Aller au contenu
Ixonae on Security
  1. Articles/

Pourquoi j'auto-héberge (partiellement) mes emails et n'utilise pas de fournisseur de messagerie E2E

·7 mins
Ixonae
Administration système Vie privée
Ixonae
Auteur
Ixonae
Sommaire

Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.

Au fil des années, j’ai géré mes emails de nombreuses façons différentes : Gmail et consorts, 100 % auto-hébergé, et hébergement tiers avec mes propres noms de domaine (avec des emails standard et des emails “E2E” chiffrés). Récemment, j’ai commencé à utiliser un service tiers pour recevoir et envoyer des emails, et à héberger mon propre serveur IMAP pour les stocker. Dans cet article, j’expliquerai comment j’en suis arrivé à cette solution, pourquoi je pense qu’elle est bonne (du moins pour mon cas d’usage), et je présenterai plusieurs avantages et inconvénients des principales solutions existantes.

La genèse : les fournisseurs de messagerie grand public
#

Comme la plupart des gens, mes premiers comptes email étaient chez des fournisseurs de messagerie grand public. Le tout premier était Yahoo si je me souviens bien. Ensuite, j’en ai obtenu plusieurs autres avec différents services ; tous utilisaient le domaine du fournisseur (c’est-à-dire moi@yahoo.com, …)

Aujourd’hui, je ne recommanderais pas aux gens de faire cela. Utiliser un fournisseur de messagerie et une adresse email qui lui appartient signifie que l’adresse n’est jamais vraiment la vôtre : si le fournisseur décide qu’il ne veut plus s’occuper de vous, il peut fermer arbitrairement votre compte, et vous n’avez aucun recours. Vous perdrez potentiellement tous vos emails (sauf si vous avez des sauvegardes correctes - pour cela je recommande simplement d’utiliser Thunderbird pour garder une copie locale hors ligne de toute votre boîte mail) et passerez un très mauvais moment car vos comptes sont liés à cette adresse email que vous ne pouvez plus consulter.

Un moyen de réduire le risque est d’obtenir votre propre nom de domaine et de l’utiliser pour recevoir des emails (par exemple johnsmith@mondomaine.com plutôt que johnsmith@gmail.com). De cette façon, même si Google décide qu’il ne vous aime pas, vous pouvez rediriger votre domaine vers un autre fournisseur, et conserver la même adresse email. Certes, un nom de domaine ne vous appartient jamais vraiment non plus, vous ne faites que le louer, mais si vous prenez soin du renouvellement correctement, il est très peu probable que vous le perdiez.

Si vous obtenez votre propre nom de domaine, je ne recommanderais toutefois pas d’utiliser Google, Outlook et consorts pour héberger vos emails, car ils ont un historique de lecture de vos emails, et de référencement des liens qu’ils contiennent dans les moteurs de recherche, … Si vous décidez que la vie privée ne vous importe pas, ils fonctionnent cependant très bien.

L’escalade rapide : l’auto-hébergement
#

À un moment donné, j’ai acquis suffisamment de compétences techniques et j’ai décidé que je voulais avoir plus de contrôle sur mes emails, alors j’ai acheté quelques noms de domaine et configuré mon propre serveur de messagerie. Certes, cela a pris un temps considérable à gérer, mais c’était une excellente expérience d’apprentissage, et j’ai découvert les joies d’avoir un domaine catch-all me permettant de facilement créer une adresse email par service. Après quelques années, cependant, j’en ai eu assez de la charge de maintenance et j’ai décidé d’arrêter. Ce que j’ai retenu de cette période :

  • Si vous avez votre propre serveur de messagerie, vous passerez beaucoup de temps à le maintenir, et cela coûtera plus cher qu’utiliser un service tiers
  • Même si vous faites les choses correctement, vous devrez faire face au spam, à vos emails arbitrairement rejetés par les gros services, aux pannes logicielles, …
  • Vous devez soit maintenir et payer pour plusieurs serveurs, soit accepter que si votre serveur plante, cela peut causer divers degrés de désagrément
  • Par défaut, ce n’est pas forcément bon pour la vie privée. Si vous hébergez plusieurs domaines (par exemple un avec votre nom, et un non lié à vous), ils finiront par être associés ensemble sur les moteurs de recherche d’historique de domaines
  • Vous pouvez choisir quels systèmes vous voulez installer et les personnaliser, mais la plupart des logiciels open source auront moins de fonctionnalités que ce que vous pourriez avoir en payant un service tiers
  • Vous avez un contrôle total sur votre boîte mail, et personne d’autre ne peut théoriquement y accéder. (Enfin, votre hébergeur le pourrait théoriquement… et le fournisseur des personnes qui vous envoient des emails…)

Prendre son temps : service d’hébergement de messagerie
#

Un jour, mon serveur de messagerie a subi un crash assez grave la veille de mon départ pour quelques semaines de vacances sans ordinateur, et ce fut la goutte d’eau qui m’a fait penser “OK, c’était sympa et tout, mais utilisons un fournisseur d’hébergement.”

