Journal Hébergement de courriels chez soi

Posté par  (site web personnel) . Licence CC By‑SA.
17
23
déc.
2017

Bonjour,

Pour ceux qui comme moi, souhaitent héberger leurs emails chez eux, j'ai commencé un ensemble de scripts Ansible, et je voudrais vous en faire profiter…

Pour l'instant, il y a deux parties:
  • Une génération d'un CD d'installation avec Debian "preseed". Cela me permet de créer une VM pour travailler, mais je veux aussi pouvoir utiliser l'installeur sur du matériel.
  • Un ensemble de scripts Ansible pour déployer le serveur d'emails.

Je n'exclus pas d'un jour ajouter les scripts Ansible sur l'image ISO, pour une installation complètement automatique.

J'ai bien sûr cherché les projets existants, mais je n'ai pas trouvé - en un seul projet - toutes les caractéristiques que je juge importantes.

Voici, ce que j'ai qui fonctionne, actuellement:
  • Création et mise à jour automatique des entrées de DNS (avec Gandi, mais on devrais pouvoir ajouter d'autres DNS)
  • Génération automatique - et sauvegarde locale - des certificats avec LetsEncrypt
  • Génération et publication automatique sur Gandi, d'une clé publique DKIM
  • Utilisation d'un annuaire LDAP pour l'authentification et la liste des utilisateurs.
  • Installation et configuration automatique de Dovecot. C'est actuellement très basique, mais ça marche. Je fignolerai plus tard, avec maildir, antispam, sieve, etc…
  • Installation et configuration automatique de Postfix. Idem, basique, mais ça marche avec l'authentification LDAP et la signature des emails avec la clé DKIM.
  • Installation et configuration automatique de Roundcube, avec les plugins "new_user_identity" et "password" pour changer son mot de passe. La base LDAP fait aussi office de carnet d'adresse partagée
Note:
  • Tous les paquets sont installés à partir du dépôt Debian. C'est à dire qu'une fois installés, la distribution peut se mettre à jour ou se maintenir avec les outils standard Debian. En aucun cas je ne veux installer quoique ce soit qui me puisse se maintenir "tout seul", c'est à dire avec unattended-upgrades ou apticron…
  • J'envisage de rajouter des composants externes, comme Gogs out syncthing, ou un serveur Jabber, etc. Voir la page github pour plus de détails.

La page est ici: https://github.com/progmaticltd/homebox/

Joyeux courriel, et bonne année…

  • # Commentaire supprimé

    Posté par  . Évalué à 4.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Joyeux Noël

      Posté par  (site web personnel) . Évalué à 3.

      J'héberge déjà moi même mes emails, mais pas chez moi. Pour l'instant, je n'ai eu que des problèmes inhérents à mon hébergeur, OVH.

      Sinon, lorsque j’hébergeais mes emails chez moi, il y avait deux soucis, le reverse DNS et les coupures intempestives, même avec une adresse IP fixe.

      La majorité des serveur SMTP acceptent les emails du moment qu'ils sont signés avec une clé DKIM valide, et que l'adresse IP d'origine est bien publiée dans une enregistrement SPF.

      Voici ce que j'ai rencontré lorsque le reverse DNS n'est pas valide:
      - Les serveurs de google mail ne posent pas de problèmes, les emails sont reçus, et non marqués comme spam.
      - Les serveur microsoft classent directement le mail en pourriel, spécialement les vielles adresses emails "hotmail".
      - Certains serveurs refusent simplement les emails qui viennent d'une adresse IP privée (e.g. mail.ru), même signés DKIM avec une adresse IP publiée dans un enregistrement SPF.

      Sinon, pour un hébergement personnel, cela convient très bien.

      • [^] # Re: Joyeux Noël

        Posté par  (Mastodon) . Évalué à 3.

        Pour hotmail on peut ouvrir un ticket chez eux.
        Ai été confronté au même problème (mon serveur de mails, qq contacts ayant encore du hotmail/live/trucMS : mails refusés sans raison valable) j'ai ouvert un ticket, et 48h après c'était résolu : mon domaine était autorisé. Microsoft est casse-bonbons même avec ses services de mails.

