PostfixHéberger son propre serveur mail fait partie des ordalies de notre époque moderne. C’est le baptême du feu de l’administrateur en herbe, et au vu de la complexité de la tâche, nombreux sont ceux qui capitulent pour se résoudre à confier leur messagerie à un fournisseur clé en main.

Les solutions « gratuites » comme Google, Hotmail ou Yahoo! considèrent de manière quelque peu cavalière qu’en contrepartie de l’utilisation de leur messagerie c’est vous le produit et que du coup tous vos messages leur appartiennent.

Si vous partez du principe que la confidentialité ce n’est pas simplement un truc de vieux con, vous pouvez toujours vous rabattre sur une solution éthique et payante, auquel cas je vous conseille ProtonMail, un service de messagerie axé sur la sécurité et développé par des pointures du CERN et du MIT.

Même si l’hébergement de son propre serveur mail en 2020 est une sacrée tannée, ce n’est pas non plus la mer à boire. Au cours de ces derniers mois, j’ai rédigé une série d’articles détaillés à ce sujet, et le moment est venu de proposer un petit récapitulatif avec une vue d’ensemble sur toutes les opérations qu’il faut effectuer dans l’ordre, pas à pas. Suivez le guide.

  1. Louez un serveur dédié « bare metal » et installez une distribution GNU/Linux dessus. Pour ma part, j’ai une préférence marquée pour la gamme Dedibox de chez Online/Scaleway. L’installation de CentOS 7 sur un serveur Dedibox est décrite en détail dans cet article. Vous y trouverez également l’ensemble de la configuration post-installation et tout ce qu’il faut savoir pour sécuriser le serveur.
  2. À présent, vous disposez d’une installation minimale de Postfix capable d’envoyer des e-mails depuis le serveur.
  3. Il vous faudra au moins un nom de domaine, peut-être même plusieurs. Pour ma part, je préfère le bureau d’enregistrement BookMyName, qui offre des tarifs imbattables et une interface qui respecte le principe KISS.
  4. Partant de là, je configure mon propre serveur DNS avec BIND. Si vous êtes déjà familiarisé avec BIND, vous pouvez lire cet article succinct qui va droit au but.
  5. Nous aurons besoin d’un certificat SSL/TLS pour nos hébergements sécurisé. C’est décrit en détail ici, et je vous conseille d’utiliser un script shell pour gérer plus confortablement vos certificats.
  6. Nous utiliserons un webmail pour notre serveur, nous avons donc besoin d’un hébergement web sécurisé. La mise en place d’un serveur LAMP sous CentOS 7 est décrite dans cet article. Si vous voulez en savoir plus, reportez-vous aux articles individuels sur MySQL, Apache, l’hébergement sécurisé avec Apache, l’installation d’une version plus récente de PHP, etc.
  7. Maintenant que tous les prérequis sont satisfaits, on peut attaquer le plat de résistance avec une configuration multi-domaines pour Postfix, la configuration des adresses mail, la création des comptes utilisateurs correspondants, etc.
  8. La mise en place d’un serveur IMAP avec Dovecot nous permettra d’accéder au serveur mail en utilisant un client comme Mozilla Thunderbird. Cette première configuration n’a qu’une visée pédagogique, étant donné qu’elle n’est pas sécurisée.
  9. Pour éviter que les identifiants de connexion et les mots de passe se baladent en clair dans le réseau, nous devons impérativement sécuriser les connexions à Postfix et Dovecot.
  10. Le moment est venu de surveiller assez régulièrement les logs de Postfix.
  11. À partir du moment où vous hébergez vous-même votre propre serveur mail, vous devenez une cible de prédilection pour les spammeurs de la planète entière. Pour éviter de vous retrouver submergé par un tsunami de messages non sollicités, vous devez impérativement installer un filtre anti-spam comme SpamAssassin.
  12. En plus de SpamAssassin, ce n’est pas une mauvaise idée de configurer les RBL (Realtime Blackhole Lists) du projet Spamhaus.
  13. Éviter les spams est une chose. Ne pas passer soi-même pour un spammeur en est une autre. La meilleure solution consiste à authentifier ses messages grâce à la combinaison de SPF, DKIM et DMARC. C’est expliqué en détail dans cet article.
  14. Si vos utilisateurs ne souhaitent pas utiliser un client mail comme Mozilla Thunderbird, c’est une bonne chose de leur offrir un accès à leur messagerie via le webmail. Je conseille l’utilisation de Roundcube, dont les dernières versions intègrent un thème responsive et peuvent ainsi être utilisées depuis un smartphone ou une tablette.
  15. Enfin, n’oubliez pas que vous devez impérativement disposer d’une sauvegarde. Pour ma part, je prends tout simplement un deuxième serveur dédié pour cette tâche, avec une installation minimale de CentOS et la solution de sauvegardes automatiques Rsnapshot.

La configuration décrite ici convient parfaitement à une TPE, une PME, une école, etc. Comptez une bonne journée pour sa mise en place, éventuellement une autre journée pour les tests et le débogage. C’est un travail considérable, mais qui en vaut la chandelle. Parce qu’au final, on gagne en flexibilité tout en restant maître de ses données. Et j’ai la persistante et sournoise impression que la confidentialité est en train de devenir la denrée rare du XXIème siècle.


La rédaction de cette documentation demande du temps et des quantités significatives de café espresso. Vous appréciez ce blog ? Offrez un café au rédacteur en cliquant sur la tasse.

 


0 commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *