Administrer un domaine de mail

Cette section est à destination des personnes qui gèrent la mise en place et la création de boites mails pour un collectif.

• Comment configurer mes DNS
• Créer/Ajouter une boite mail pour mon domaine
• Migrer depuis mon ancien fournisseur
• Truc et astuces

Comment configurer mes DNS

🚨 Attention, cette configuration n'est à réaliser que lorsque vous souhaitez finaliser la migration de vos mails. Une fois cette configuration mise en place, il faudra attention ~24h pour qu'elle soit propagée sur le réseau.

Suppression des enregistrements qui dirigent vers votre ancien hébergeur

Chez Gandi:

Ajout des enregistrements qui dirigent vers Girofle

Voici la configuration à remplir (attention les points en fin de ligne sont importants et à conserver).

Nom ou Domaine	Type	TTL	Priorité / Poids / Port	Cible ou Nom d’hôte
ne rien mettre ici	MX	3600	10	mail.girofle.org.
autodiscover	CNAME	3600		mail.girofle.org.
_autodiscover._tcp	SRV	3600	0 / 0 / 443	mail.girofle.org.
autoconfig	CNAME	3600		mail.girofle.org.
ne rien mettre ici	TXT	3600		v=spf1 include:_spf.girofle.org ~all
_dmarc	CNAME	3600		dmarc2023.girofle.org.
dkim._domainkey	TXT	3600		[a trouver dans MailCow, voir ci-dessous 🤓]
mail	CNAME	3600		mail.girofle.org.

MailCow, dans l'onglet Domaines, donne l'état des DNS : données attendues et données actuelles. Cela permet de voir l'avancée de la propagation sur le réseau.

• Attention pour l'enregistrement _dmarc, MailCow demande un TXT mais c'est bien le CNAME si-dessus qu'il faut mettre, il pointe vers le TXT attendu.
• MailCow donne la valeur attendue pour l'enregistrement dkim._domainkey (le contenu du champ DKIM dépend de votre domaine).
  

Comment avoir la détection du calendrier et des contacts ?

Il faut rajouter les entrées DNS suivantes (attention les points en fin de ligne sont importants et à conserver):

Nom ou Domaine	Type	TTL	Priorité	Poids	Port	Cible ou nom d’hôte
_carddavs._tcp	SRV	3600	10	1	443	mail.girofle.org.
_caldavs._tcp	SRV	3600	10	1	443	mail.girofle.org.

Ou depuis le mode "expert":

_carddavs._tcp IN SRV 10 1 443 mail.girofle.org.
_caldavs._tcp IN SRV 10 1 443 mail.girofle.org.

Validation

On peut ensuite vérifier que la configuration est bonne du point de vue de Mailcow.

Toutes les cases de la colonne "Etat courant" doivent avoir le symbole "valide" ✔, sauf la case relative au DMARC. Le champ TXT SPF Record Syntax peut parfois ne pas avoir de coche verte et commencer par un ?, ce n'est pas un problème, il faut bien s'assurer que le champ _spf.girofle.org soit présent dans la valeur du champ.

Attention, la propagation des configurations DNS peut prendre plusieurs heures.

Que dois-je configurer si j'utilise d'autres outils d'envoi de mail ?

Il est possible d'utiliser des outils d'envoi de mails, tout en hébergeant son domaine chez le Cloud Girofle. Cela est par exemple le cas si vous souhaitez utilisez des outils/plateformes de mailing-list tel que Mailjet, Brevo (ex SendingBlue), Mailchimp, etc...

Dans ce cas, vous allez devoir fusionner les configurations DNS du Cloud Girofle, avec les configurations DNS indiquées par votre autre fournisseur de mail.

Attention
- si vous faites pas ces modifications et que vous envoyez des mails depuis un autre fournisseur que le Cloud Girofle, il est fortement probable que les mails envoyés via cet autre fournisseur finissent classés en Spam/Pourriels.
- il est possible de faire des bêtise lors de la configuration de vos DNS et de bloquer l'envoi et la réception de vos mails, attention donc à ce que vous faites.

En cas de doute n'hésitez surtout pas à nous demander de l'aide sur la configuration de vos DNS.

