Composition : la mascotte ours polaire de NordBastion en armure nordique tactique se tient à côté d'un coffre postal en laiton lumineux, des sigles d'enveloppes scellées orbitent autour comme des papillons lumineux, une plaque en laiton « port 25 ouvert » sur la porte du coffre, aurore au-dessus d'une nuit de fjord
Cas d'usage · Serveur mail · Mis à jour 2026

Votre boîte de réception.
Sur le port 25. Ouvert par défaut. Sans KYC.

Mailcow sur un Garrison à $11.90/mo, port 25 ouvert dès la première minute — pas de ticket, pas d'AUP signé. L'un des rares hébergeurs sans KYC où vous pouvez réellement envoyer du mail au lieu de simplement en recevoir.

Choisissez le bon palier Passer à la recette Mailcow
En résumé
  • 01

    Garrison à $11.90/mo porte Mailcow confortablement pour une boîte personnelle ou familiale ; Ravelin à $23.90/mo pour une stack production de petite équipe avec rspamd, ClamAV et Sogo.

  • 02

    Port 25 ouvert par défaut à chaque palier — la plupart des hébergeurs sans KYC le bloquent. PTR/rDNS configuré via un ticket panneau ; le reste, c'est SPF + DKIM + DMARC + MTA-STS.

  • 03

    Plages d'IP d'expéditeur nordiques, bien respectées par Gmail/Outlook365 — pas d'historique partagé avec les plages « cheap US VPS ». Inscription sans KYC pour que la boîte ne soit pas une trace écrite à votre nom.

Pourquoi s'en donner la peine

Pourquoi auto-héberger le serveur mail tout court.

L'e-mail est le plus ancien identifiant universel d'internet. L'adresse que vous avez utilisée pour vous inscrire à votre banque, à votre administration fiscale, à votre bureau d'enregistrement de domaine, à votre gestionnaire de mots de passe — cette adresse est la surface de récupération de tout le reste. Confier cette surface à un fournisseur de boîte tiers, c'est lui confier les clés de la surface de récupération de tout le reste.

Auto-héberger l'e-mail était autrefois le défaut ; c'est devenu l'exception quand la course aux armements anti-spam a rendu la délivrabilité réellement difficile, et que les grands fournisseurs gratuits ont fait de l'hébergement de boîte un produit d'appel pour des produits adjacents. Le résultat, c'est la concentration : une poignée de fournisseurs gère la majorité du mail personnel circulant sur l'internet public. Cette concentration est un point unique de défaillance politique pour tout le monde en aval.

L'histoire opérationnelle est plus traitable que sa réputation ne le suggère. Mailcow vous donne une stack docker-compose qui inclut tout (Postfix, Dovecot, rspamd, ClamAV, webmail Sogo, Z-Push) ; les parties difficiles de la délivrabilité (SPF, DKIM, DMARC, MTA-STS, PTR) sont bien documentées ; le warm-up de réputation IP est un processus connu mesuré en semaines plutôt qu'en mois. La partie difficile est la patience pendant les semaines 1 à 4, pas le logiciel.

La bonne question n'est pas « auto-héberger ou hébergé » dans l'abstrait — c'est « est-ce que je veux mon identifiant de surface de récupération ancré à un domaine et une machine que je contrôle ». Si la réponse est oui, le reste de cette page est la recette.

Dimensionnement

Le bon palier NordBastion pour le job.

Pour une boîte personnelle ou de taille familiale (un à dix comptes, volume d'envoi modeste, quelques centaines de messages par jour en entrée), le Garrison ($11.90/mo, 4 vCPU, 8 GB, 240 GB NVMe) est le point d'équilibre. Le jeu de conteneurs de Mailcow — Postfix, Dovecot, rspamd, ClamAV, Sogo, Redis, MariaDB — tient confortablement ; le disque retient des années d'archives mail même avec les pièces jointes ; les cœurs laissent rspamd faire tourner son classifieur d'apprentissage machine sans lag.

Pour une configuration production de petite équipe (20 à 100 comptes, vrai volume sortant, Sogo comme webmail principal, sync calendrier côté serveur), le Ravelin ($23.90/mo, 8 vCPU, 16 GB, 480 GB NVMe) gagne sa place — plus de marge de workers rspamd pour la charge de spam entrant, plus de connexions Dovecot pour la foule IMAP IDLE, et le stockage pour retenir le mail au-delà de la fenêtre « j'en ai besoin ».

