Auto-héberger un serveur de messagerie sur un VPS.
Mailcow, Mail-in-a-Box, iRedMail — et l'hébergeur qui vous laisse faire.
L'auto-hébergement de la messagerie est plus difficile qu'il ne devrait l'être en 2026, et presque toute la difficulté se concentre en trois endroits — port 25 bloqué chez la plupart des hébergeurs, réputation d'IP fraîche, enregistrements DNS qui doivent s'aligner parfaitement. Ce guide nomme les prérequis, compare les trois stacks sérieuses et balise le chemin de la délivrabilité.
- 01
Trois murs avant toute installation : le port 25 sortant doit être ouvert, l'IP doit avoir un historique de réputation propre, et l'enregistrement PTR doit correspondre au nom d'hôte HELO. Sans les trois, aucune stack logicielle ne livrera des e-mails à Gmail.
- 02
L'hébergeur importe plus que le logiciel. NordBastion VPS ouvre le port 25 par défaut et configure les enregistrements PTR depuis le panel en moins d'une heure — la posture no-KYC signifie qu'il n'y a aucune étape de vérification d'identité.
- 03
Choisissez la stack selon vos préférences opératoires : Mail-in-a-Box (script, 2 Go, par défaut), Mailcow (Docker, 6 Go, interface moderne), iRedMail (flexible, manuel, le choix des vétérans ops).
Trois murs. Heurtez-vous à l'un d'eux et le reste du guide est gâché.
La raison pour laquelle « il suffit d'installer un serveur de messagerie » est un mauvais conseil, c'est que l'installation représente les 10 % faciles du problème. Les 90 % restants sont des prérequis au niveau infrastructure que le logiciel ne peut pas gérer à votre place. Confirmez que les trois sont remplis avant d'installer quoi que ce soit.
Mur 1 — port 25 sortant. La livraison SMTP est TCP/25 de votre serveur vers le serveur de messagerie du destinataire. La plupart des hyperscalers et des fournisseurs VPS bon marché bloquent cette sortie par défaut au niveau de l'hyperviseur pour limiter le spam. Testez-la d'abord : nc -zv smtp.gmail.com 25 — si la connexion expire, votre hébergeur bloque le port 25 et aucun e-mail ne partira jamais. Ouvrez un ticket demandant le déblocage, ou passez à un hébergeur qui ne le bloque pas.
Mur 2 — réputation IP. Vérifiez l'IP contre Spamhaus, SORBS, Barracuda et Cisco Talos (mxtoolbox.com/blacklists.aspx). Si elle apparaît dans une liste, l'IP a un historique antérieur ; la délivrabilité sera mauvaise jusqu'à ce que vous vous fassiez délister ou que vous changiez d'IP. Les IP fraîches sans historique antérieur conviennent — elles démarrent dans le compartiment « expéditeur neutre / inconnu » qui est le bon point de départ.
Mur 3 — alignement de l'enregistrement PTR. Le PTR (DNS inverse) de votre IP VPS doit correspondre au nom d'hôte HELO que votre Postfix annonce. Si votre serveur annonce « mail.example.com » mais que le PTR de l'IP dit « static-12-34-56-78.example-host.net », Gmail différera ou rejettera. Le PTR est défini par le fournisseur VPS sur l'IP, pas par vous sur votre domaine. La plupart des fournisseurs exposent un contrôle de panel pour cela ; certains nécessitent un ticket de support. NordBastion l'expose depuis le panel.
Réussissez les trois, et vous êtes prêt à installer. Échouez à l'un d'eux, corrigez-le d'abord.
Pourquoi la plupart des hébergeurs bloquent le port 25. Et l'angle no-KYC.
Le SMTP sortant est le favori des spammeurs. Un VPS compromis avec le port 25 ouvert peut envoyer 100 000 messages par jour sans que personne ne s'en aperçoive, et les plaintes d'abus atterrissent toutes dans la boîte de réception de l'hébergeur. Pour maintenir cela sous contrôle, la plupart des fournisseurs VPS bloquent soit le port 25 sortant au niveau du réseau, soit exigent une vérification d'identité + un accord sur une politique d'utilisation acceptable avant de le débloquer au cas par cas.
