Recette pour serveur mail sécurisé

Services Mail
41

Pour mon perso j’utilise un iRedMail qui tourne dans une VM KVM (résultat d’un P2V de mon plus vieux serveur qui à connu Debian 6 !)
Pour mon Chaton pas encore de services mails mais ça ne serai tarder (iRedMail et Sympa).

J’ai travaillé pour un hébergeur qui écoulai 1 millions de mail par jours (newsletters et mail professionnels), j’en ai gardé 2/3 astuces (comme rate limit à 1 mail par seconde/IP vers les 4 gros FAI commerciaux Fr pour être tranquille, pas plus de 100k mail par IP/jour, …), des souvenirs, j’ai malheureusement pas eu le temps de répertorier tout ça et n’y ai plus accès (doc interne).

42

Les conseils de tout le monde sont très précieux pour nous. @neil ou @anon6747921 ont une grande expérience dans le domaine.

Est-ce que des collectifs pourraient nous faire part du nombre de clients avez-vous sur vos infrastructures de messagerie ? est-ce que vous subissez des attaques régulièrement ?

Avant de candidater pour être chatons, nous testons l’ouverture au public mais nous rencontrons beaucoup de difficulté : ban d’ips, bruteforce, etc.

Est-ce que d’autres collectifs seraient intéressés par un partenariat ou une mise en commun afin de monter un service de messagerie email ouvert au grand public ?

43

je peux discuter avec vous pour vous aider sur l’archi. à mettre en place mais je ne suis pas assez costaud en mail … pour prétendre détenir une « vérité » solide.
il y a bien meilleur que moi sur ce forum. :wink:
Sinon pour montrer un truc en paralléle , carrément !
Je peux donner sans souci la recette que j’ai ici, même si elle n’est pas montée en charge . :frowning:

1 « J'aime »
44

Chers toutes et tous,

J’arrive après la bataille et découvre ces posts, du coup je tente de contribuer à mon humble niveau.

J’ai créé mon service mail perso il y a quelques lurettes à partir de ce guide de chez Arstechnica (que j’ai trituré pour le faire marcher sous Debian 8 à l’époque, 10 aujourd’hui). Il était tout récent, à l’époque. Aujourd’hui certaines parties sont obsolètes mais vous saurez facilement contourner/remplacer
Avantages:

  • Des explications et du rationale. i.e. pourquoi on fait les choses
  • Du blindage qui parait suffisant
    Inconvénients:
  • Tiens un peu trop la main
  • Ca date
  • Peu adapté à une utilisation par un grand nombres d’utilisateurs

Prinicpales différences sur mon install par rapport à ce qui est dit dans ce guide:

  • Letsencrypt n’existait pas encore à l’époque (ou tout juste en beta)
  • Tenir la main sur le choix du registrar, c’est domage
  • Roundcube remplacé par Nextcloud + app Rainloop
  • Gestion des utilisateurs par postfixadmin + mariadb plutôt que des fichiers.
  • Gestion des filtres Sieve par managesieve + plugin Rainloop plutôt que en mode texte

https://arstechnica.com/information-technology/2014/02/how-to-run-your-own-e-mail-server-with-your-own-domain-part-1/
https://arstechnica.com/information-technology/2014/03/taking-e-mail-back-part-2-arming-your-server-with-postfix-dovecot/
https://arstechnica.com/information-technology/2014/03/taking-e-mail-back-part-3-fortifying-your-box-against-spammers/
https://arstechnica.com/information-technology/2014/04/taking-e-mail-back-part-4-the-finale-with-webmail-everything-after/

Have fun !

45

ça me tente bien de le tester parce que spamassasin j’en suis pas pleinement satisfait… D’autres retours sur rspamd ? (content / pas content / mieux)

46

j’en ai entendu du bien mais pas pratiqué.

47

Bonjour,

J’ai remplacé un vieux spamassassin par rspamd.

Pourquoi: parce que l’installation de SA est vieille et non documentée,
que l’apprentissage ne semble pas /plus marcher et que je suis en train
de revoir mon infra pour en faire un truc facile à (re)déployer avec
ansible, donc l’occasion d’essayer un truc de nouveau.

C’est facile à déployer et à intégrer
ça fait du greylisting sélectif
Il y a une interface web pour les fans de stats, soumettre des mails
pour analyse, obtenir le score d’un mail (par contre, cette interface
donne accès à beaucoup d’information sur les mails: destinataires,
expéditeurs, sujet).

J’en suis encore au réglage, il est un peu laxiste.

Je dépose les faux positifs et les spams passés à travers dans des
dossiers imap dédiés qui sont récupérés via un cronjob fetchmail qui les
refourgue à rspamd pour apprentissage.

À votre disposition pour tout renseignement complémentaire

Cordialement,

48

Si vou sutilisez dovecot et sieve : on peut configurer un répertoire (spam)
pour gérer ça :

  • les messages étant probablement du spam vont dans spam
  • si on déplace un message dans spam, alors il alimente la base de spam
  • si on déplace un message de spam dans un dossier, il alimente la base de
    «ham»
1 « J'aime »
49

Merci pour vos retours sur Rspamd. Je le trouve un peu pêchu à configurer. De mon côté il est justement un peu trop restrictif (config de base pas trop tuné) Si vous avez documenté votre conf je suis preneur.

J’ai pas encore mis en place l’apprentissage par « dossier spam » dans dovecot mais c’était dans mes projets

David

1 « J'aime »
50

J’ai fait une mise à jour de mon système récemment (Mailboy, basé sur Workaround.org), et, j’ai songé à passé à Rspamd. Plusieurs choses m’ont retenu de le faire :

  1. La réaction de Rspamd face à Debian
    https://github.com/rspamd/rspamd/issues/3124#issuecomment-552947787
    https://workaround.org/ispmail/buster/debian-packages-versus-native-installation/

  2. Je n’ai pas vu comment faire pour intégrer Rspamd dans Amavis. Je trouve cela important, de permettre aux personnes de pouvoir choisir ou désactiver, le filtrage de leurs courriels. (Avec Amavis, on peut faire des trucs vraiment cool, c’est mal documenté, mais ça marche).