Ce billet fait suite au billet Yunohost comme serveur de mails - Billet N°1 et Yunohost comme serveur de mails - Billet N°2

Le serveur MX secondaire

J'ai eu de nombreux retours via des messages sur les réseaux sociaux et je voudrais en faire une petite synthèse. J'aborde dans l'un des mes billets le cas (non encore réglé) d'avoir un serveur MX secondaire. Comprendre : si le serveur de Mail principal (définit via le champ MX de l'entrée DNS associée au nom de domaine) ne marche pas, alors le serveur de mail envoyant le mail tente l'envoi du mail sur le second serveur indiqué en champ MX, qui s'occupe alors de faire la réception (et éventuellement une redirection) du mail. Cette seconde doit être associé à un chiffre (le poids) plus faible pour indiquer que c'est un serveur de secours. ("Quand le serveur principal ets HS ça part sur le secondaire qui est réglé pour renvoyer sur le principal et il garde le mail en mailqueue (cas d'un serveur postfix) tant qu'il n'y arrive pas.") Une recommandation me dit que c'est inutile "Les mails restent en attente pendant quelques temps (par défaut 5 jours ; 4 à 5 jours recommandés sur https://tools.ietf.org/html/rfc5321#section-4.5.4" à celle d'au contraire "d'avoir un MX de secours sur un serveur de mails dans un datacenter différent". De même, on me dit que "l'hébergement d'un service de mails est un métier à part entière", sur ce point je suis assez bien placé pour le savoir de part l'une des mes nombreuses responsabilités professionnelles actuelles.

Je n'ai pas encore traité ce sujet, mais mon ressenti et mon avis est le suivant : si la panne se prolonge, que l'on a pas accès à la machine pendant un certain temps (cas des vacances) ou que l'on est la seule personne à savoir remettre le service en ligne, le mail finira par se perdre. Donc ce n'est pas un sujet anodin à prendre à la légère et il faut probablement avoir un MX secondaire. On peut "le prendre" chez une personne de confiance (un ami par exemple de qui on sera soi-même le MX secondaire ; FDN propose par exemple d'utiliser les serveurs FDN en MX secondaire, ou Rézine propose un serveur de mail secondaire (« MX secondaire ») à ses membres.), ce qui permet de s'afranchir de la maintenance de ce second serveur (sinon cela alourdit la charge en administration système que d'avoir un second serveur à maintenir à jour, et en coût).

Stéphane Bortzemeyer a écrit il y a un peu plus de 10 ans un billet de blog Un MX secondaire est-il vraiment utile ?, je vous laisse découvrir son avis fort bien argumenté (Spoiler : non). Autre avis à lire De l'intérêt d'un MX de secours dans le cadre de la gestion de mon service mail personnel par Quentin Demouliere.

Pour la configuration technique d'un serveur MX secondaire, voir wiki.auto-hebergement - Serveur de courrier secondaire.

La question n'est donc pas trancher, est à chacun de se faire son propre avis du coup, les arguments en faveur du pour et du contre ne me permettant à l'heure actuelle de pencher en faveur d'un seul ou de deux serveurs MX pour le mail.

Ce billet fait suite au billet Yunohost comme serveur de mails - Billet N°1 Dans la todo, il y avait l'envoi à un mail de GAFAM et l'ajout de DKIM, DMarc, SPF...

DKIM, DMarc, SPF

Pour ça, je citerai le billet Délivrabilité : SPF, DKIM, DMARC, … ce qu'il faut savoir sur l'authentification de vos emails !

DKIM = DomainKeys Identified Mail DKIM tente d'associer un nom de domaine à un message en y aposant une signature numérique. La vérification de la signature se fait via une clef cryptée située dans un enregistrement DNS. Ce faisant, DKIM permet de vérifier si un message a été altéré durant son transport entre les différents serveurs SMTP et de garantir que le contenu arrivera intact jusqu'au destinataire.