Prenons par exemple le domaine quelquechose.fr, configuré avec le Cloud Girofle pour les mail. Si vous voulez envoyer des mails depuis un autre service de mail que le Cloud Girofle, vous avez deux choix :

• Utiliser un sous domaine. Ex : liste.quelquechose.fr
• Configurer vos DNS pour indiquer que vos mails peuvent partir depuis les serveurs du Cloud Girofle, OU depuis un autre service.

Dans le cas ou vous utilisez un sous domaine, il vous suffit de suivre les configurations indiquez par votre autre fournisseur de service mail.

Dans le cas ou vous souhaitez envoyer tous vos mails depuis votre domaine principal (ex: quelquechose.fr), nous allons devoir modifier votre configuration DNS comme suit.

Nous allons devoir configurer 2 champs : le champ du `SPF` (qui est de type TXT), et le champ `DKIM` (qui est aussi de type TXT). Certaines documentations indiquent de configurer le champ DMARC, mais ce n'est pas nécessaire pour nous car nous pouvoir continuer à utiliser la configuration DMARC existante (celle indiquée ci-dessus).

Le champ SPF

Si vous avez suivi la configuration indiquée ci-dessus, votre champ dit `SPF` devrait avoir la valeur suivante

v=spf1 include:_spf.girofle.org ~all

Dans le cas ou vous souhaitez également envoyer des mails depuis un autre fournisseur, il faudra modifier cette valeur, pour y faire apparaître la configuration demandée par ce fournisseur. Généralement cela consiste à ajouter une balise `include`.

Voici un exemple pour un service fictif "moninfolettre.fr" :

v=spf1 include:_spf.girofle.org include:spf.moninfolettre.fr ~all

Voici quelques exemples pour certains fournisseurs connus :

Fournisseur	Valeur du champ TXT
Brevo	v=spf1 include:_spf.girofle.org include=spf.brevo.com ~all
Mailchimp	v=spf1 include:_spf.girofle.org include:mandrillapp.com ~all
Mailjet	v=spf1 include:_spf.girofle.org include:include:spf.mailjet.com ~all

Documentation

• https://help.brevo.com/hc/fr/articles/4414335084434-Fusionner-des-enregistrements-SPF
• https://mailchimp.com/fr/resources/what-is-sender-policy-framework/
• https://www.mailjet.com/fr/blog/delivrabilite/protocoles-spf-dkim-dmarc/https://documentation.mailjet.com/hc/fr/articles/360049641733-Guide-complet-d-authentification-des-domaines-avec-SPF-et-DKIM

Les champs DKIM

Le mécanisme DKIM utilise une clé de domaine (ou domain-key). Chez le Cloud Girofle, nous utilisons une clef qui se nomme "dkim" (ça porte un peut à confusion). Pour d'autres, la clef se nomme parfois "mail".

Il est possible d'avoir plusieurs valeurs de clé DKIM, en utilisant différents noms de clef.
Le nom de clef se défini dans la partie "source" (parfois nommée "hote") du champ DKIM, et préfixé par le texte _domainekey.

Voici par exemple les différentes nom de clef pour des fournisseurs connu :

Fournisseur	Nom de la clef
Cloud Girofle	dkim._domainkey.quelquechose.fr
Mailjet	mailjet._domainkey.quelquechose.fr
Brevo	brevo1._domainekey.quelquechose.fr et brevo2._domainekey.quelquechose.fr

Pour faire fonctionner vos autres fournisseurs de mails, il vous faudra créer de nouveaux champs DKIM (généralement un ou deux), en utilisant les valeurs de clefs indiquées par votre fournisseur.

Ne modifiez pas le champ DKIM du Cloud Girofle (dkim._domainkey) ou vos mails risquent de finir dans les Spams.

Créer/Ajouter une boite mail pour mon domaine

Cette page décrit comment créer une boite mail pour votre domaine.

Pour cela vous devez avoir un compte administrateur et vous connecter sur https://mail.girofle.org/

Ensuite, allez dans Email > Configuration, puis sur l'onglet "Boîtes mail"

De là, vous trouverez la liste des boites mails que vous administrez déjà (ou une liste vide).

Vous pouvez désormais cliquer sur "Ajouter une boîte"

Voici un exemple du formulaire qui vous sera présenté (le domaine sera le votre).