À partir de là, j’ai trouvé un service d’hébergement de messagerie avec une bonne réputation et en qui j’ai confiance pour ne pas envahir ma vie privée, et je l’utilise depuis des années. Par rapport à la maintenance d’un serveur, c’est moins cher, ne prend pas de temps, est plus fiable et plus convivial (en termes de fonctionnalités). Si jamais j’ai besoin d’utiliser un autre fournisseur de messagerie, il me faut littéralement 5 minutes pour modifier mes entrées DNS.

Certes, il y a une certaine perte de vie privée (bien qu’il ne soit désormais plus facile de relier mes multiples noms de domaine ensemble), mais un grand gain de commodité (et c’est quand même bien mieux qu’Outlook ou autre).

Service chiffré E2E
#

Après quelques années, je me suis dit : “Mon fournisseur de messagerie est bien et je n’ai aucune plainte. Mais que se passerait-il s’ils étaient piratés ? J’aurais des années d’emails dans la nature. Essayons d’utiliser un fournisseur qui stocke les emails chiffrés de bout en bout.” J’en ai essayé un pendant un moment (ProtonMail), j’ai encore réfléchi, et je ne suis pas convaincu.

Mon avis sur les fournisseurs de messagerie E2E est :

  • Vous perdrez beaucoup de fonctionnalités par rapport à une boîte mail normale (par exemple un moteur de recherche fonctionnel)
  • Vous paierez beaucoup plus pour moins (par exemple un nombre très limité de noms de domaine que vous pouvez lier à votre compte)
  • La plupart (tous ?) n’ont soit aucun moyen d’importer/exporter des emails avec IMAP (ou pas du tout), soit c’est peu fiable, buggé et/ou peu pratique
  • Si le fournisseur vous vend du “Nous sommes en Suisse donc vous êtes tranquille contre tout espionnage”, je n’y croirais pas
  • Certes, vos emails sont chiffrés, mais ils ne le seront qu’après que votre fournisseur les a reçus et traités. Même alors, le sujet, l’expéditeur et le destinataire ne seront pas chiffrés, ce qui suffit à deviner beaucoup de choses
  • Ils peuvent cependant rendre les conversations chiffrées PGP avec des personnes utilisant le même service que vous plus faciles que de le gérer manuellement

Surtout considérant que je n’utilise généralement pas les emails pour avoir des conversations ou envoyer des choses excessivement sensibles, tous les inconvénients n’ont tout simplement pas de sens pour mon usage face aux quelques avantages.

Serveur IMAP auto-hébergé + service d’hébergement de messagerie
#

Après mon essai peu concluant d’un service de messagerie chiffré E2E, j’ai simplement pensé à une autre solution que j’expérimente actuellement :

  • J’utilise des fournisseurs tiers pour recevoir et envoyer des emails avec mes noms de domaine
  • J’ai un serveur IMAP uniquement avec Dovecot que j’utilise pour stocker et accéder à mes emails
  • Chaque semaine, je transfère mes emails du fournisseur tiers vers mon serveur IMAP (pour certaines boîtes mail que j’utilise uniquement pour recevoir des emails, je les récupère automatiquement avec getmail)

Les bons côtés de cette solution sont que :

  • Je peux facilement accéder à mes emails depuis n’importe lequel de mes appareils (si ce n’était pas ce que je voulais, j’aurais simplement configuré mon client de messagerie en POP3 et tout gardé en local sur un seul appareil)
  • Les fournisseurs de messagerie n’ont qu’un nombre limité de mes emails à un moment donné, ce qui signifie qu’en cas de piratage, d’employé indiscret, ou autre, j’aurais probablement une exposition de données limitée
  • Si j’ai une boîte mail que je ne veux pas relier à moi, c’est très facile de l’ajouter à ma configuration getmail et d’avoir son contenu rapatrié dans ma boîte
  • Une configuration IMAP Dovecot est facile à maintenir et ne nécessite pas énormément de temps. Si le serveur tombe, je n’ai pas besoin de me précipiter pour le réparer car l’impact serait très limité

Sources et crédits
#

Photo de couverture par Krsto Jevtic