Recueil bonnes pratiques et solutions pour gestion BAL associative partagée web-based

Bonjour à tous·tes,

Je lance ici un sujet à l’intersection entre plusieurs services et problématiques (mail, sécurité, intégration, nextcloud, sso et id/authent, interopérabilité, bonnes pratiques, accessibilité), après qu’on me l’ait conseillé suite à des échanges sur le framateam du Cloud Girofle (membre des CHATONS).

Cela est parti d’un partage d’expérience et de questionnements concernant l’intégration des clients mail dans nextcloud (abbrégé NC pour la suite) et l’utilisation de boîtes aux lettres mail (abbrégée BAL pour la suite) partagées. Et une fois qu’on tire le fil, la pelote se déroule avec son lot de nœuds et de chemins possibles.

Actuellement, pour les besoins d’une association, on a une BAL + 1 instance NC chez notre CHATONS.
On a donc à dispo, pour la suite :

  • une instance NC (avec un compte admin)
  • une BAL hébergée via mailcow (+ un accès à l’admin mailcow de la BAL)
  • 3 clients webmail disponibles :
    • Roundcube + SOGo : inutilisés à date par les utilisateur·rice·s
    • Appli « Mail » pour NC

La BAL est partagée avec une 10-aine de membres, sans qu’iels ne connaissent son mot de passe de gestion. Comment ? Chacun·e y accède en se connectant nominativement sur l’instance NC, puis se rend sur l’appli « Mail » (pour NC) qui a été installée et configurée (par mes soins et pour chaque compte utilisateur·rice NC) pour se connecter à la BAL partagée. Je ne suis pas satisfait de cela, notamment niveau sécurité et autonomie des utilisateur·rice·s.

Je souhaite tester une autre solution de client mail intégré à NC, comme Roundcube, qui par ailleurs est l’un des deux web-clients (hors NC) que notre CHATON propose. Et pour cause, « Mail » ne propose pas à date de désactiver le mail threading, ce qui est un besoin pour notre asso dans sa gestion collective de la BAL.

Par ailleurs, je souhaiterais savoir si la mise en place de « mots de passe d’application » (j’ai vu que c’est une fonctionnalité proposée sur la console admin mailcow) est une bonne idée pour permettre d’en créer autant que d’utilisateurs, et leur permettrait ainsi de configurer de leur côté Roundcube (ou autre) via leur compte NC. Cela permettrait notamment de révoquer les mots de passe au fur-et-à-mesure des entrées/départs de membres de l’asso, et de mieux séparer identifiants d’administration et identifiants d’accès.

Autre infos et pistes complémentaires :