        • [^] # Re: Joyeux Noël

          Posté par  (site web personnel) . Évalué à 2.

          Oui, j'ai également utilisé la même procédure, lourde.

          Cependant, il m'est arrivé d'envoyer des emails à un de mes contacts, et il nous a fallu plusieurs mois pour nous rendre compte que tous mes emails arrivaient dans la boite "Courrier indésirable"…

  • # Quel est l'intérêt/avantage à héberger ses mails chez soi ?

    Posté par  . Évalué à 10. Dernière modification le 23 décembre 2017 à 19:07.

    Je l'ai moi-même fait il y a quelques années. Puis je me suis rendu compte que ça n'augmentait pas la privacité de mon courrier puisque tous mes correspondants étaient sur gmail, hotmail, etc… Puis je me suis aussi rendu compte que s'il m'arrivait quelque chose, ma famille perdrait l'accès à sa messagerie ne sachant pas maintenir le truc (même si je me doute que ça sera pas sa première préoccupation). Et ce n'est sans doute pas optimal en terme de consommation énergétique.

    Bref est-ce que ça sert à autre chose qu'à se faire plaisir (ce qui n'est évidemment pas critiquable) ?

    (c'est une vraie question)

    • [^] # Re: Quel est l'intérêt/avantage à héberger ses mails chez soi ?

      Posté par  (site web personnel) . Évalué à 6.

      • Le défaut que tu évoques disparaît un peu plus à chaque fois qu'une personne héberge ses propres mails.
      • Les données reçues restent sur un disque dur que tu connais
      • Être seul à gérer un serveur peut poser problème le jour où l'admin disparaît. Mais cela est vrai aussi le jour où gmail se fait pirater ou décide de fermer ses services.
      • La sécurité est gérée par quelqu'un que tu connais et en qui tu as confiance. C'est peut-être pas si bien fait que ça, mais c'est fait sérieusement, élément que tu ne peux pas vérifier chez un prestataire.
    • [^] # Re: Quel est l'intérêt/avantage à héberger ses mails chez soi ?

      Posté par  (site web personnel) . Évalué à 2.

      Ton commentaire est excellent, il soulève le problème d'accès aux données en cas d'urgence ou de décès. C'est une vraie question, effectivement, et c'est aussi un point très intéressant, et je vais ajouter un "bug" / issue sur github. C'est donc une caractéristique majeure à implémenter: Emergency access.

      Tout d'abord, j'ai commencé ce projet, en gardant à l'esprit que je vais luis ajouter d'autres services. Je pense en particulier à des services comme syncthing, Nextcloud / Cozy / etc… J'ai commencé par les emails, mais je vais ajouter les autres composants petit à petit, sûrement optionnels. Un de mes but est de pouvoir avoir chez moi les photos que je prends avec mon téléphone, en cas de perte ou de vol, sans avoir à les héberger chez google, etc…

      Le problème que tu cites n'est pas limité à l'auto hébergement, c'est même pire en cas d'hébergement chez un prestaire. Il arrive que des personnes qui on un compte Facebook, par exemple, ne pensent pas à déclarer légalement les personnes autorisées à accéder à leur compte en cas de décès. C'est malheureusement arrivé il y a quelques temps, avec la mère d'une adolescente s'étant suicidée. Facebook a refusé de donner accès sa mère, même si cela aurait pu aider dans l'enquête.

      Je ne sais pas ce qu'il en est des emails, mais j'imagine, avec mes disques durs et mes backup chiffrés, qu'il serait très difficile à ma famille d'accéder à mon compte google en cas de décès ou d'incapacité. Et même dans le cas d'une requête officielle, comment ça se passerai ? Est-ce que la requête officielle doit être faite aux états unis?

      Dans le cas où mes fichiers sont hébergés chez moi, sur un serveur physique, et qu'il m'arrive quelque chose, ma famille pourrait toujours récupérer physiquement le serveur. Ensuite, il faut juste trouver quelqu'un de confiance, ou un simple prestataire informatique pour extraire les photos / fichiers / etc du disque dur, et les graver sur un Bluray. Et si le disque dur est chiffré avec LUKS, je peux toujours donner à ma famille une carte / un document scellé avec la clé..

