd avec STARTTLS, ais-je l'assurance que chaque relais va faire transiter ce message à travers un canal chiffré ?
    • Et via un webmail, ais-je un moyen de savoir si mon hébergeur chiffre les connexions SMTP qu'il établit pour moi ?

    Merci pour vos éclairages.

    • [^] # Re: Carte postale... Comment marche la poste ?

      Posté par (page perso) . Évalué à 1.

      Je ne suis pas expert du sujet, mais je vais tenter une réponse.

      Effectivement, il y a plusieurs rebonds. Cependant, en situation « nominale », le chemin est assez court :

      1. ton client (ex. Thunderbird) contacte ton fournisseur (ex. monFAI.fr) ;
      2. ton fournisseur contacte le fournisseur du destinataire (ex. sonFAI.fr).

      C’est tout. En réalité, il peut y avoir plus de rebonds, car selon la topologie de réseau, on peut vouloir subdiviser le traitement des email, ou en externaliser certaines parties.

      À l’origine, tout cela est un peu « open-bar », et petit à petit, on a protégé les choses, notamment l’étape 2. ci-dessus :

      DKIM et SPF visent globalement à s’assurer que le domaine qui envoie (@monFAI.fr) est véridique. SPF liste les serveurs habilités à envoyer au nom de ce domaine, et DKIM permet de vérifier par une signature cryptographique que seul un serveur habilité a effectivement pu envoyer le mail.

      Rien n’est spécifiquement fait pour s’assurer que le domaine récepteur est le bon. Là, on fait confiance au DNS (MX, AAAA…). C’est un autre sujet, pour lequel d’autres techniques existent.

      Reste à sécuriser l’étape 1. ci-dessus. Là, en général, on s’appuie sur un login et un mot de passe. Et comme sur le web, tu n’entres pas ces données sans que le canal de communication ne soit sécurisé. Le serveur qui vérifie ton accès est celui qui gère @monFAI.fr, et donc c’est entre toi et ce serveur qu’il faut chiffrer la communication. Le besoin s’arrête là. Il ne s’agit pas de sécuriser tout le trajet jusqu’au destinataire.

      Le trajet entre serveurs de messagerie (notamment l’étape 2. ci-dessus) passe par le port 25, généralement en clair. Pour cette raison, pour masquer le contenu d’un email, il faut une action de chiffrement à ton initiative, indépendante du transporteur. On utilise souvent S-MIME ou GnuPG pour ça. Il suffit que l’émetteur et le destinataire se comprennent.

      C’est comme avec La Poste : tout le monde voit l’extérieur (émetteur, destinataire, tampons d’acheminement…), mais tu peux décider, à ton initiative, de mettre le contenu dans une enveloppe pour que seul le destinataire puisse le lire ; tu peux aussi décider de laisser tout visible par tout le monde : la carte postale, ce que pratiquement tout le monde fait en matière d’e-mail.

      Enfin, pour la dernière question : non, il n’y a aucun moyen de savoir, à moins de connaître le « postmaster » ou que les logiciels côté serveur laissent des traces révélatrices en en-têtes.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.