Sentinel ($5.90/mo, 2 vCPU, 4 GB) peut faire tourner une stack plus légère — Mail-in-a-Box ou un Postfix + Dovecot artisanal — pour une configuration boîte unique, mais Mailcow sur un Sentinel se sent à l'étroit sous toute charge significative de spam entrant. La recommandation honnête est de commencer sur un Garrison et d'y rester.

Ce qu'aucune de ces options n'est : une offre mail managé multi-locataire pour clients payants. NordBastion héberge la machine ; l'histoire de la délivrabilité, l'histoire de la gestion d'abus, et l'AUP pour vos utilisateurs sont votre domaine.

Mise en place

Du VPS fraîchement provisionné à la première livraison en boîte. Six étapes, plus 2 à 4 semaines de warm-up.

Un croquis squelette — la doc upstream de Mailcow couvre chaque conteneur ; la discipline opérationnelle ci-dessous est ce qui sépare « délivre chez Gmail » de « vit en permanence dans les spams ».

  1. 01

    Ouvrez d'abord un ticket PTR

    Avant toute installation : ouvrez un ticket pour le PTR souhaité (par exemple mail.example.org) pour l'IP du VPS. Sans PTR correct, la délivrabilité est morte à l'arrivée.

    # depuis le panneau NordBastion :# Tickets > New > "Set PTR"
# IP <your IPv4> -> mail.example.org
  2. 02

    Installer Docker + cloner Mailcow

    Mailcow livre le docker-compose.yml canonique. Exécutez generate_config.sh, donnez-lui le FQDN, acceptez les valeurs par défaut.

    curl -fsSL get.docker.com | sh
git clone https://github.com/mailcow/mailcow-dockerized
cd mailcow-dockerized
./generate_config.sh
  3. 03

    Configurer SPF + DKIM + DMARC + MTA-STS

    Les quatre enregistrements DNS, tous au vert, dès le premier jour. Mailcow génère la paire de clés DKIM ; vous publiez l'enregistrement DNS correspondant chez votre bureau d'enregistrement.

    ; chez votre bureau d'enregistrement DNS@      IN TXT "v=spf1 mx -all"
_dmarc IN TXT "v=DMARC1; p=quarantine; ..."
dkim._domainkey IN TXT "v=DKIM1; k=rsa; p=..."
  4. 04

    Démarrer Mailcow

    Postfix, Dovecot, rspamd, ClamAV, Sogo, Redis, MariaDB — la stack complète en un seul compose. Surveillez les logs pour la première connexion entrante d'un expéditeur distant.

    docker compose pull
docker compose up -d
docker compose logs -f postfix-mailcow
  5. 05

    Valider avec mail-tester

    mail-tester.com donne un score de délivrabilité sur 10. Visez 10/10 avant d'envoyer du vrai mail. Tout score inférieur à 8 signifie que SPF/DKIM/PTR est mal configuré.

    # envoyez un test depuis le webmail sogo vers :# the address mail-tester.com gives you
# puis vérifiez le score
  6. 06

    Réchauffez l'IP, doucement

    Commencez avec un faible volume (quelques messages par jour vers des destinataires engagés). Montez en charge sur 2 à 4 semaines. Évitez les newsletters en envoi de masse depuis une IP neuve — c'est le moyen le plus sûr d'atterrir sur une blocklist.

    # semaine 1 : ~10 msg/jour à des amis# semaine 2 : ~50 msg/jour, surveillez rspamd-history# semaine 4 : volume d'usage personnel normal
Pourquoi cet hébergeur pour ce job

Pourquoi NordBastion spécifiquement pour un serveur mail.

Port 25 ouvert

Le critère décisif que la plupart des hébergeurs cachent.

Le port 25 sortant est ouvert par défaut sur chaque palier NordBastion — pas de ticket, pas d'AUP signé, pas de vérification KYC d'une identité d'entreprise, pas de « attendre 7 jours pour revue ». C'est la seule décision technique qui sépare « peut auto-héberger du mail » de « ne peut auto-héberger que du mail en réception seule ». La plupart des hébergeurs sans KYC ont fermé le port 25 pour éviter les plaintes spam ; nous l'ouvrons parce que l'auto-hébergement de mail est exactement le cas d'usage pour lequel notre plateforme existe.

Sans KYC

Votre boîte de réception n'est pas une trace écrite.