Ce modèle ne fonctionne pas pour un hébergeur axé sur la vie privée. Toute la proposition d'un VPS no-KYC est que les clients n'ont pas à s'identifier. Ajouter une étape « mais pour le port 25, vous le devez » serait une contradiction doctrinale. Ainsi, l'industrie des hébergeurs vie privée se divise en deux camps : les hébergeurs qui refusent le port 25 entièrement (exclut la messagerie auto-hébergée), et les hébergeurs qui l'ouvrent pour tout le monde sans vérification d'identité (la catégorie plus rare et plus intéressante).
NordBastion appartient au second camp. Chaque <a href="/fr/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">VPS que nous livrons</a> dispose du port TCP/25 sortant ouvert dès le premier démarrage. Il n'y a pas de vérification d'identité, pas d'acceptation de conditions d'utilisation, pas de ticket de déblocage manuel. Les abus sont surveillés sur les modèles de trafic sortant plutôt que sur l'identité du client — un VPS qui émet soudainement 10 fois son volume habituel est signalé, quel que soit le titulaire du compte. L'équilibre fonctionne parce que les pièges à spam opèrent au niveau de la couche protocole, non de la couche identité.
L'implication pratique : NordBastion + une IP fraîche propre + un enregistrement PTR configuré depuis le panel, c'est la checklist des trois murs réussie en moins d'une heure. Le reste du guide, c'est l'installation proprement dite.
Les trois stacks comparées. Mailcow vs Mail-in-a-Box vs iRedMail.
Mail-in-a-Box. Un script shell unique qui transforme une installation fraîche d'Ubuntu 22.04 en serveur de messagerie complet — Postfix, Dovecot, webmail Roundcube, contacts/calendrier équivalents Nextcloud, SpamAssassin, guide DNS. Les paramètres par défaut sont sensés, l'interface d'administration est minimale, l'empreinte en ressources est de 2 Go de RAM à l'aise. Idéal pour quelqu'un qui veut le résultat sans apprendre Docker. Les mises à jour suivent la cadence du projet upstream, typiquement deux ou trois par an.
Mailcow. Une stack basée sur Docker Compose — Postfix, Dovecot, Rspamd, ClamAV, SOGo, Nginx, MariaDB, Redis, Solr — avec une interface web d'administration soignée (2FA, ActiveSync, calendriers, carnets d'adresses, quotas de boîtes aux lettres). Nécessite 6 Go de RAM comme base pratique ; confortable à 8. Idéal pour quelqu'un qui souhaite une configuration moderne et modulaire avec un filtrage anti-spam de première classe et ActiveSync pour mobile. Mis à jour en continu ; le docker-compose.yml est livré depuis le dépôt du projet.
iRedMail. Le choix traditionnel — un script shell qui installe la stack classique Postfix + Dovecot + Amavisd-new + ClamAV sur Debian / Ubuntu / CentOS. L'interface d'administration (iRedAdmin) est fonctionnelle plutôt qu'esthétique. Idéal pour l'opérateur qui a déjà des opinions sur chaque composant et veut un contrôle direct des fichiers de configuration. L'édition Pro ajoute un admin plus riche ; l'édition open source est pleinement utilisable.
Ce qu'ils ont tous en commun. Les trois produisent un serveur de messagerie entièrement fonctionnel avec SMTP / IMAP / submission / DKIM / SpamAssassin ou Rspamd / webmail. Les trois s'appuient sur les mêmes mécanismes de délivrabilité au niveau protocole (SPF / DKIM / DMARC / PTR). Les trois nécessitent la même maintenance mensuelle. Le choix porte sur l'ergonomie, pas sur le fait que les e-mails fonctionneront.
Les enregistrements DNS. Les cinq, parfaitement, ou rien.