Voici quelques précisions sur certains champs :

• Nom complet : C'est un champ libre, qui sera affiché à coté de votre adresse chez les destinataires de vos mails. Ce champ peut rester vide. Voici exemple pour le nom "Maxime (Cloud Girofle)" tel qu'affiché sur Thunderbird.

  

• Étiquettes : Ce champ est utile lorsque vous avez un très grand nombre de mail. Il vous permet de filtrer les boites mails dans la liste. En général, vous pouvez l'ignorer et le laisser vide.
• Avis de quarantaine : Ce champ permet de définir la fréquence à laquelle on informe un émetteur que son message à été traité comme du Spam. En général, vous pouvez l'ignorer et le laisser à "Toutes les heures".
• Politique de chiffrement : Définit si une méthode de chiffrement est appliquée. Par défaut tous les clients/logiciels de mails sont configurés pour appliquer le chiffrement (TLS). Mais vous pouvez forcer le chiffrement en cliquant sur les deux boutons.
  

  

• Grant direct login access to SOGo : Ce champ permet de donner l'accès ou non à l'interface web Sogo, qui permet de gérer ses mails via son navigateur (le Cloud Girofle propose aussi Roudcube, cette configuration s'applique au deux interfaces). Si vous êtes 100% sur que la personne qui va utiliser cette boite mail ne passera jamais par son navigateur mais uniquement via des logiciels de mails (ex: Thunderbird, iMail, Outlook, K9mail etc...), vous pouvez décocher cette case. En général, vous pouvez la laisser cochée.
  

Migrer depuis mon ancien fournisseur

Mailcow (l'outil utilisé par le Cloud Girofle) propose un outil permettant la récupération automatique des boîtes mail. Voilà la procédure à suivre. Ça peut ne pas être très évident, du coup on vous invite à nous contacter pour qu'on puisse vous assister.

L'outil à prendre en main s'appelle "Taches de synchronisation". Nous allons voir comment l'utiliser.

Quelle procédure dois-je suivre pour MES boites mails ?

1. Commencez par faire du ménage. Certaines boites ne sont peut-être plus utilisées et peuvent être supprimées, ou remplacées par une redirection. Certains messages peuvent aussi être supprimés pour diminuer la place occupée sur le serveur, notamment les vieux et gros.
2. Se connecter à MailCow (en tant qu'administrateur⋅ice de domaine), avec les identifiants fournis par le Cloud Girofle
3. Créer toutes les boîtes mail dont vous aurez besoin, notez bien les mots de passe à chaque fois.
4. Créer une "Tâche de synchronisation" pour chacune de ces boîtes mails (voir plus bas sur comment configurer la synchronisation) : une tâche de synchronisation va aller récupérer le contenu de votre boîte mail chez votre ancien fournisseur de mail, et la recopier chez le Cloud Girofle. Ainsi, vous aurez l'assurance de ne pas perdre de mails dans la migration. La synchronisation prend de l'ordre de une demi-heure par giga-octet à synchroniser (il est possible de créer des synchros pour plusieurs boîtes mais elles ne s'exécuteront pas en parallèle). Votre boite est toujours fonctionnelle pendant la synchro.
   
5. Attention la synchro ne concerne que les messages, pas les contacts. Exportez les s'ils sont stockés en ligne (et non dans votre logiciel de messagerie en local).
6. Une fois la synchronisation lancée (et lancée sans erreur), faites une sauvegarde de votre zone DNS (ou notez tous les champs existants, vous en aurez besoin pour la suite.
7. Réalisez la configuration des pointages DNS (voir plus bas) : une fois propagés, le courrier arrivera directement chez le Cloud Girofle. Attention pour avoir l'auto-détection/auto-configuration des calendriers et contacts partagés, il faut rajouter deux lignes en plus dans les DNS (voir plus bas).
   
8. Configurer vos clients mails avec la nouvelle adresse et les paramètres du serveur de mails de Girofle. Vous pouvez vérifier que vos mails sont bien tous présents.
9. Importez vos contacts à partir du fichier généré lors de leur exportation.
10. Le lendemain, vous pouvez désactiver la tâche de synchronisation.

Et pour migrer toutes les boites d'un domaine ?