Votre adresse e-mail est la surface de récupération de tout ce que vous utilisez d'autre en ligne. L'héberger sur une machine payée par votre carte bancaire signifie qu'une assignation à l'émetteur de carte révèle la relation entre « la personne qui paie la facture AWS » et « l'e-mail de récupération de ces comptes ». L'inscription sans KYC + facturation crypto rompt ce lien : le compte d'hébergement est « le solde prépayé derrière cet e-mail », et l'e-mail ne regarde que vous.

Réputation IP nordique

Mieux respectée que les plages « cheap US VPS ».

La réputation d'IP d'expéditeur est en partie individuelle, en partie héritée de l'ASN et de l'historique du bloc IP. Les plages nordiques d'hébergeurs établis portent une réputation historique plus propre que l'espace d'adresses « VPS US à $2/mo » dans lequel les mass-mailers font tourner les IP. Gmail et Outlook365 pondèrent la réputation d'ASN dans leur scoring entrant, et le peering nordique — Stockholm, Helsinki, Oslo, Reykjavík — se situe dans une classe avec un avantage de délivrabilité mesurable pendant la fenêtre de warm-up.

Verdict

Faites tourner Mailcow sur un Garrison. Ouvrez le ticket PTR. Configurez les quatre enregistrements DNS. Réchauffez doucement.

Auto-héberger l'e-mail est la plus grande souveraineté par dollar qu'un utilisateur personnel puisse acheter en 2026. Pour environ le prix d'un service de boîte payant vous obtenez la stack complète Postfix/Dovecot/rspamd sur une machine où l'adresse est ancrée à un domaine que vous contrôlez et où le stockage est à vous, à sauvegarder comme vous l'entendez.

NordBastion est tranché sur les parties qui comptent pour ce job précis — port 25 ouvert par défaut, PTR configuré par ticket sans friction, inscription sans KYC pour que la boîte ne soit pas une trace écrite à votre nom, plages d'IP nordiques avec une réputation héritée plus propre — et délibérément ordinaire pour le reste. Le VPS est un VPS. Docker est Docker. Mailcow est Mailcow.

La partie difficile, c'est la patience pendant la fenêtre de warm-up. Le logiciel est résolu. Le DNS est résolu. L'infrastructure est ouverte par défaut ici. Ce qui reste, c'est la discipline d'envois à faible volume et bien authentifiés pendant que Gmail apprend à vous faire confiance. Deux à quatre semaines. Ensuite, ce n'est plus que de l'e-mail.

FAQ · Serveur mail sur un VPS

Les questions qui se posent en premier.

Les huit questions sur lesquelles les auto-hébergeurs de serveur mail luttent réellement avant docker compose up. La politique port 25 est la question un pour une raison.

Pourquoi la plupart des hébergeurs VPS bloquent-ils le port 25 ?

Le port 25 sortant est le vecteur d'attaque historique des botnets qui relayent du spam. Les hyperscalers (AWS, GCP, Azure) et la plupart des hébergeurs VPS le ferment par défaut et soit refusent purement et simplement de l'ouvrir, soit exigent au préalable un AUP signé et un compte entreprise vérifié KYC. La combinaison « nous vous vendrons un VPS mais vous ne pourrez pas envoyer de mail depuis lui » est devenue la norme non écrite de l'industrie, raison pour laquelle « quelle est votre politique port 25 » est la première question que tout futur auto-hébergeur de serveur mail pose. NordBastion ouvre le port 25 par défaut à chaque palier — aucun ticket requis.

Qu'est-ce que le warm-up de réputation IP et combien de temps prend-il ?

Une IP de VPS fraîchement allouée n'a aucune réputation d'expéditeur auprès des grands fournisseurs de boîtes (Gmail, Outlook365, Yahoo). Les premiers milliers de messages qu'elle envoie sont traités comme coupables-jusqu'à-preuve-du-contraire — acceptés à titre provisoire avec un score de confiance bas, la délivrabilité oscillant entre boîte de réception et spam. La réputation se construit sur 2 à 4 semaines d'envois cohérents, à faible volume, bien authentifiés. Les accélérateurs sont : SPF + DKIM + DMARC + MTA-STS tous au vert à chaque message ; PTR/rDNS correspondant au HELO ; domaine FROM cohérent ; signaux d'engagement (des gens qui ouvrent réellement votre mail, pas juste qui le reçoivent).

NordBastion configure-t-il les enregistrements reverse DNS / PTR ?