SPF = Sender Policy FrameworkEnregistrement SPF sur son serveur DNS. Permet de vérifier / valider que les IP associées des serveurs ont le droit d'envoyer des mails pour ce nom de domaine

DMARC = Domain-based Message Authentication, Reporting and ConformanceDMARC joue sur la synthèse entre SPF et DKIM, pas en les remplaçant, mais en les unissant et en les rendant plus intelligents.

Dans Yunohost

Yunohost dispose donc d'un serveur de mail (cf Yunohost comme serveur de mails - Billet N°1) et DKIM et SPF sont déjà préconfigurés, disponibles, il n'y a quasiment rien à faire. Il faut récupérer les informations de configuration. Pour ce faire, il faut :

aller dans la partie interface d'administration de Yunohost https://mondomaine.tld/yunohost/admin/
Dans le menu DOMAIN > mondomaine.tld > Voir la Configuration DNS

Là il y a les informations pour le DKIM, DMarc, SPF

Ces informations sont à saisir dans la configuration de l'entrée DNS chez son prestataire (Gandi par exemple) sous la forme :

Et on attend de nouveau la propagation du DNS.

Pour vérifier tout ça

Différentes façons de faire et de valider que la configuration est correcte.

Test en ligne

On va sur le site

DKIM check

DNS record for mail._domainkey.mondomaine.tld:
"v=DKIM1; k=rsa; p=50917a15d4930834a9dd3b43a43ee131190e12674eab791a354dea0afb4475b1"
Key length : 1024

Dans ce billet, je parlerai d'une expérimentation en cours que j'ai qui est d'utiliser YunoHost comme serveur de mails.

Mon instance YunoHost est un petit serveur autohebergé : comprendre un PC physiquement branché derrière ma Freebox (qui me sert de routeur et de connexion à Internet, en ADSL).

Introduction

YunoHost intègre les services Dovecot pour la gestion de l'IMAP et Postfix pour la gestion de la réception / envoi des mails. Ces services sont automatiquement configurés en fonction des domaines et des utilisateurs de ces domaines créés sur YunoHost, au niveau du serveur. Par défaut, avec les noms de domaines qui sont associés à l'instance YunoHost, pour chaque utilisateur, YunoHost crée un compte mail.

Dans le mail, il faut distinguer la réception de mail et l'envoi.
Réception de mail : j'écris à utilisateur@mondomaine.com, il faut que les serveurs de mails qui envoient les mails sachent où trouver la boite mail de réception. Pour ce faire, ils interrogent le champ MX des entrées DNS du domaine mondomaine.fr, ce qui donnent l'adresse IP du serveur à qui adresser les mails.
Envoi de mail : j'écris un mail depuis un client (Thunderbird) ou un webmail, le logiciel se connecte au serveur d'envoi (ici le service Postfix sur l'instance YunoHost) et envoie le mail au destinataire, en se basant sur le domaine indiqué dans le mail.
Dans les deux cas, c'est

Mise en place

Comme indiqué en introduction, la majorité de la configuration est déjà faite J'ai suivi les 3 pages de documentation suivantes de la documentation de YunoHost,à savoir :
Messagerie électronique
Configuration de la zone DNS
Configurer la redirection des ports

Modification et validation des DNS

J'ai modifié le champ MX de mon nom de domaine, loué chez Gandi, pour que l'adresse ne soit plus chez Gandi mais sur mon domaine.

Remarque : Gandi n'autorise pas l'usage de ses serveur de mail en tant que MX secondaire, il n'est pas possible d'avoir un autre serveur de secours le mail de Gandi lié au domaine.

Avant modification, si on fait la commande

On a en résultat

Ce sont les serveurs mails de Gandi qui gèrent la réception des mails envoyés depuis l'extérieur

Après modification du DNS et propagation (1h à 3h ou plus, tout dépend de la configuration initiale)

La machine derrière mondomaine.fr est devenue la machine de réception des mails.

