Administrer un domaine de mail

Cette section est à destination des personnes qui gèrent la mise en place et la création de boites mails pour un collectif.

Comment configurer mes DNS
Créer/Ajouter une boite mail pour mon domaine
Migrer depuis mon ancien fournisseur
Truc et astuces

Comment configurer mes DNS

🚨 Attention, cette configuration n'est à réaliser que lorsque vous souhaitez finaliser la migration de vos mails. Une fois cette configuration mise en place, il faudra attention ~24h pour qu'elle soit propagée sur le réseau.

Suppression des enregistrements qui dirigent vers votre ancien hébergeur

Chez Gandi:

@ 10800 IN MX 10 spool.mail.gandi.net.
@ 10800 IN MX 50 fb.mail.gandi.net.
@ 10800 IN TXT "v=spf1 include:_mailcust.gandi.net ?all"
et quelques autres dont la valeur contient "mail" et "gandi"...
- _imap._tcp
- _imaps._tcp
- _pop3._tcp
- _pop3s._tcp
- _submission._tcp
- gm1._domainkey
- gm2._domainkey
- gm3._domainkey
- webmail

Ajout des enregistrements qui dirigent vers Girofle

Voici la configuration à remplir (attention les points en fin de ligne sont importants et à conserver).

Nom ou Domaine	Type	TTL	Priorité / Poids / Port	Cible ou Nom d’hôte
ne rien mettre ici	MX	3600	10	mail.girofle.org.
autodiscover	CNAME	3600		mail.girofle.org.
_autodiscover._tcp	SRV	3600	0 / 0 / 443	mail.girofle.org.
autoconfig	CNAME	3600		mail.girofle.org.
ne rien mettre ici	TXT	3600		v=spf1 include:_spf.girofle.org ~all
_dmarc	CNAME	3600		dmarc2023.girofle.org.
dkim._domainkey	TXT	3600		[a trouver dans MailCow, voir ci-dessous 🤓]
mail	CNAME	3600		mail.girofle.org.

MailCow, dans l'onglet Domaines, donne l'état des DNS : données attendues et données actuelles. Cela permet de voir l'avancée de la propagation sur le réseau.

Attention pour l'enregistrement _dmarc, MailCow demande un TXT mais c'est bien le CNAME si-dessus qu'il faut mettre, il pointe vers le TXT attendu.
MailCow donne la valeur attendue pour l'enregistrement dkim._domainkey (le contenu du champ DKIM dépend de votre domaine).

Comment avoir la détection du calendrier et des contacts ?

Il faut rajouter les entrées DNS suivantes (attention les points en fin de ligne sont importants et à conserver):

Nom ou Domaine	Type	TTL	Priorité	Poids	Port	Cible ou nom d’hôte
_carddavs._tcp	SRV	3600	10	1	443	mail.girofle.org.
_caldavs._tcp	SRV	3600	10	1	443	mail.girofle.org.

Ou depuis le mode "expert":

_carddavs._tcp IN SRV 10 1 443 mail.girofle.org.
_caldavs._tcp IN SRV 10 1 443 mail.girofle.org.

Validation

On peut ensuite vérifier que la configuration est bonne du point de vue de Mailcow.

Toutes les cases de la colonne "Etat courant" doivent avoir le symbole "valide" ✔, sauf la case relative au DMARC. Le champ TXT SPF Record Syntax peut parfois ne pas avoir de coche verte et commencer par un ?, ce n'est pas un problème, il faut bien s'assurer que le champ _spf.girofle.org soit présent dans la valeur du champ.

Attention, la propagation des configurations DNS peut prendre plusieurs heures.

Créer/Ajouter une boite mail pour mon domaine

Cette page décrit comment créer une boite mail pour votre domaine.

Pour cela vous devez avoir un compte administrateur et vous connecter sur https://mail.girofle.org/

Ensuite, allez dans Email > Configuration, puis sur l'onglet "Boîtes mail"

De là, vous trouverez la liste des boites mails que vous administrez déjà (ou une liste vide).

Vous pouvez désormais cliquer sur "Ajouter une boîte"

Voici un exemple du formulaire qui vous sera présenté (le domaine sera le votre).