      Concernant le respect de la vie privée, imaginons un instant que les états unis, où sont hébergés la majorité des services (GMail, Outlook, etc…) décident de "tuer" la neutralité du net (ne riez pas, ça pourrait arriver). Imaginons également que de plus en plus de personnes décident d'héberger leurs fichiers personnels (pas que les emails) chez eux. Dans ce cas, il est probable que de plus en plus de personnes soient intéressées pour héberger leurs emails / fichiers personnels chez eux.

      Il est probable que les utilisateurs de l'auto hébergement soient, au départ, restreints à des cercles de geeks ou de passionnés d'informatique. Mais c'est comme cela que Linux et beaucoup de projets open source ont commencé, pour s'élargir ensuite.

      • [^] # Re: Quel est l'intérêt/avantage à héberger ses mails chez soi ?

        Posté par  . Évalué à 2. Dernière modification le 23 décembre 2017 à 20:50.

        je peux toujours donner à ma famille une carte / un document scellé avec la clé.

        Tout comme je peux aussi indiquer à ma famille où se trouve une enveloppe scellée avec la clé d'accès à mon keepass qui contient les mots de passe de gmail, facebook (ça j'ai pas), etc… Quelle est la différence ?

        De plus, avoir gmail ne m'empêche pas d'avoir une copie de mes mails chez moi (via Thunderbird connecté à mon compte gmail de temps en temps). Tout le reste (photos, etc…) est chez moi (mais ce n'est pas vraiment ce que j'appelle de l'auto-hébergement).

        Je ne pense pas que le notaire qui assurera la succession s'amuse à prévenir les GAFA de mon décès afin qu'ils bloquent mes comptes.

        • [^] # Re: Quel est l'intérêt/avantage à héberger ses mails chez soi ?

          Posté par  (site web personnel) . Évalué à 1.

          Tout comme je peux aussi indiquer à ma famille où se trouve une enveloppe scellée avec la clé d'accès à mon keepass qui contient les mots de passe de gmail, facebook (ça j'ai pas), etc… Quelle est la différence ?
          

          Aucune différence, je voulais juste montrer que l'hébergement chez-soi n'est pas forcément un problème pour transmettre les données à sa famille.

          L'histoire dont je parlais s'est passée en Allemagne, mais je pense que le problème est global. Le notaire n'a pas informé Facebook, les parents on simplement essayé d'accéder au compte de leur fille décédée: https://lexpansion.lexpress.fr/high-tech/en-allemagne-facebook-gagne-en-justice-face-aux-parents-d-une-ado-decedee_1913375.html

          • [^] # Re: Quel est l'intérêt/avantage à héberger ses mails chez soi ?

            Posté par  . Évalué à 2. Dernière modification le 23 décembre 2017 à 21:49.

            Aucune différence, je voulais juste montrer que l'hébergement chez-soi n'est pas forcément un problème pour transmettre les données à sa famille.

            Ce n'est pas de transmission d'un mot de passe dont je parlais mais de la prise en charge du serveur de mail lui-même (même si on peut espérer qu'il va marcher sans maintenance un certain temps). C'est quand même plus compliqué de trouver quelqu'un pour reprendre ça en main que d'ouvrir une enveloppe et de retrouver l'accès aux mails. De plus, il ne s'agit pas seulement de mes mails mais aussi ceux de chaque membre de ma famille (pour lesquels le problème du mot de passe ne se pose pas).

            Après, chacun fait comme il veut.

            Pour ce qui est de ton histoire Facebook, je ne vois pas où est le problème si chacun laisse la clé de son keepass (ou équivalent) dans une enveloppe scellée. Comme tu peux accéder à tous les contenus même après un décès.

            • [^] # Re: Quel est l'intérêt/avantage à héberger ses mails chez soi ?

              Posté par  . Évalué à 3.

              si chacun laisse la clé de son keepass (ou équivalent) dans une enveloppe scellée

              C'est sympa pour les voleurs.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Auto-hébergement et orchestration

    Posté par  . Évalué à 2.

