Monter son serveur mail de A à Z sous Rocky Linux 8

Héberger son propre serveur mail fait partie des ordalies de notre époque moderne. C’est le baptême du feu de l’administrateur en herbe, et au vu de la complexité de la tâche, nombreux sont ceux qui capitulent pour se résoudre à confier leur messagerie à un fournisseur clé en main.

Les solutions « gratuites » comme Google, Outlook ou Yahoo! considèrent de manière quelque peu cavalière qu’en contrepartie de l’utilisation de leur messagerie c’est vous le produit et que du coup tous vos messages leur appartiennent.

Si vous partez du principe que la confidentialité ce n’est pas simplement un truc de vieux con, vous pouvez toujours vous rabattre sur une solution éthique et payante, auquel cas je vous conseille ProtonMail, un service de messagerie axé sur la sécurité et développé par des pointures du CERN et du MIT.

Même si l’hébergement de son propre serveur mail en 2024 est une sacrée tannée, ce n’est pas non plus la mer à boire. Au cours de ces dernières semaines, j’ai rédigé une série d’articles détaillés à ce sujet, et le moment est venu de proposer un petit récapitulatif avec une vue d’ensemble sur toutes les opérations qu’il faut effectuer dans l’ordre, pas à pas. Suivez le guide.

1. Louez un serveur dédié « bare metal » et installez une distribution GNU/Linux dessus. Pour ma part, j’ai une préférence marquée pour la gamme Dedibox de chez Online/Scaleway. L’installation de Rocky Linux 8 sur un serveur Dedibox est décrite en détail dans cet article. Vous y trouverez également l’ensemble de la configuration post-installation et tout ce qu’il faut savoir pour sécuriser le serveur.
2. À présent, vous disposez d’une installation minimale de Postfix capable d’envoyer des e-mails depuis le serveur.
3. Il vous faudra au moins un nom de domaine, peut-être même plusieurs. Pour ma part, je préfère le bureau d’enregistrement BookMyName, qui offre des tarifs imbattables et une interface qui respecte le principe KISS.
4. Partant de là, je configure mon propre serveur DNS avec BIND. Si vous êtes déjà familiarisé avec BIND, vous pouvez lire cet article succinct qui va droit au but.
5. Nous aurons besoin d’un certificat SSL/TLS pour nos hébergements sécurisés. C’est décrit en détail ici.
6. Nous utiliserons un webmail pour notre serveur, nous avons donc besoin d’un hébergement web sécurisé. La mise en place d’un serveur LAMP sous Rocky Linux 8 est décrite dans cet article. Si vous voulez en savoir plus, reportez-vous aux articles individuels sur MariaDB, Apache, l’hébergement sécurisé avec Apache, l’installation d’une version plus complète de PHP, etc.
7. Maintenant que tous les prérequis sont satisfaits, on peut attaquer le plat de résistance avec une configuration multi-domaines pour Postfix, la configuration des adresses mail, la création des comptes utilisateurs correspondants, etc.
8. La mise en place d’un serveur IMAP avec Dovecot nous permettra d’accéder au serveur mail en utilisant un client comme Mozilla Thunderbird.
9. Le moment est venu de surveiller assez régulièrement les logs de Postfix.
10. À partir du moment où vous hébergez vous-même votre propre serveur mail, vous devenez une cible de prédilection pour les spammeurs de la planète entière. Pour éviter de vous retrouver submergé par un tsunami de messages non sollicités, vous devez impérativement installer un filtre anti-spam comme SpamAssassin.
11. En plus de SpamAssassin, ce n’est pas une mauvaise idée de configurer les RBL (Realtime Blackhole Lists) du projet Spamhaus.
12. Dans certains cas de figure, on peut être amené à vouloir rejeter les e-mails en provenance d’un certain domaine.
13. Éviter les spams est une chose. Ne pas passer soi-même pour un spammeur en est une autre. La meilleure solution consiste à authentifier ses messages grâce à la combinaison de SPF, DKIM et DMARC. C’est expliqué en détail dans cet article.
14. Si vos utilisateurs ne souhaitent pas utiliser un client mail comme Mozilla Thunderbird, c’est une bonne chose de leur offrir un accès à leur messagerie via le webmail. Je conseille l’utilisation de Roundcube, dont les dernières versions intègrent un thème responsive et peuvent ainsi être utilisées depuis un smartphone ou une tablette.
15. Si votre serveur croule sous les tentatives de connexion hostiles, vous pouvez protéger Postfix et Dovecot grâce à Fail2ban.
16. Enfin, n’oubliez pas que vous devez impérativement disposer d’une sauvegarde. Pour ma part, je prends tout simplement un deuxième serveur dédié pour cette tâche, avec une installation minimale de Rocky Linux 8 et la solution de sauvegardes automatiques Rsnapshot.

La configuration décrite ici convient parfaitement à une TPE, une PME, une école, etc. Comptez une bonne journée pour sa mise en place, éventuellement une autre journée pour les tests et le débogage. C’est un travail considérable, mais qui en vaut la chandelle. Parce qu’au final, on gagne en flexibilité tout en restant maître de ses données. Et j’ai la persistante et sournoise impression que la confidentialité constitue la denrée rare du XXIème siècle.

La rédaction de cette documentation demande du temps et des quantités significatives de café espresso. Vous appréciez ce blog ? Offrez un café au rédacteur en cliquant sur la tasse.