CRÉER UN SERVEUR MAIL SUR UN NAS SYNOLOGY
Synology propose de nombreux paquets à installer sur ses NAS pour lui ajouter des fonctionnalités. Parmi eux on trouve le paquet Mail Server.
Cette interface pour Postfix permet de mettre en place un véritable serveur mail, avec DKIM, DMARC etc… Il convient tout à fait pour un usage personnel ou pour une petite entreprise.
Nous allons donc voir comment configurer ce serveur et lui permettre d’envoyer des mails vers les grands fournisseurs type GMAIL et cie sans être déclaré en tant que SPAM.
PRÉ REQUIS
– Un NAS Synology
– Un nom de domaine et un accès à sa zone DNS
– Une adresse IP publique fixe est indispensable pour le serveur mail !!!
INSTALLATION DE MAIL SERVER
Nous allons installer le paquet proposé sur le store de Synology. Il nécessite l’installation du paquet Perl pour fonctionner.
Si à la fin de l’installation le paquet ne s’est pas lancé, il est possible de le faire à l’aide du menu de gauche.
PARAMÈTRE IMAP / SMTP
Après l’installation on peut ouvrir l’interface d’administration de Mail Server.
Nous allons voir onglet par onglet les configurations à faire pour le rendre fonctionnel.
La vue d’ensemble n’est pas très importante, elle permet simplement d’avoir des statistiques sur le nombre de mails envoyés et reçus par le serveur, ainsi que sa consommation en bande passante.
Dans l’onglet SMTP nous allons configurer l’authentification sur notre serveur.
Dans un premier temps nous allons cocher « Activer SMTP ».
Pour le type d’utilisateur, vous aurez le choix d’utiliser les utilisateurs locaux sur votre NAS, ou d’utiliser les utilisateurs d’un annuaire Active Directory ou LDAP si votre NAS est associé à l’un d’entre eux.
Pour éviter que n’importe qui utilise notre serveur d’envoi nous activerons également l’authentification SMTP.
Dans le champ nom d’hôte, nous allons entrer le nom de domaine qui correspondra aux adresses mail. Ex : domain.tld enverra des mails en someone@domain.tld
Nous allons également activer le SMTP-TLS pour chiffrer les échanges avec notre serveur mail.
Si votre FAI bloque l’utilisation de serveur SMTP il faudra alors configurer le relais de votre fournisseur.
Dans l’onglet IMAP/POP3 nous activerons uniquement l’IMAP SSL/TLS. Qui utilise encore du POP sérieusement ?
Dans l’onglet Sécurité il est possible de définir les règles d’analyses de SPAM Assassin et de l’antivirus. Dans un premier temps je vous déconseille de les activer immédiatement, et plutôt petit à petit pour avoir des réglages fins qui correspondent à votre besoin. En effet des réglages trop agressifs vous empêcheront peut-être d’envoyer ou recevoir des mails de certaines personnes.
Nous reviendrons plus tard sur la partie Authentification.
L’onglet Alias permet, comme son nom l’indique, de créer des alias ou listes de distribution. Pratique pour éviter d’avoir plusieurs boites pour une seule et même personne.
Il est également possible de renvoyer un alias sur une boîte aux lettre externe. Ce qui permet d’unifier les mails de contact si on a plusieurs domaines par exemples.
Je vous conseille de créer l’alias abuse, utilisés par les fournisseurs de mails pour vous envoyer des rapports.
L’onglet BCC permet de définir des règles pour recevoir une copie des mails entrants/sortants selon certains critères. Personnellement je ne m’en sers pas.
Le journal de messagerie permet d’obtenir une liste de tous les mails passants par votre serveur.
Dans Rapport il est possible de régler l’envoi des statistiques du serveur à l’administrateur.
Pour terminer, l’onglet personnel permet de définir des réponses automatiques ou de transfert des mails.
PARAMÈTRES DE LA ZONE DNS
Nous allons désormais créer un enregistrement DNS pour notre serveur mail.
L’interface ci dessous est celle d’OVH, mais le principe reste le même pour les autres fournisseurs de domaine.
Nous allons créer un enregistrement de type A pour le sous domaine mail.domain.tld pointant sur l’IP publique de notre serveur mail.
Puis nous allons ajouter un enregistrement MX pour notre domaine pointant sur le sous domaine mail.domain.tld, avec une priorité de 10.
AJOUT DE SPF, DKIM, ET DMARC
Pour vérifier l’authenticité d’un mail et le classer en tant que SPAM ou non, les serveurs vérifient différents paramètres comme le SPF, le DKIM et le DMARC (pour en savoir plus sur ces trois enregistrement je vous invite à consulter la page Wikipédia correspondante).
Nous allons donc ajouter ces enregistrements pour éviter que tous nos mails sortants ne soient considérés en tant que SPAM.
Sur Mail Server nous allons donc retourner sur l’onglet Sécurité -> Authentification.
Nous allons cocher la vérification SPF.
Nous allons activer le DKIM, en mettant le sélecteur suivant : mailkey et générant une clé publique.
Elle s’affichera dans le cadre en dessous, alors que notre clé privée sera stockée sur le NAS.
Puis nous activerons le DMARC.
Il va maintenant falloir ajouter ces paramètres à notre zone DNS pour que les autres serveurs puissent les consulter.
Pour le SPF nous allons créer un enregistrement TXT avec notre domaine racine (domain.tld) et la valeur suivante : v=spf1 a mx ip4:11.22.33.44 ~all
En remplaçant 11.22.33.44 par l’IP publique de notre NAS.
Pour le DKIM nous allons également créer un enregistrement TXT avec le sous domaine mailkey._domainkey.domain.tld et la clé publique générée sur le NAS.
t=s; p=cle_publique
En remplaçant bien sur cle_publique par la clé générée par Mail Server.
Enfin pour le DMARC nous créerons un enregistrement TXT avec le sous domaine _dmarc.domain.tld et la valeur suivante :
v=DMARC1; p=none
Votre serveur mail est désormais correctement configuré.
Il reste désormais à ouvrir les ports de Firewall et les rediriger vers le NAS.
Il faut ouvrir les ports 25 et 587 pour le SMTP et le port 993 pour l’IMAP SSL/TLS.
CONCLUSION
Nous avons désormais un serveur mail fonctionnel, accessible de l’extérieur et légitime auprès des autres serveurs mails.
Pour se connecter depuis un client de messagerie il faudra saisir les informations suivantes :
Adresse mail : user_NAS@domain.tld
Login : user_NAS (sans le @domain.tld)
MDP : MDP_user_NAS
Serveur entrant : mail.domain.tld
Port : 993 (TLS)
Serveur sortant mail.domain.tld
Port : 587 (STARTTLS)
N’hésitez pas à poser vos questions dans les commentaires ! En espérant vous avoir aider à monter votre petit serveur mail en quelques minutes 😉