  • Pour la feature « mots de passe d’applications » et la console admin, je parle bien de mailcow.
  • Je souhaite que chaque utilisateur·rice ait accès à l’intégralité de la BAL, et ne nécessite pas forcément de création de BAL individuelle supplémentaire.
  • Le fil de discussion github (cité plus bas dans les réponses qu’on m’a données) semble en effet répondre à la même demande que celle que je partage ici, à suivre donc.
  • Quid d’une gestion via Thunderbird ? Je veux justement éviter d’avoir à gérer la configuration/support de clients « lourds » chez 13 personnes (incluant PC sous Windows, Linux et smartphones). Sachant aussi, et c’est pour moi le principal frein, que nous avons des niveaux assez hétérogènes quant à l’utilisation du numérique. Ce qui implique pour ma part de passer plus de temps de « formation » individuelle que pour un client web centralisé et standardisé. Et que d’un point de vue matériel, je manque justement de temps.
  • L’avantage évident pour moi d’intégrer cela à Nextcloud est de s’appuyer sur l’adoption maintenant acquise avec le temps de l’UI/UX de NC par nos membres, apportant également la couche ID/authent unique. Mais si Sogo+mailcow permet une gestion multi-users, pourquoi pas, même si cela implique une ID/authent en marge de NC.
  • J’avais un espoir pour SnappyMail car l’extension pour NC me plait en terme d’UX/UI (voir notamment ce que fait Murena sur son instance NC) et répondrait aux retours négatifs fait par certains de nos membres avec l’extension Mail pour NC (notamment l’impossibilité de désactiver le mail threading), et où le niveau de paramétrage de l’extension paraissait rendre possible une configuration pré-définie de la BAL à laquelle se connecte le webmail pour un user donné.
  • En parallèle du choix du client mail et de son intégration dans NC, je souhaite creuser la question des mots de passe d’application et plus globalement celle de l’accès partagé à une BAL associative :
    • cette fonctionnalité peut-elle être utilisée pour permettre un usage partagé / collectif d’une seule et même BAL (exemple de la BAL publique d’une asso) ? Par exemple en créant un mot de passe d’application pour chaque membre qui est censé avoir accès à la BAL. Cela permettrait notamment de dissocier mot de passe admin de la BAL des mots de passe d’accès à la BAL, et ainsi de pouvoir changer le premier sans affecter les usagers et de créer ou révoquer les seconds au fur-et-à-mesure de la vie de l’asso (entrées/départs et changements de mandats). J’ai du mal à voir si, dans cette perspective, il s’agit d’un usage détourné des mdp d’appli ou si c’est justement un use case fréquent. Ça me parait pas idéal tout de même voire cracra.
    • quid dans ce cas des accès au webmail SoGo/Roundcube fourni par le CG, avec des mdp d’application ?
    • je suis plutôt réticent (c’est un a priori), dans le cas d’une BAL partagée, à l’idée de multiplier les clients mail utilisés par les membres, et de plutôt orienter vers l’usage d’un webmail unique pour éviter les questions de configuration et de mésententes/quiproquos liées à des UI/UX différentes. Je suis plus pour construire une culture de groupe autour d’un outil commun et récurrent dans les standards du libre. Le fait de mettre en place des mdp d’application laisse ce glissement possible j’ai l’impression, et enlève la maitrise du client dans le sens où l’utilisateur sera techniquement libre de se connecter depuis son client Thunderbird plutôt que d’utiliser un webmail mis à dispo. L’idéal pour moi serait d’avoir un client web dont l’accès est basé sur le même IdP que notre instance NC. Et que l’accès à la BAL partagée soit pré configuré sans avoir à aucun moment à communiquer les identifiants de cette BAL à quiconque et isoler ainsi le compte admin à quelques personnes techniques.
    • quelqu’un·e aurait-il une piste à partager pour permettre la configuration d’un login unique dans l’extension SnappyMail pour NC ?

Qu’en pensez-vous ? Auriez-vous des expériences à partager se rapprochant de ces besoins ? Quid des pratiques des autres collectifs ? Je me demande comment les autres asso font pour permettre une gestion à la fois collective et sécurisée de leur BAL ?


:information_source: Visiblement je ne suis pas le seul à me poser ces questions. J’ai déjà obtenu quelques commentaires qui viennent enrichir la discussion, les voici :

Je souhaite tester une autre solution de client mail intégré à NC, comme Roundcube

Bonjour,
Le sujet m’intéresse, mais pas sûr que Roundcube soit une solution car l’app nextcloud n’a pas l’air activement développée : Release for Nextcloud 29 & 30 Compatibility · Issue #29 · rotdrop/nextcloud-roundcube · GitHub


« Mail » ne propose pas à date de désactiver le mail threading

j’ai donné un petit pouce à l’issue concernart le mail threading :wink: en espérant que ça pousse un peu plus vite ces décisions
Disable Mail Threading · Issue #5913 · nextcloud/mail · GitHub


c’est effectivement une solution qui pouraît être intéressante. je suis moi ausi curieux d’en connaître la réponse. comment font Framasphère pour leurs framaspaces destinés aux assos ?

pareil de ce côté, même besoin et recherche de solution pour des collectifs disposant d’un accès individuel à NC et collectif à une BAL commune. j’ai un temps utilisé rainloop mais l’intégration avec les contacts ne marchait pas, il semble que ça soit désormais possible avec la nouvelle verison de snappymail. des avis sur la robustesse de ça par/à roundcube/sogo ?