Voici quelques précisions sur certains champs :

Nom complet : C'est un champ libre, qui sera affiché à coté de votre adresse chez les destinataires de vos mails. Ce champ peut rester vide. Voici exemple pour le nom "Maxime (Cloud Girofle)" tel qu'affiché sur Thunderbird.
Étiquettes : Ce champ est utile lorsque vous avez un très grand nombre de mail. Il vous permet de filtrer les boites mails dans la liste. En général, vous pouvez l'ignorer et le laisser vide.
Avis de quarantaine : Ce champ permet de définir la fréquence à laquelle on informe un émetteur que son message à été traité comme du Spam. En général, vous pouvez l'ignorer et le laisser à "Toutes les heures".
Politique de chiffrement : Définit si une méthode de chiffrement est appliquée. Par défaut tous les clients/logiciels de mails sont configurés pour appliquer le chiffrement (TLS). Mais vous pouvez forcer le chiffrement en cliquant sur les deux boutons.
Grant direct login access to SOGo : Ce champ permet de donner l'accès ou non à l'interface web Sogo, qui permet de gérer ses mails via son navigateur (le Cloud Girofle propose aussi Roudcube, cette configuration s'applique au deux interfaces). Si vous êtes 100% sur que la personne qui va utiliser cette boite mail ne passera jamais par son navigateur mais uniquement via des logiciels de mails (ex: Thunderbird, iMail, Outlook, K9mail etc...), vous pouvez décocher cette case. En général, vous pouvez la laisser cochée.

Migrer depuis mon ancien fournisseur

Mailcow (l'outil utilisé par le Cloud Girofle) propose un outil permettant la récupération automatique des boîtes mail. Voilà la procédure à suivre. Ça peut ne pas être très évident, du coup on vous invite à nous contacter pour qu'on puisse vous assister.

L'outil à prendre en main s'appelle "Taches de synchronisation". Nous allons voir comment l'utiliser.

Quelle procédure dois-je suivre pour MES boites mails ?

Commencez par faire du ménage. Certaines boites ne sont peut-être plus utilisées et peuvent être supprimées, ou remplacées par une redirection. Certains messages peuvent aussi être supprimés pour diminuer la place occupée sur le serveur, notamment les vieux et gros.
Se connecter à MailCow (en tant qu'administrateur⋅ice de domaine), avec les identifiants fournis par le Cloud Girofle
Créer toutes les boîtes mail dont vous aurez besoin, notez bien les mots de passe à chaque fois.
Créer une "Tâche de synchronisation" pour chacune de ces boîtes mails (voir plus bas sur comment configurer la synchronisation) : une tâche de synchronisation va aller récupérer le contenu de votre boîte mail chez votre ancien fournisseur de mail, et la recopier chez le Cloud Girofle. Ainsi, vous aurez l'assurance de ne pas perdre de mails dans la migration. La synchronisation prend de l'ordre de une demi-heure par giga-octet à synchroniser (il est possible de créer des synchros pour plusieurs boîtes mais elles ne s'exécuteront pas en parallèle). Votre boite est toujours fonctionnelle pendant la synchro.
Attention la synchro ne concerne que les messages, pas les contacts. Exportez les s'ils sont stockés en ligne (et non dans votre logiciel de messagerie en local).
Une fois la synchronisation lancée (et lancée sans erreur), faites une sauvegarde de votre zone DNS (ou notez tous les champs existants, vous en aurez besoin pour la suite.
Réalisez la configuration des pointages DNS (voir plus bas) : une fois propagés, le courrier arrivera directement chez le Cloud Girofle. Attention pour avoir l'auto-détection/auto-configuration des calendriers et contacts partagés, il faut rajouter deux lignes en plus dans les DNS (voir plus bas).
Configurer vos clients mails avec la nouvelle adresse et les paramètres du serveur de mails de Girofle. Vous pouvez vérifier que vos mails sont bien tous présents.
Importez vos contacts à partir du fichier généré lors de leur exportation.
Le lendemain, vous pouvez désactiver la tâche de synchronisation.

Et pour migrer toutes les boites d'un domaine ?

