Du coup on a la réponse à @kepon pour la conservation des logs : https://forum.chatons.org/t/obligations-legales-rgpd-et-conservasion-des-logs/4048/6
Pas besoin de conserver ces logs si on ne les collecte pas.
Donc la question à ajouter c’est est-ce qu’on veut collecter l’adresse IP de connexion quand on reçoit un mail sur un relais. Si on la collecte on devra la conserver selon la loi (1 an), si on ne la collecte pas on n’a rien à conserver.
Perso je vois pas trop l’intérêt de stocker, sauf pour faire du rate limiting aux tentatives de connexion (pour bloquer les tentatives de brute forcing), mais dans ce cas ça peut être stocké séparément aux envois de mail, car ça ne concerne que l’authentification, et du coup on n’a pas à stocker si une IP a réussi à se connecter, et donc on ne sait pas quelle IP utilise une personne pour se connecter avec succès, seulement s’il y a mauvais login / mot de passe.