Oui — ouvrez un ticket depuis votre panneau avec le PTR souhaité et nous le configurons sur le bloc IP upstream. La convention est que le PTR de l'IP corresponde au hostname HELO/EHLO du serveur mail (mail.example.org). Sans PTR correct, Gmail et Outlook365 pénalisent tous deux lourdement l'expéditeur — c'est donc l'une des premières choses à régler, idéalement avant le premier message sortant. Le délai du ticket est généralement de quelques heures.

Mailcow vs Mail-in-a-Box vs iRedMail — lequel ?

Mailcow est l'option moderne docker-compose-native — activement développée, riche en interface web, livrée avec rspamd, ClamAV, le webmail Sogo et Z-Push out of the box. Mail-in-a-Box est l'option « tout sur une seule machine, opinionée, config minimale » — idéale pour une boîte personnelle + quelques alias. iRedMail est l'option classique de style LAMP — configuration granulaire, compatibilité plus large avec les boutiques non-Docker. Pour la plupart des nouveaux auto-hébergeurs en 2026, la réponse est Mailcow sur un Garrison ; tout ce qui suit suppose ce chemin.

Puis-je livrer chez Gmail et Outlook365 de manière fiable ?

Oui — mais seulement avec une hygiène d'authentification complète (SPF + DKIM + DMARC + MTA-STS), un PTR correct, un motif d'envoi propre, et de la patience pendant le warm-up. Gmail en particulier pondère lourdement l'engagement — des gens qui ne suppriment pas votre mail, qui y répondent, qui le marquent comme non-spam — et un expéditeur tout neuf sur un domaine tout neuf met des semaines à sortir du purgatoire « promotionnel ». Les opérateurs auto-hébergés rapportent une délivrabilité stable vers les deux boîtes en 4 à 8 semaines d'exploitation cohérente ; le chemin demande de la discipline, pas de la magie.

Ai-je besoin d'un MX de secours ?

Moins que vous ne le pensez. Les expéditeurs modernes (Gmail, Outlook365, etc.) réessaient en cas d'échec de connexion pendant plusieurs jours, donc un MX primaire down pendant une heure de reboot est invisible pour tout le monde. Les serveurs MX de secours existent surtout pour gérer le cas rare des pannes pluri-journalières, et ce sont eux-mêmes des aimants à spam (les spambots ciblent spécifiquement les MX de secours qui sont plus faibles que le primaire). Si la disponibilité compte, le bon coup est monitoring + plan de restauration rapide, pas un MX de secours que vous maintenez mal.

Filtrage Sieve, push vers mobile — la stack le fait-elle ?

Mailcow livre Sogo pour le webmail et CalDAV/CardDAV, dovecot-sieve pour le filtrage côté serveur (la manière canonique de trier le mail au moment de la livraison, fonctionne avec n'importe quel client IMAP), et supporte Z-Push pour Exchange ActiveSync — ce qui donne à iOS Mail des notifications push natives sans monter un backend push-IMAP séparé. Pour Android, les clients FairEmail et K-9 Mail fonctionnent nativement avec IMAP IDLE pour un push quasi temps réel. La stack couvre les attentes mobile-mail modernes.

Et rspamd vs SpamAssassin ?

Mailcow livre rspamd par défaut et c'est le bon défaut moderne — écrit en C, scriptable en Lua, augmenté par apprentissage machine, plus rapide et plus économe en mémoire que SpamAssassin pour le même taux de faux positifs. SpamAssassin reste la lingua franca des stacks mail legacy et c'est ce que iRedMail prend par défaut ; ça fonctionne, mais vous passerez plus de temps à régler les règles. Faites tourner rspamd sauf si une contrainte d'intégration impose SpamAssassin.

Lecture suivante

Autres cas d'usage qui partagent le même uplink nordique.

Cas d'usage

Instance Mastodon

Microblogging fédéré — le voisin naturel d'un serveur mail qui gère aussi les confirmations d'inscription et la délivrabilité des réinitialisations de mot de passe.
Cas d'usage

Homeserver Matrix

Synapse chiffré de bout en bout — le geste de souveraineté frère pour les opérateurs qui font tourner leur propre surface de messagerie à côté de leur boîte.
Cas d'usage

Serveur VPN WireGuard

Sortie VPN à vitesse kernel sur un Sentinel — pour accéder à l'UI d'admin de votre serveur mail via votre propre tunnel plutôt que l'internet public.
Voir le hub complet des cas d'usage