La délivrabilité moderne des e-mails est conditionnée à cinq enregistrements DNS. Si vous les réussissez tous les cinq, vous atterrissez dans la boîte de réception chez Gmail et Outlook. Si vous en ratez un ou en réussissez un à moitié, vous atterrissez dans les spams — ou pire, vous êtes silencieusement supprimé au niveau SMTP sans rebond.
1. MX (enregistrement). example.com. MX 10 mail.example.com. — indique au monde où livrer le courrier pour le domaine.
2. A (enregistrement). mail.example.com. A 1.2.3.4 — l'IP de votre VPS de messagerie.
3. PTR (inverse). 4.3.2.1.in-addr.arpa. PTR mail.example.com. — à définir sur l'IP chez le fournisseur VPS. Doit correspondre au HELO. NordBastion : définissez ceci depuis le panel dans l'heure qui suit la provision du VPS.
4. SPF (enregistrement). example.com. TXT "v=spf1 mx -all" — déclare que seuls les hôtes MX peuvent envoyer du courrier pour le domaine. Le -all (hard fail) rejette tout le reste.
5. DKIM (enregistrement). default._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=<clé-longue-depuis-admin-mailcow>" — la clé publique que le destinataire utilise pour vérifier la signature DKIM sur vos messages sortants.
6. DMARC (enregistrement). _dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:[email protected]" — indique aux destinataires quoi faire avec les messages qui échouent à l'authentification SPF/DKIM. p=reject est le paramètre le plus strict ; commencez par p=quarantine le temps de vérifier que votre propre envoi passe.
Vérifiez l'ensemble de la stack avec mxtoolbox.com Email Health Check après chaque modification. Tout vert est le seul état acceptable.
Délivrabilité. Gmail, Outlook, la montée en réputation.
Une IP fraîche, même avec un DNS parfait, démarre dans le compartiment « expéditeur neutre » chez Gmail et Outlook. Le premier mois est un exercice de construction de réputation. L'objectif est de ressembler exactement à un petit expéditeur légitime : faible volume, cadence régulière, authentification parfaite, destinataires qui ouvrent et répondent.
Semaine 1. Envoyez uniquement vers vos propres comptes externes (Gmail, Outlook, Yahoo, Proton). Lisez chaque message dans la boîte de réception du destinataire, marquez « Pas du spam » s'il atterrit dans le spam, répondez. La réponse est le signal de réputation qui compte le plus. Volume : 5–20 messages par jour.
Semaines 2–4. Ajoutez une poignée de correspondants qui répondent naturellement. Abonnez-vous à une ou deux listes de diffusion qui envoient vers votre nouvelle adresse (annonces techniques, newsletters de projets) ; l'engagement sur les e-mails entrants d'expéditeurs établis aide votre délivrabilité sortante. Volume : 50–200 par jour.
Mois 2–3. À ce stade, l'IP a un historique. Migrez les e-mails entrants depuis votre ancien fournisseur via le transfert SMTP pour que la nouvelle adresse commence à recevoir du vrai trafic. Continuez à surveiller les listes DNSBL mensuellement. Au troisième mois, la délivrabilité est pratiquement identique à celle d'un fournisseur hébergé.
Ce qui tue la montée en réputation. Volume massif sortant dès le premier jour. Envoyer vers une liste de contacts périmée avec des adresses mortes (Gmail comptabilise les rebonds comme un signal fortement négatif). Campagnes newsletter. N'importe lequel de ces éléments en semaine 1 fait reculer l'IP de plusieurs semaines. La discipline, c'est la patience, pas la technique.
Maintenance. Une heure par mois, sinon ça casse.
Un serveur de messagerie auto-hébergé n'est pas « à installer et oublier » — l'écosystème e-mail évolue en permanence, et le coût de prendre du retard est une dégradation silencieuse de la délivrabilité que vous ne remarquez que lorsqu'un ami vous dit « je n'ai jamais reçu ton e-mail ». La routine de maintenance mensuelle est modeste mais non négociable.