Si vous migrez toutes les boites d'un domaine d'un serveur mail vers celui de CG, vous devez en plus considérer les points suivants:

• Les boites ne sont pas les vôtres et vous ne connaissez pas les mots de passe.
• Vous ne connaissez pas tous les utilisateur-ices directement.
• Vous ne connaissez pas l'importance de chaque boite pour ses utilisateur-ices.
• Le nombre de boites peut être important. Comptez 5 à 10 minutes par boite.
  
• Certaines boites sont non relevées et dans certains cas c'est votre seul moyen de contacter l'utilisateur-ice.
  

Il va donc falloir bien préparer votre migration pour ne pas vous faire des ennemis pour 7 générations et communiquer à l'avance auprès de vos utilisateur-ices de manière à :

• les informer et leur laisser le temps d'opter d'aller chez un autre hébergeur s'iels le souhaite ;
• les inciter à faire du ménage dans leur boite mail ;
• les prévenir que vous allez réinitialiser leur mot de passe pour que la synchro fonctionne ;
• leur donner les instructions nécessaires à la consultation de leur boite après la migration, y compris le nouveau mot de passe (attention si vous leur communiquez ces infos par mail : à un moment iels n'auront plus accès à leur boite) ;
• leur donner un moyen de vous contacter après la migration s'iel n'arrivent pas à se reconnecter à leur boite ;
• identifier les boites abandonnées et qui sont à supprimer plutôt qu'à migrer.

Certain-e-s seront peut-être complètement perdu-e-s et il vous faudra rappeler quelques notions de base ainsi qu'une explication du processus de migration (voir ci-dessous).

Dans les paramètres MailCow de votre domaine:

• Décochez l'option "Liste d'adresses globale (GAL)" si vous ne voulez pas que vos utilisateur-ices aient accès à la liste de toutes les adresses mails existantes sur le domaine (ce qui peut être suivant votre usage -est-ce que tous⋅tes les utilisateur⋅ices du domaine se connaissent- peut être un souci de sécurité).
• L'option "Limite de taux" permet de limiter le nombre de mails qu'il est possible d'envoyer par unité de temps. C'est une bonne manière de limiter la casse en cas de piratage d'une boite. Paramétrer ça ici permet de ne pas devoir le faire boîte par boîte. Attention, cette option limite aussi le nombre de destinataires max d'un message. 20 messages par minute est une option offrant une bonne sécurité pour le domaine, et vous pouvez mettre jusqu'à 50 au cas par cas pour les personnes qui ont besoin d'envoyer à de nombreux destinataires.
  

Quota de taille de boite mail

Il est possible que la taille annoncée par l'ancien hébergeur soit différente de la taille après synchronisation. Nous avons constater des écarts de 1 à 3 (à la hausse). Soyez donc large pour la période de synchro quitte à réduire le quota une fois la taille connue sur le serveur Girofle.

Processus de migration à communiquer aux utilisateur-rices

A adapter et éventuellement à mettre à jour avant envoi...

Actuellement ton serveur (de mail) est Untel. Ta boite va être déplacée sur le serveur de mail de Cloud Girofle. Plus exactement, une boite de même nom (xxx@domaine.net) va être créée sur le Cloud Girofle et celle sur Untel va être supprimée.

Tes messages vont être déplacés d'une boite à l'autre, normalement tu vas n'en perdre aucun.

Tes contacts ne vont pas être déplacés (le logiciel de migration ne le permet pas), ils ne seront pas accessibles après la migration et vont disparaître quand la boite sur Untel va être supprimée. Peut-être tu vas devoir faire un truc pour les récupérer, à voir plus bas.

Avec un logiciel de messagerie (par ex Thunderbird) tes messages (envoyé et reçus) peuvent être stockés sur le serveur de mail ET sur ton ordi (les 2 sont alors synchronisés), ou être conservés uniquement sur ton ordi. Dans ce dernier cas la migration ne devra migrer que les mails qui n'ont pas encore été déplacés du serveur vers ton ordi (ceux qui sont arrivés depuis ta dernière consultation).

Avec un logiciel de messagerie tes contacts sont stockés sur ton ordinateur. Et donc pas besoin de les transférer d'un serveur à l'autre.

