Mettre en place un serveur mail professionnel demande une compréhension précise des protocoles, des DNS et des interactions entre services. La mise en œuvre de Postfix pour l’envoi et de Dovecot pour la réception forme le socle d’une messagerie fiable et maîtrisée.
Claire, administratrice système pour une petite agence nommée StartMail, a choisi Debian et des services open source pour garder la main sur la confidentialité. Ces préparatifs conduisent directement aux points prioritaires à retenir :
A retenir :
- Configuration DNS complète pour mail et enregistrements PTR
- Certificats TLS automatisés pour mail.domain.tld
- SPF, DKIM et DMARC correctement publiés
- Comptes virtuels gérés via base SQL
Préparer le serveur et configurer le DNS pour Postfix
Ce volet reprend l’essentiel réseau évoqué précédemment pour garantir la délivrabilité et l’identité du domaine. Avant toute installation, vérifier FQDN, enregistrements MX et reverse DNS chez votre registrar ou hébergeur.
Selon Gandi et OVH, le rDNS doit pointer vers le FQDN pour éviter des refus de serveurs distants. Selon Scaleway et Online.net, certains fournisseurs imposent des règles spécifiques sur le port 25 et le rDNS.
Entrée DNS
Type
Valeur
@
A
ipv4 du serveur
@
AAAA
ipv6 du serveur
mail
A
ipv4 du serveur
mail
MX
10 mail.domain.tld.
default._domainkey
TXT
clé DKIM publique
Ports et règles de pare-feu sont à anticiper en parallèle de la zone DNS pour permettre tests et validation. Ce paramétrage réseau prépare l’étape suivante consacrée à l’installation et à la configuration des services.
Ports à ouvrir :
- 80 et 443 pour obtention TLS via Certbot
- 25 pour SMTP entrant et fuites éventuelles
- 587 et 465 pour submission et SMTPS
- 143 et 993 pour IMAP non sécurisé et sécurisé
« J’ai résolu un problème de rDNS chez OVH en moins d’une journée, la réputation a ensuite progressé rapidement »
Alex D.
Installer et configurer Postfix et Dovecot sur Debian
Enchaînant sur le réseau prêt, l’installation de Postfix fournit l’agent de transfert nécessaire à l’envoi. L’activation de Dovecot offre l’IMAP/POP3 et l’interface pour la livraison via LMTP.
Selon Postfix, le fichier /etc/postfix/main.cf contient les variables myhostname et mydomain à définir précisément. Selon Dovecot, /etc/dovecot/dovecot.conf exige la déclaration des protocoles imap, lmtp et pop3 pour un service complet.
Configuration SMTP, submission et smtps
Ce H3 détaille la liaison entre Postfix et les clients en mode authentifié, tel que montré précédemment. Il faut activer submission sur le port 587 et, pour certains clients, smtps sur le port 465 avec TLS obligatoire.
Étapes d’installation initiales :
- Installer postfix, dovecot-core, dovecot-imapd, dovecot-lmtpd
- Configurer myhostname et mydomain dans main.cf
- Activer submission et smtps dans master.cf
- Redémarrer postfix et vérifier les ports
« J’ai configuré Postfix avec dovecot-lmtp et le routage vers Maildir a fonctionné du premier coup »
Marie P.
Service
Port
Usage
SMTP
25
Relay entre MTA
Submission
587
Envoi client avec STARTTLS
SMTPS
465
Envoi client avec TLS explicite
IMAP
993
Récupération mail chiffrée
La configuration des boîtes virtuelles réclame MariaDB ou équivalent et PostfixAdmin pour l’administration web. Cette étape mène naturellement au verrouillage des échanges et à la mise en place des signatures DKIM.
Dovecot, LMTP et gestion des boîtes virtuelles
Le lien entre Dovecot et Postfix passe par LMTP, qui facilite l’usage des filtres Sieve pour le tri automatique. La directive mailbox_transport et la création d’un user vmail garantissent une livraison propre en Maildir.
Paramètres Dovecot essentiels :
- mail_location = maildir:~/Maildir
- service lmtp avec socket privé pour Postfix
- disable_plaintext_auth = yes pour sécurité
- ssl = required avec certificats Let’s Encrypt
Sécuriser, authentifier et améliorer la délivrabilité (SPF DKIM DMARC)
La sécurisation des échanges suit l’installation des services et la configuration DNS pour limiter le spoofing et le phishing. L’enchaînement naturel de la mise en place doit inclure TLS, SASL pour Postfix et publication des enregistrements SPF, DKIM et DMARC.
Selon Let’s Encrypt, l’automatisation via certbot simplifie le renouvellement des certificats TLS nécessaires à Postfix et Dovecot. Selon OpenDKIM, signer les messages permet d’améliorer la réputation et de réduire les taux de rejet.
Contrôles d’authentification :
- SPF indiquant les hôtes autorisés
- DKIM clé publique publiée dans DNS
- DMARC politique de conformité et rapports
- PTR rDNS aligné avec le FQDN
Technique
Type DNS
Exemple
SPF
TXT
v=spf1 mx ip4:_ipv4_ ~all
DKIM
TXT
v=DKIM1; p=clé_publique_base64
DMARC
TXT
v=DMARC1; p=none; rua=mailto:postmaster@domain.tld
PTR
PTR
rDNS configuré par l’hébergeur
« Après avoir activé DKIM et DMARC, la boîte réception de mes clients a nettement progressé »
Thomas N.
Pour compléter, l’analyse via mail-tester ou GlockApps aide à diagnostiquer les éléments manquants ou mal configurés. Le passage suivant détaille la surveillance et l’administration courante pour maintenir la réputation.
« Hébergé chez Infomaniak, j’ai obtenu une bonne délivrabilité après ajustement des enregistrements DNS »
Élodie S.
En production, des acteurs comme OVH, Gandi, Ikoula, Infomaniak, Online.net, Scaleway, IONOS, PlanetHoster, O2switch et Alter Way offrent chacun des particularités à connaître. Comprendre ces différences facilite la résolution rapide des problèmes et l’amélioration progressive de la réputation.
Pour aller plus loin, tester l’envoi vers plusieurs providers, analyser les headers et suivre les rapports DMARC permet d’affiner la stratégie d’envoi. Une surveillance régulière garantit la pérennité de la messagerie et la confiance des destinataires.