Liste de contrôle mensuelle. (1) Vérification DNSBL — scan blacklist mxtoolbox, demande de délistage si nécessaire. (2) Vérification du renouvellement des certificats — Let's Encrypt devrait se renouveler automatiquement, mais vérifiez. (3) Exécution du programme de mise à jour — update.sh Mailcow, mise à niveau MIAB ou apt upgrade sur iRedMail. (4) Analyse des journaux — Rspamd / Postfix pour des taux de rejet inhabituels. (5) Vérification des sauvegardes — restaurez la dernière sauvegarde dans un répertoire de test et confirmez que le spool de courrier se décompresse correctement.
Trimestriel. Exercice complet de restauration de sauvegarde sur un second VPS, vérification que la connexion au webmail fonctionne. Révision des règles SpamAssassin / Rspamd — les scores bayésiens dérivent, ré-entraînez sur les ham/spam récents. Vérifiez les rapports agrégés DMARC pour détecter une utilisation non autorisée du domaine.
Lors d'un atterrissage de version majeure. Faites un snapshot du VPS d'abord (panel NordBastion : un clic). Prenez une sauvegarde fraîche de la base de données hors serveur. Exécutez la mise à niveau. Vérifiez l'envoi SMTP, la récupération IMAP, la connexion au webmail, la synchronisation mobile, chaque compte sur le serveur. Revenez en arrière via snapshot en cas d'échec. Durée : 30–60 minutes une ou deux fois par an.
Le point de rupture. Les gens abandonnent leur messagerie auto-hébergée quand ils sautent trois mois de mises à jour, puis qu'un changement majeur DSA / DMARC arrive, puis que la délivrabilité se dégrade silencieusement, puis qu'un ami leur dit que leurs e-mails rebondissent. Intégrez l'heure mensuelle dans le calendrier dès le premier jour et le point de rupture n'arrive jamais.
Questions, réponses.
Huit questions qui se posent au démarrage et à l'exploitation d'un serveur de messagerie auto-hébergé en 2026.
Est-il encore réaliste d'auto-héberger sa messagerie en 2026 ?
Oui — mais seulement si vous comprenez les trois problèmes structurels et acceptez le coût opérationnel. Problème un : le port 25 sortant est bloqué par défaut chez la plupart des fournisseurs VPS et le déblocage nécessite une conversation avec l'équipe commerciale. Problème deux : les IP fraîches ont une réputation de délivrabilité « froide » qui met des semaines à se réchauffer auprès de Gmail et Outlook. Problème trois : le cycle de maintenance mensuel (vérifications DNSBL, renouvellement TLS, suppression des listes de blocage) est non négociable. Ces problèmes étant gérés, la messagerie auto-hébergée est plus saine en 2026 qu'elle ne l'était en 2020.
Quelle stack choisir — Mailcow, Mail-in-a-Box ou iRedMail ?
Mail-in-a-Box pour le lecteur qui veut « que ça fonctionne ». Un script d'installation, des paramètres par défaut sensés, tourne sur 2 Go. Mailcow pour le lecteur qui veut « une interface admin moderne et Docker » ; nécessite 6 Go, vous donne Rspamd, ActiveSync, SOGo et un admin web soigné. iRedMail pour le lecteur qui a « une stack spécifique en tête » ; très flexible, très manuel, le choix des vétérans ops. Les trois produisent un serveur de messagerie entièrement fonctionnel ; le choix porte sur l'ergonomie, pas sur le résultat.
Pourquoi le port 25 est-il bloqué chez la plupart des fournisseurs VPS ?
Parce que les spammeurs en abusent. Les hyperscalers et les fournisseurs VPS bon marché bloquent TCP/25 sortant au niveau de l'hyperviseur ou du pare-feu par défaut pour limiter les plaintes d'abus — le déblocage nécessite l'ouverture d'un ticket de support, une vérification d'identité et un engagement sur une politique d'utilisation acceptable pour les e-mails. Les hébergeurs axés sur la vie privée qui refusent la vérification d'identité ne peuvent pas proposer le déblocage ; les hébergeurs grand public qui offrent le déblocage exigent un KYC. La combinaison « no-KYC ET port 25 débloqué » est rare et c'est la raison pour laquelle ce guide se trouve sur ce site.