    Chez Mycélium (FAI associatif en cours de construction à Lille) on prévoit aussi d'utiliser ansible pour mettre en place notre infra. On apprend l'outil en même temps donc ça prend du temps, et tout est encore à l'ébauche.
    Pour le moment je ne sais pas à quel point on peut s'en sortir avec ansible pour être générique et faire du déploiement qui convienne aux goûts et situations de chacun, mais on peut dire que ton journal tombe à pic car ça permet de voir comment font les autres, et qui sait on arrivera peut-être à faire converger quelque chose entre les initiatives d'auto-hébergement et ce qui se fait au sein de la FFDN (ce qui se fait déjà dans une certaine mesure avec Yunohost).

    Peut-être donc que nos routes se recroiseront, à plus !

    • [^] # Re: Auto-hébergement et orchestration

      Posté par  (site web personnel) . Évalué à 2.

      Je ne sais pas si mon projet peut vous aider, mais n'hésitez pas à jeter un coup d'œil au code.
      J'utilise une machine virtuelle avec libvirt / qemu pour le développement, et avec les snapshots, ça permet de rejouer très rapidement des playbooks. Je le préfère à Vagrant ou docker, mais bon, c'est presque une question de goût, et pas le sujet du débat…
      Comme annoncé, le script est assez robuste, et devrait fonctionner sans erreur à partir d'une Debian vierge.
      Bon courage, n'hésitez pas à me contacter sur github si vous avez des questions…

  • # Yunohost?

    Posté par  . Évalué à 7.

    Peut-être que j'ai raté un élément fondamental dans la description, mais est-ce que tu n'es pas en train de réinventer Yunohost?

    -Email
    -XMPP
    -Contact/calendrier
    -Système de gestion d'applis, de là ça explose (Owncloud/Nextcloud, etc.)
    -Sytème d'authentification unique pour toutes les applis avec LDAP derrière

    • [^] # Re: Yunohost?

      Posté par  . Évalué à 2.

      Ou de redevelopper iRedMail (bien que ce dernier ne comporte pas les memes features out of the box - je pense notamment au LDAP) :)

      • [^] # Re: Yunohost?

        Posté par  (site web personnel) . Évalué à 2.

        Concerner iRedMail, c'est définitivement non. Le support ldap est très important pour moi, et ce n'est pas quelque chose qu'on peut rajouter autre coup.
        Idem que la réponse précédente, je veux vraiment rester dans Debian. Le script ne faut presque rien d'autre qu'installer et configurer la distribution.

    • [^] # Re: Yunohost?

      Posté par  (site web personnel) . Évalué à 0.

      Je n'ai pas récemment essayé cette solution, mais je préfère éviter de multiplier les sources.
      Je voudrais, en tout cas pour l'instant, rester dans Debian, dans dépendances externes.

      • [^] # Re: Yunohost?

        Posté par  (site web personnel) . Évalué à 7.

        "YunoHost est un système d’exploitation serveur visant à simplifier l’auto-hébergement de services Internet. Il est basé et reste totalement compatible avec Debian GNU/Linux."
        https://yunohost.org/#/whatsyunohost_fr

        Yunohost apporte des choses en plus (une interface web d'administration et pour les utilisateurs), mais ça reste du Debian et on peut faire des choses comme avec Debian (je le sais, je le fais). Les installations de paquets? Des scripts shell qui simplifie automatise la mise en plac d'application, mais tu peux aussi le faire à la main (et perdre l'intérêt de de l'automatisation par Yunohost). Donc, oui, de ce que tu présentes comme fonctionnalité et argument tu réinventes Yunohost. Tu ne connaissais probablement pas le projet, tu n'as pas étudié si cela correspondait à ce que tu voulais, tes besoins.Dommage, tu serais utile à la communauté, mais il te faudra t'approprier l'existant…

        Ensuite, tu peux toujours faire ta propre solution, pour apprendre, pour avoir ton projet, parce que tu veux te former à Ansible etc. Mais cela posera les soucis de "quid de la maintenance dans le temps quand tu seras épuisé par ton projet, quid de la fédération d'une communauté autour etc.", soit tous les soucis des projets qui refont ce qui existe déjà…

        J'espère t'avoir éclairé sur la remarque que l'on t'a faite "tu réinventes Yunohost", car des remarques de ce type sont souvent faites et les arguments ci-dessus (le contre, le pour de faire son propre projet) sont assez vraies dans bien de cas. Ce que l'on résumerait en "pourquoi forkez ou réinventez alors qu'on pourrait contribuer à améliorer quelque chose qui existe déjà, bien avancé et qui marche…"

        • [^] # Re: Yunohost?