Avec un webmail tes contacts sont stockés sur le serveur. Il faut alors les exporter (il y a un menu ou un bouton pour ça). L'export crée un fichier sur ton ordi. Une fois la migration faite (changement de serveur mail, les contacts ont disparu) il faut faire une importation des contacts, avec le fichier précédemment créé.

Si tu utilises parfois un logiciel sur ton ordi (Thunderbird) et parfois un webmail (Roundcube ou Sogo), tu as sans doute des contacts, plus ou moins les mêmes) dans Thunderbird et dans RoundCube/Sogo. Il vaut mieux profiter de la migration pour exporter les contacts de Thunderbird plutôt que ceux du serveur, pour les importer dans le nouveau serveur après migration. Comme ça, pour un temps, tu auras les mêmes contacts dans Thunderbird et dans Roundcube/Sogo.

Comment conserver ses messages uniquement sur son ordi : voir ici

Ouf, quelle plaie l'informatique qui nous rend la vie plus facile.

Concrètement, que dois-je mettre comme paramètres pour configurer la tâche de synchronisation ?

Pour OVH

Le chiffrement doit être mis à STARTTLS. Votre identifiant est votre adresse mail complète. Le nom d’hôte peut changer, c'est le serveur qui est déclaré dans l'entrée DNS IMAP.

La configuration de la tâche coté Cloud Girofle est la suivante :

• Nom d’hôte : ssl0.ovh.net
  
• Port : 143
  
• Cryptage : STARTTLS

Pour Gandi

La configuration est la même que pour OVH, avec les différences suivantes :

• Nom d’hôte : mail.gandi.net
  
• Port : 993
• Cryptage : SSL

Pour Google

Il faut tout d'abord activer IMAP dans la page de configuration de la boite mail. Pour cela, cliquez sur la roue crantée en haut à droite, puis "Voir tous les paramètres"

De là, aller sur l'onglet "Transfert POP/IMAP" et cocher la case "Activer IMAP", puis "Enregistrer les modifications".

La configuration de la tâche coté Cloud Girofle est ensuite la suivante :

• Nom d’hôte : mail.gmail.com
  
• Port : 993
• Cryptage : SSL

Pour Microsoft

La configuration de la tâche coté Cloud Girofle est ensuite la suivante :

• Nom d’hôte : mail.office365.com
  
• Port : 993
• Cryptage : SSL

Dans tous les cas

Nous vous conseillons de laisser les valeurs par défaut :

Si vous utilisez votre boite (sur l'ancien serveur) pendant la synchro vous aurez intérêt à activer l'option --delete2. Mais désactivez-là avant de changer les DNS sinon les nouveaux messages arrivant sur le nouveau serveur vont être effacé dès leur arrivé puisque non présents sur l'ancien serveur!

Comment configurer mes DNS

Il y a maintenant une page dédiée.

Truc et astuces

Cette page décrit plusieurs trucs et astuces que nous avons découvert et qui pourront peut-être vous servir pour la gestion de votre domaine de mail.

Mettre en place un "Catch-all"

Un "catch-all" ou "attrape-tout" est un mécanisme qui permet d'attraper tous les mails d'un domaine pour lesquels une boite mails n'existe pas.

Exemple : j'ai deux boites mails sur mon domaine : boite1@mondomaine.fr et boite2@mondomaine.fr.

J'aimerais que si quelqu'un envoi un mail à une boite qui n'existe pas (exemple boite3@mondomaine.fr ou trucmuch@mondomaine.fr) , ces mails soient redirigés vers ma boite boite1@mondomaine.fr .

Pour cela, il faut que je mettre en place un "attrape-tout" qui renvoie tous les mails, sauf ceux pour lesquels la boite mail existe (exemple boite2@mondomaine.fr) vers ma boite boite1@mondomaine.fr .

C'est faisable via le menu "Alias" de mon interface d'administration.

Il vous faudra créer un nouvel alias ne contenant rien avant le @.
Dans notre exemple, ce sera donc un alias depuis @mondomaine.fr vers boite1@mondomaine.fr

Une fois créé, l'alias apparaîtra dans la liste, préfixé par un label "Catch-All".

L'inconvénient des "catch-all" c'est que ça va aussi attraper les spammeurs, qui testent si des boites mails existent. Notre anti-spam sera toujours actif, mais il est probable que vous receviez une grande quantité de spam dans votre dossier de spam.