Je viens de trouver cette page qui décrit assez bien comment partager un dossier, ou déléguer une boite mail via Sogo. Je n’ai personnellement pas encore testé le partage de boite, mais la délégation fonctionne pour une entreprise que l’on accompagne (il y a eu quelques déboires au début mais je n’ai plus les infos en tête).
Il y a aussi ce fil sur le sujet pour intégrer le partage directement dans mailcow.

on est 3-4 sur la boite mail partagée […] et ça nous a pris un peu de temps pour bien s’aligner. On utilise toutes la même interface (thunderbird) et on se sert des « flags » pour colorer les messages (les numéros des flags sont synchronisés via IMAP mais pas les labels associés). On utilise en revanche le même mot de passe pour tout le monde.

Je suis désolé de ne pas pouvoir répondre directement à vos questions.

Cela dit, j’ai une question : pourquoi souhaitez-vous avoir une seule boîte aux lettres (BAL) pour 13 personnes ?
Je ne connais pas vos cas d’utilisation, mais voici quelques solutions que nous utilisons de notre côté :

  1. Interface externe avec alias
    Un alias du type contact@nomdedomaine redirige les emails vers les 13 personnes concernées.
    Les 13 personnes reçoivent les emails dans leur propre BAL. Quelle que soit la personne qui répond, elle laisse l’alias en copie afin que les autres sachent que le message a été traité.
    Les destinataires répondent en leur nom propre sur cet alias. La gestion des membres (ajout/suppression) se fait simplement en modifiant la liste associée à l’alias.

  2. Interface externe « technique »
    Configuration similaire à la précédente, mais les utilisateurs disposent également d’une identité leur permettant de répondre au nom de l’alias (ex. répondre directement en tant que contact@nomdedomaine).
    Attention, je n’ai pas utilisé ce type de configuration depuis plus de 5 ans, et je ne suis pas sûr qu’elle soit toujours compatible avec les exigences actuelles en matière de DKIM/SPF/DMARC.

  3. Interface mixte avec historique
    Utilisation d’une liste de diffusion basée sur un outil comme Mailman, permettant de conserver un historique des échanges.
    Cette configuration peut cacher l’identité des interlocuteurs, tout en évitant l’utilisation d’une BAL partagée.

  4. Système de tickets
    Une solution plus technique consiste à lier les emails à un système de tickets.
    Chaque personne peut prendre un ticket et le traiter, évitant ainsi les doublons.
    Cependant, cette approche implique une gestion plus complexe, car elle ne repose pas uniquement sur les emails. Je n’ai jamais mis en place ce genre de système, mais cela pourrait être une piste à explorer.

Car nous sommes une toute petite association, avec une gouvernance permettant des rôles et périmètres décisionnels qui sont distribués et régulièrement réaffectés à différentes personnes. De plus, concernant l’usage de cette BAL, elle est notre « interface » de communication avec l’extérieur, et notre unique « point d’entrée » pour le public.
Elle est utilisée :

  • pour centraliser et unifier notre communication avec l’extérieur :
    • tout message à l’initiative d’un « tiers » non-membre de l’association vers notre association
    • tout message à l’initiative d’un membre de notre association vers un « tiers » non-membre de l’association
  • tout en assurant une transparence et la liberté à chaque membre / pôle de l’association (notre entité de partage du pouvoir décisionnel) d’accéder à cette BAL, au même titre que nous avons accès à un « Drive » partagé (dossier de groupe NC)

Bonjour,

De mon côté je propose https://freescout.net/ pour les boîtes mails partagés. C’est un gestionnaire de ticket à la base, je l’ai appelé mailcolab.retzien.fr et zou… Les gens sont plutôt content. Tout le monde se créer un compte (ou on envoi des invitations. Souvent il y a un « leader » qui administre (assigne les messages) mais il peut y en avoir X… Il reçoivent tous une notif dans le BAL perso et peuvent répondre directement à la notif, qui re-route après « en tant que » et ça tombe dans l’interface et tout, pour archive… Nan c’est chouette !!!