          Posté par  (site web personnel) . Évalué à 7.

          Pourquoi forker et réinventer ? Tout simplement parce que des fois, la solution existante ne correspond pas à ce qu'on veut, parfois parce qu'on veut mettre les mains dans le cambouis pour se marrer, se former, etc. Quand j'ai créé Lstu, je ne me suis pas demandé s'il y avait déjà des logiciels équivalents (réponse : oui, c'est certain), je voulais juste coder un truc. La « concurrence » entre projets libres peut parfois amener une saine émulation, elle n'est pas automatiquement synonyme de gâchis de ressources/temps.

          La vraie question est : est-ce que tu avais eu connaissance de Yunohost avant de te lancer là-dedans ?

          Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

  • # ?

    Posté par  . Évalué à 3.

    bof bof, tant qu'il n'y aura pas un moyen simple et plug&play pour s'auto-héberger les gens ne s'auto-hébergeront pas. Même un truc comme yunohost est compliqué.

    arnauld

    • [^] # Re: ?

      Posté par  (site web personnel) . Évalué à 9.

      Simple et plug&play est opposé à s'auto-héberger. S'autohéberger, c'est compliqué, il faut des compétences de sysadmin. Il y a de la facilitation avec Yunohost, mais on ne peut pas tout faire. Quid des sauvegardes par exemple. Tu auras beau mettre des pop up "attention, disque de sauvegarde plein", si la personne ne purge pas le disque ignore les messages, plus de sauvegarde….

      Le mythe de "pour que les gens le fassent ça doit être simple"… C'est simple de cuisiner ou faire de la patisserie… Mais ça reste un métier pour faire des choses excellentes, ou demande beaucoup d'investissement personnel pour avoir quelque chose de réussi. L'informatique en général et l'autohébergement, ça reste beaucoup d'investissement personnel…

      Je ne sais pas et n'ai pas le temps de cultiver mon potager et je veux manger bio, je vais à une AMAP. L'AMAP de l'informatique c'est les CHATONS. J'ai les avantages de l'autohébergement, sans les incovéniants…

      • [^] # Re: ?

        Posté par  . Évalué à -4. Dernière modification le 25 décembre 2017 à 19:23.

        Non, simple n'est pas opposé à s'auto-héberger. Non, s'autohéberger, ca ne devrait pas etre compliqué. Non, s'autohéberger n'est pas une compétence reservé a un sysadmin.
        Yunohost ne peut pas tout faire, on revient donc a l'affirmation TANT QUE 'il n'y aura pas un moyen SIMPLE, une PARFAITE et COMPLETE documentation et des exemples.
        L'autohebergement comme tout autre activite requiert un investissement personnel, mais le debutant pour s'y interresser aura besoin que l'information lui parvienne par ce que l'on appelle la PEDAGOGIE. Malheureusement dans le milieu de l'informatique tres peu de personnes en sont capables.

        attention chérie ça va moinsser

      • [^] # Re: ?

        Posté par  (site web personnel) . Évalué à 5.

        Simple et plug&play est opposé à s'auto-héberger.

        Non, c'est lié au gros bordel des technos autour du mail.

        A côté, installer un serveur HTTP ou XMPP, c'est simple comme bonjour.

        Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # Comparaison avec mail-in-a-box ?

    Posté par  . Évalué à 3.

    Merci pour ce partage.

    Petite question, quels sont les avantages/inconvénients par rapport à Mail-in-a-box[1] ?

    [1] https://mailinabox.email/
    https://github.com/mail-in-a-box/mailinabox

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.