NordBastion débloque-t-il le SMTP sortant pour les clients serveur de messagerie ?
Oui — le port 25 sortant est ouvert sur chaque VPS NordBastion sans demande de ticket de support. Nous n'imposons pas d'étape de vérification d'identité avant d'autoriser SMTP, parce que la posture no-KYC est la doctrine ; les abus sortants sont surveillés sur les schémas de trafic, pas sur l'identité des clients. C'est le différenciateur qui rend un serveur de messagerie auto-hébergé réellement possible chez un hébergeur vie privée.
Qu'est-ce qu'un enregistrement PTR et pourquoi mes e-mails sont-ils rejetés sans en avoir un ?
Un enregistrement PTR (pointeur) est la résolution DNS inverse de votre IP — la réponse à la question « à quel nom d'hôte correspond cette IP ? ». De nombreux grands fournisseurs de messagerie (Gmail, Microsoft, Yahoo) rejettent les e-mails entrants provenant de serveurs dont le PTR ne correspond pas au nom d'hôte HELO de la conversation SMTP. Le PTR se définit sur l'IP, pas sur votre domaine — sur un VPS, cela signifie demander au fournisseur VPS de définir le PTR de votre IP sur mail.example.com. NordBastion configure les enregistrements PTR sur demande depuis le panel en moins d'une heure.
Combien de temps dure la montée en réputation d'une IP ?
Deux à six semaines de trafic normal pour sortir du compartiment « nouvel expéditeur » chez Gmail et Outlook, plus longtemps si vous envoyez peu fréquemment. Les accélérateurs sont : volume sortant faible et régulier (50–200 messages par jour la première semaine, augmentation progressive), alignement SPF + DKIM + DMARC parfait sur chaque message, zéro entrée DNSBL, engagement des destinataires (ouvertures et réponses). Les obstacles sont : volume massif sortant dès le premier jour, enregistrements d'authentification manquants ou mal alignés, et envoi vers des pièges à spam.
Ai-je besoin d'un VPS dédié pour la messagerie ou puis-je le faire tourner à côté de mes autres services ?
Un VPS dédié est fortement recommandé. Le logiciel de serveur de messagerie (Postfix, Dovecot, Rspamd, ClamAV, la base de données, le webmail) a un profil particulier en RAM et stockage, et la réputation de l'IP est liée au trafic mail spécifiquement — le co-localiser avec un relais de sortie Tor ou un nœud Bitcoin revient à demander que l'IP finisse sur une liste indésirable. Un second VPS à 5,90 $/mois est une assurance bon marché.
Quelle est la charge de maintenance continue ?
Une liste de contrôle mensuelle : vérifiez que l'IP ne figure pas sur les DNSBL Spamhaus / SORBS / Barracuda (5 min — mxtoolbox.com) ; confirmez le renouvellement des certificats Let's Encrypt (1 min) ; analysez les journaux Rspamd / Postfix pour détecter des schémas inhabituels (5 min) ; exécutez le programme de mise à jour Mailcow / MIAB (10 min) ; vérifiez que la dernière sauvegarde se restaure correctement (15 min une fois par trimestre). Total : une heure par mois, avec une heure plus lourde deux fois par an lors des montées de version majeures.
Port 25 ouvert, PTR depuis le panel, sans KYC, paiement en crypto.
Mail-in-a-Box tourne sur Ravelin (2 vCPU, 4 Go, 5,90 $/mois). Mailcow veut Iron (4 vCPU, 8 Go, 24,90 $/mois). Les deux sont livrés avec le port 25 déjà ouvert.
Dernière révision · 2026-05-20 · Références · Documentation upstream Mailcow / Mail-in-a-Box / iRedMail, Gmail Postmaster Tools, RFC 5321 / 6376 / 7489 · Fréquence · annuellement
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Bitwarden-compatible password vault under your own control.
Files, calendar, contacts, photos — owned, not rented.
A meta search engine that does not log you — because you own it.
What “no KYC” actually means — and what it does not.