Si vous migrez toutes les boites d'un domaine d'un serveur mail vers celui de CG, vous devez en plus considérer les points suivants:

Les boites ne sont pas les vôtres et vous ne connaissez pas les mots de passe.
Vous ne connaissez pas tous les utilisateur-ices directement.
Vous ne connaissez pas l'importance de chaque boite pour ses utilisateur-ices.
Le nombre de boites peut être important. Comptez 5 à 10 minutes par boite.
Certaines boites sont non relevées et dans certains cas c'est votre seul moyen de contacter l'utilisateur-ice.

Il va donc falloir bien préparer votre migration pour ne pas vous faire des ennemis pour 7 générations et communiquer à l'avance auprès de vos utilisateur-ices de manière à :

les informer et leur laisser le temps d'opter d'aller chez un autre hébergeur s'iels le souhaite ;
les inciter à faire du ménage dans leur boite mail ;
les prévenir que vous allez réinitialiser leur mot de passe pour que la synchro fonctionne ;
leur donner les instructions nécessaires à la consultation de leur boite après la migration, y compris le nouveau mot de passe (attention si vous leur communiquez ces infos par mail : à un moment iels n'auront plus accès à leur boite) ;
leur donner un moyen de vous contacter après la migration s'iel n'arrivent pas à se reconnecter à leur boite ;
identifier les boites abandonnées et qui sont à supprimer plutôt qu'à migrer.

Certain-e-s seront peut-être complètement perdu-e-s et il vous faudra rappeler quelques notions de base ainsi qu'une explication du processus de migration (voir ci-dessous).

Dans les paramètres MailCow de votre domaine:

Décochez l'option "Liste d'adresses globale (GAL)" si vous ne voulez pas que vos utilisateur-ices aient accès à la liste de toutes les adresses mails existantes sur le domaine (ce qui peut être suivant votre usage -est-ce que tous⋅tes les utilisateur⋅ices du domaine se connaissent- peut être un souci de sécurité).
L'option "Limite de taux" permet de limiter le nombre de mails qu'il est possible d'envoyer par unité de temps. C'est une bonne manière de limiter la casse en cas de piratage d'une boite. Paramétrer ça ici permet de ne pas devoir le faire boîte par boîte. Attention, cette option limite aussi le nombre de destinataires max d'un message. 20 messages par minute est une option offrant une bonne sécurité pour le domaine, et vous pouvez mettre jusqu'à 50 au cas par cas pour les personnes qui ont besoin d'envoyer à de nombreux destinataires.

Quota de taille de boite mail

Il est possible que la taille annoncée par l'ancien hébergeur soit différente de la taille après synchronisation. Nous avons constater des écarts de 1 à 3 (à la hausse). Soyez donc large pour la période de synchro quitte à réduire le quota une fois la taille connue sur le serveur Girofle.

Processus de migration à communiquer aux utilisateur-rices

A adapter et éventuellement à mettre à jour avant envoi...

Actuellement ton serveur (de mail) est Untel. Ta boite va être déplacée sur le serveur de mail de Cloud Girofle. Plus exactement, une boite de même nom (xxx@domaine.net) va être créée sur le Cloud Girofle et celle sur Untel va être supprimée.

Tes messages vont être déplacés d'une boite à l'autre, normalement tu vas n'en perdre aucun.

Tes contacts ne vont pas être déplacés (le logiciel de migration ne le permet pas), ils ne seront pas accessibles après la migration et vont disparaître quand la boite sur Untel va être supprimée. Peut-être tu vas devoir faire un truc pour les récupérer, à voir plus bas.

Avec un logiciel de messagerie (par ex Thunderbird) tes messages (envoyé et reçus) peuvent être stockés sur le serveur de mail ET sur ton ordi (les 2 sont alors synchronisés), ou être conservés uniquement sur ton ordi. Dans ce dernier cas la migration ne devra migrer que les mails qui n'ont pas encore été déplacés du serveur vers ton ordi (ceux qui sont arrivés depuis ta dernière consultation).

Avec un logiciel de messagerie tes contacts sont stockés sur ton ordinateur. Et donc pas besoin de les transférer d'un serveur à l'autre.

