By Boris Mallach

Guide Ultime de Délivrabilité pour Stalwart Mail

Guide Ultime de Délivrabilité pour Stalwart Mail
Photo by Shutter Speed / Unsplash

Ce guide récapitule les actions pour transformer un serveur mail auto-hébergé en un expéditeur de confiance auprès de Gmail, Microsoft et consorts.

La Signature DKIM (Le Passeport)

Action : Configurer une signature DKIM propre (RSA 2048 ou Ed25519) sans tags superflus.

  • Pourquoi : C'est la preuve que le contenu du mail n'a pas été altéré. Si la clé est mal publiée dans le DNS (ex: tag h=sha256 mal supporté sur Ed25519), le destinataire considérera la signature comme invalide.
  • Détail technique : Un enregistrement DNS minimaliste est souvent plus efficace : v=DKIM1; k=ed25519; p=[VOTRE_CLÉ].

L'Identité SMTP (Le "Qui suis-je ?")

Action : Forcer le serveur (dans Stalwart/Postfix) à utiliser son Nom de Domaine (FQDN) et son IP Publique dans les échanges EHLO/HELO.

  • Pourquoi : Par défaut, un serveur en conteneur (Docker) peut se présenter avec une IP privée (ex: 172.17.x.x). Les antispams voient cela comme une erreur de configuration ou un signe de serveur infecté.
  • Détail technique : L'identité annoncée par le serveur doit correspondre exactement à l'enregistrement DNS de type A du serveur de mail.

Le Reverse DNS / PTR (La Preuve de Propriété)

Action : Configurer le "Reverse DNS" de l'adresse IP chez l'hébergeur (OVH, AWS, etc.) pour qu'il pointe vers le nom du serveur mail.

  • Pourquoi : C'est la vérification d'identité la plus stricte. Si l'IP 1.2.3.4 prétend être mail.domaine.com, le destinataire vérifie si 1.2.3.4 appartient bien à mail.domaine.com.
  • Détail technique : Si le reverse reste celui par défaut de l'hébergeur (ex: vps-123.ovh.net), Microsoft bloquera le mail.

Les Programmes Postmaster (La Diplomatie)

Action : S'inscrire aux outils de monitoring des gros fournisseurs.

  • Google Postmaster Tools : Permet de suivre la réputation du domaine et le taux de signalement en spam.
  • Microsoft SNDS & JMRP : Permet de voir si l'IP est blacklistée chez Outlook/Hotmail.
  • Pourquoi : Cela signale aux fournisseurs que vous êtes un administrateur responsable. L'utilisation de l'alias postmaster@votre-domaine.com est ici indispensable pour valider ces accès.

Sécurité Avancée : MTA-STS et TLS (Le Label Qualité)

Action : Publier une politique MTA-STS (via HTTPS et DNS) et configurer les rapports TLS-RPT.

  • Pourquoi : Cela indique que votre serveur exige le chiffrement TLS pour recevoir des mails. Les algorithmes de Google favorisent les domaines qui adoptent ces standards de sécurité modernes.
  • Détail technique : Nécessite un certificat SSL valide (Let's Encrypt) sur le sous-domaine mta-sts.votre-domaine.com.

La Phase de "Warm-up" (L'Apprentissage)

Action : Envoyer des mails de manière progressive et générer de l'engagement positif.

  • Pourquoi : Un nouveau serveur n'a pas d'historique. Les premiers mails sont souvent envoyés en SPAM par précaution.
  • La méthode :
    1. Envoyer des mails réels (pas juste "test") à des proches.
    2. Leur demander de marquer le mail comme "Non Spam" et d'y répondre.
    3. L'interaction humaine est le signal de réputation le plus puissant pour les filtres IA.

Checklist des Outils de Test

Avant chaque campagne ou après une modification, validez votre score sur :

  1. Mail-Tester.com : Pour vérifier la note globale (viser 10/10).
  2. MXToolbox Blacklist : Pour vérifier que l'IP n'est pas listée sur des listes noires mondiales (RBL).
  3. Aboutmy.email : Pour une analyse technique ultra-détaillée de la structure de vos mails.
  4. CheckTLS : Vérifie que votre serveur chiffre bien les emails en transit (indispensable pour le MTA-STS).
  5. Spamhaus IP Lookup :La base de données de référence. Si vous êtes ici, aucun mail ne passera chez les gros fournisseurs.

Ce récapitulatif combine les réglages techniques (DNS/Serveur) et la stratégie de réputation (Engagement/Postmaster).

Previous

Installer Open WebUI et Gemma4 sur Windows

 Next

Sortir de "l'Enfer des IP" Docker