Ainsi il n’y a que pour « créer un nouveau message » ou assigné un message que tu dois impérativement accéder à l’interface « mailcolab »
Les asso a qui j’ai mis ça en place sont plutôt contente… Fini les « j’ai mis une étoile, fallait pas touché », « qui répond ? personne »" « Ha j’ai fais du ménage par le vide, fallait pas ? »

Après niveau intégration NC pas sûr…

David

1 « J'aime »

Super, je viens de tester la démo et ça me tente bien de pousser cette idée. Par tout hasard, as-tu testé le module OAuth pour, par exemple, mettre en place une authentification unifiée avec les comptes users d’une instance NC donnée ?

Non pas testé, pas de besoin… souvent tout les adhérents n’ont pas accès au NC par exemple, alors que faire partie d’une commission qui utilise une BAL partagé… ça rentre ça sort… Je viens de voir que Freescount était « fait pour de la BAL partagé » : « Best Open Source Helpdesk & Shared Mailbox » qu’ils disent… je suis d’accord :slight_smile:

Mais j’avais acheté par mal de module pour certaines asso (Workflow, , tags, saves reply) qui fonctionne très bien. C’est plutôt quali.

IMAP permet la délégation de boîtes mail :

  • chaque utilisateur a une boîte mail
  • une boîte commune est déléguée, permettant à chacun⋅e d’envoyer et de recevoir en tant que la boîte partagée. Ce n’est pas la même chose qu’un alias.

SoGo permet notamment de faire ça en web, Thunderbird en client lourd.

Je suis peut-être hors sujet, mais il y a une solution plus complète pour gérer des comptes mail collectifs. C’est Zammad (qui est juste une interface sur une ou plusieurs messageries existantes).
Perso, je suis dans 2 assos qui l’utilisent. C’est à la fois très puissant (historique des échanges, affectation des tickets, possibilité de gérer des commentaires sur chaque discussion au delà des mails, paramétrages de vues sur des typologies d’échanges, …).
Et toutes ces fonctionnalités n’empêchent pas une IU simple accessible à des non informaticien.nes.
Bref, une solution à connaître pour répondre à un besoin récurrent dans plein d’assos.
Un seul défaut : ça fait un outil de plus…

1 « J'aime »

J’ai utilisé les shared inbox en IMAP mais j’ai trouvé que c’était le bordel : quand quelqu’un répond à un mail, ça le marque comme répondu pour tout le monde (alors qu’iel a ptet juste répondu à la boîte partagée pour en discuter), un message marqué comme lu par une personne est marqué comme lu pour tout le monde, etc. bref c’est moins bien qu’une mailing list, je ne recommanderais pas.

Pour Paheko on utilise Grognon : https://fossil.kd2.org/grognon/
(en opposition à Sympa ^^)

C’est un gestionnaire de ML que j’ai développé il y a plus de 10 ans, j’ai rajouté des fonctions sur l’interface web qui permettent d’assigner une discussion à une personne, ou de marquer une discussion comme résolue :

C’est très basique et léger, mais ça répond au besoin jusque là. Il existe un mode « support » pour une mailing list qui rajoute quelques fonctionnalités comme les modèles de réponses.

Je ne recommanderais pas d’utiliser Grognon si vous vous attendez à un suivi car c’est « legacy » : le but à terme est d’intégrer cette fonctionnalité directement dans une extension Paheko (en cours de développement…), pour que ça profite au plus grand nombre :slight_smile: mais libre à des gens de forker et reprendre le code qui est très simple.

FreeScout est aussi une très bonne alternative aussi ! Le seul souci je crois, si on veut être pointilleux, est que le dév ne veut pas mettre à jour la version du framework Laravel qu’il utilise, et préfère backporter les patchs de sécurité manuellement : https://github.com/freescout-help-desk/freescout/wiki/Development-Guide#architecture--philosophy

Perso je pense qu’il fait un peu comme il veut tant que c’est secure, mais certains trouvent que c’est rédhibitoire.

Et FreeScout est dispo dans Yunohost.

Roundcube : perso je ne l’utilise plus, j’ai essayé pendant plusieurs années de faire passer un patch corrigeant un bug dans l’interface, sans y arriver, c’est épuisant. De plus le code est très sale je trouve, j’ai peu confiance dans la qualité du logiciel. Bref je recommanderais pas forcément à moins de très bien le compartimenter et derrière un bon WAF. Je suis passé à Snappymail, le code est un peu mieux, sans être bon non plus…