Ouverture des ports

Dans la configuration de la Freebox, j'ai du ajouter la redirection des ports suivants vers le serveur YunoHost :
25 - SMTP : nécessaire pour que les serveurs Postfix parlent entre eux (cf un peu plus bas dans
587 - SMTP authentifié : nécessaire pour la connexion et l'envoi de mail depuis Thunderbird par exemple, via une connexion "depuis Internet"
993 - IMAP

Remarque : dans la configuration de ma Freebox, dans mon espace abonné Free, j'ai bien le blocage du SMTP sortant d'actif (blocage du port 25)

Pas de soucis car lors de l'envoi d'un mail, on peut voir que le port sortant est le port 587.

Avec 192.168.0.1 l'IP locale de mon serveur YunoHost, 587 le port utilisé en sortie sur ce serveur et 192.168.0.254 l'IP locale de la Freebox qui est le point de sortie.

Pour la réception des mails, envoi d'un mail depuis free.fr sur compte@mondomaine.fr

Avec
192.168.0.1:25 : requête sur le port 25 (postfix) du serveur de mail YunoHost
212.27.42.2:51185 : la machine smtp2-g21.free.fr (le test a été fait depuis un mail free.fr)

On a donc bien le serveur SMTP de Free qui a parlé à mon serveur de mails.

Autre test de réception, envoi d'un mail depuis mon adresse framasoft.org vers mon compte@domaine.fr

Avec
192.168.0.1:25 : le serveur de mail YunoHost
138.201.XXX.XXX:37907 : l'IP du serveur SMTP de Framasoft

On a donc bien le serveur mail de Framasoft qui parle là aussi sur le port 25.

Testé et fonctionnel

Envoi et réception à une adresse correct : monutilisateur@mondomaine.fr reçoit bien des mails envoyés depuis une autre adresse mail
Envoi et réception à une adresse incorrect : si on écrit à exitepas@mondomaine.fr, l'expéditeur reçoit par mail un message d'erreur lui indiquant que l'adresse n'existe pas
Réception en double dans une boite mail de secours : dans la partie gestion des comptes YunoHost, il est possible de définir un mail de secours. Les mails reçus sur le compte sont retransmis en copie sur ce compte de secours. Remarque : cela nécessite que le serveur soit fonctionnel vu que c'est lui qui fait le renvoi.

Webmail

L'application Roundcube s'installe comme n'importe quelle application et permet l'envoi, la consultation, le classement des mails, comme n'importe quel webmail.

Configuration d'un client mail comme Thunderbird

Depuis la version 3.1 (version stable mineure), YunoHost apporte Autoconfiguration des clients mails (e.g. Thunderbird) (#495 7)

Pour la configuration dans Thunderbird, il suffit donc d'indiquer son adresse mail utilisateur@mondomaine.com, son mot de passe YunoHost, et Thunderbird interroge le serveur et sait faire automatiquement sa configuration pour l'IMAP et le SMTP en utilisant les bons ports et les bons noms de serveurs. Pratique.

Non testé, à faire et en projet

Ce seront des sujets de billets de blog à venir je pense.
Regarder les entêtes des mails reçus (envoyés via le serveur YunoHost) pour voir les métadonnées du mail
Configuration DKIM, DMarc, SPF... : n'autoriser / ne certifier les mails envoyés via une adresse mondomaine.fr que les mails étant envoyés depuis le serveur YunoHost.
Envoi d'un mail sur des mails de GAFAM (Gmail, Hotmail - Microsoft, Yahoo) : normalement les mails sont reconnus à défaut comme SPAM.
Avoir un serveur mail de secours : si mon serveur ne marche plus pendant plusieurs jours, il faut qu'un serveur de mail autre soit un serveur temporaire qui puisse accueillir les mails.
Vérifier la bonne configuration du serveur postfix : valider qu'il ne peut pas être utilisé comme relais smtp
Surveillance et supervision des logs