Avec un webmail tes contacts sont stockés sur le serveur. Il faut alors les exporter (il y a un menu ou un bouton pour ça). L'export crée un fichier sur ton ordi. Une fois la migration faite (changement de serveur mail, les contacts ont disparu) il faut faire une importation des contacts, avec le fichier précédemment créé.

Si tu utilises parfois un logiciel sur ton ordi (Thunderbird) et parfois un webmail (Roundcube ou Sogo), tu as sans doute des contacts, plus ou moins les mêmes) dans Thunderbird et dans RoundCube/Sogo. Il vaut mieux profiter de la migration pour exporter les contacts de Thunderbird plutôt que ceux du serveur, pour les importer dans le nouveau serveur après migration. Comme ça, pour un temps, tu auras les mêmes contacts dans Thunderbird et dans Roundcube/Sogo.

Comment conserver ses messages uniquement sur son ordi : voir ici

Ouf, quelle plaie l'informatique qui nous rend la vie plus facile.

Concrètement, que dois-je mettre comme paramètres pour configurer la tâche de synchronisation ?

Pour OVH

Le chiffrement doit être mis à STARTTLS. Votre identifiant est votre adresse mail complète. Le nom d’hôte peut changer, c'est le serveur qui est déclaré dans l'entrée DNS IMAP.

La configuration de la tâche coté Cloud Girofle est la suivante :

Nom d’hôte : ssl0.ovh.net
Port : 143
Cryptage : STARTTLS

Pour Gandi

La configuration est la même que pour OVH, avec les différences suivantes :

Nom d’hôte : mail.gandi.net
Port : 993
Cryptage : SSL

Pour Google

Il faut tout d'abord activer IMAP dans la page de configuration de la boite mail. Pour cela, cliquez sur la roue crantée en haut à droite, puis "Voir tous les paramètres"

De là, aller sur l'onglet "Transfert POP/IMAP" et cocher la case "Activer IMAP", puis "Enregistrer les modifications".

La configuration de la tâche coté Cloud Girofle est ensuite la suivante :

Nom d’hôte : mail.gmail.com
Port : 993
Cryptage : SSL

Pour Microsoft

La configuration de la tâche coté Cloud Girofle est ensuite la suivante :

Nom d’hôte : mail.office365.com
Port : 993
Cryptage : SSL

Dans tous les cas

Nous vous conseillons de laisser les valeurs par défaut :

Si vous utilisez votre boite (sur l'ancien serveur) pendant la synchro vous aurez intérêt à activer l'option --delete2. Mais désactivez-là avant de changer les DNS sinon les nouveaux messages arrivant sur le nouveau serveur vont être effacé dès leur arrivé puisque non présents sur l'ancien serveur!

Comment configurer mes DNS

Il y a maintenant une page dédiée.

Truc et astuces

Cette page décrit plusieurs trucs et astuces que nous avons découvert et qui pourront peut-être vous servir pour la gestion de votre domaine de mail.

Mettre en place un "Catch-all"

Un "catch-all" ou "attrape-tout" est un mécanisme qui permet d'attraper tous les mails d'un domaine pour lesquels une boite mails n'existe pas.

Exemple : j'ai deux boites mails sur mon domaine : boite1@mondomaine.fr et boite2@mondomaine.fr.

J'aimerais que si quelqu'un envoi un mail à une boite qui n'existe pas (exemple boite3@mondomaine.fr ou trucmuch@mondomaine.fr) , ces mails soient redirigés vers ma boite boite1@mondomaine.fr .

Pour cela, il faut que je mettre en place un "attrape-tout" qui renvoie tous les mails, sauf ceux pour lesquels la boite mail existe (exemple boite2@mondomaine.fr) vers ma boite boite1@mondomaine.fr .

C'est faisable via le menu "Alias" de mon interface d'administration.

Il vous faudra créer un nouvel alias ne contenant rien avant le @.
Dans notre exemple, ce sera donc un alias depuis @mondomaine.fr vers boite1@mondomaine.fr

Une fois créé, l'alias apparaîtra dans la liste, préfixé par un label "Catch-All".

L'inconvénient des "catch-all" c'est que ça va aussi attraper les spammeurs, qui testent si des boites mails existent. Notre anti-spam sera toujours actif, mais il est probable que vous receviez une grande quantité de spam dans votre dossier de spam.