E-mail · sans KYC
Hébergez Mailcow sur un VPS offshore
Mailcow regroupe une pile mail complète, de qualité production, dans un seul projet Docker Compose, pour vous permettre de faire tourner votre propre serveur SMTP/IMAP sur un VPS offshore sans jamais confier votre identité à un fournisseur de messagerie.
Ce que c'est
Mailcow (mailcow-dockerized) est une suite de messagerie auto-hébergée qui réunit Postfix, Dovecot, Rspamd, le webmail SOGo, ClamAV et une interface d'administration en un seul déploiement Docker Compose. Elle vous offre des domaines, boîtes mail et alias illimités, avec DKIM par domaine, filtrage anti-spam, un véritable IMAP push et un panneau d'administration accessible depuis le navigateur — tout ce que fait une boîte mail hébergée, mais sur du matériel que vous contrôlez.
Pourquoi l'héberger en offshore
Votre boîte mail est la clé maîtresse de tous vos autres comptes : l'endroit où elle vit compte vraiment. Sur un VPS offshore sans KYC, le serveur de messagerie dépend d'une juridiction que vous avez choisie et payée en crypto, pas d'un fournisseur capable de lire, scanner, geler ou faire l'objet d'une réquisition sur votre courrier. ChainVPS laisse le port 25 ouvert, propose une bande passante illimitée pour les envois en masse et vous permet de configurer un enregistrement PTR correspondant — les trois éléments que les hébergeurs low-cost bloquent habituellement, et qui tuent sinon l'auto-hébergement de la messagerie.
Le déploiement
Une configuration de référence fonctionnelle
Copiez ceci sur une nouvelle instance ChainVPS. Remplacez les paramètres, puis lancez-la.
# Ubuntu 24.04 — déploiement Mailcow complet et fonctionnel
# Prérequis : DNS A/AAAA pour mail.example.com -> l'IP de votre VPS, et un
# enregistrement PTR (rDNS) correspondant configuré depuis le panneau ChainVPS.
# 1. Installer Docker Engine + le plugin Compose
curl -fsSL https://get.docker.com | sh
# 2. mailcow nécessite umask 0022
umask 0022
# 3. Cloner le projet
cd /opt
git clone https://github.com/mailcow/mailcow-dockerized
cd mailcow-dockerized
# 4. Générer mailcow.conf (demande le FQDN mail + le fuseau horaire).
# Utilisez un sous-domaine comme mail.example.com — JAMAIS le domaine nu.
./generate_config.sh
# 5. (optionnel) alléger les conteneurs lourds sur un petit VPS
sed -i 's/^SKIP_CLAMD=.*/SKIP_CLAMD=y/' mailcow.conf # économise ~1-2 GB de RAM
sed -i 's/^SKIP_SOLR=.*/SKIP_SOLR=y/' mailcow.conf # désactive la recherche plein texte
# 6. Récupérer les images et démarrer la pile
docker compose pull
docker compose up -d
# 7. Interface admin : https://mail.example.com (identifiants par défaut : admin / moohoo)
# Connectez-vous, CHANGEZ le mot de passe, ajoutez votre domaine, puis copiez
# l'enregistrement DKIM généré dans le DNS avec le SPF et le DMARC.
Pare-feu
Ports à ouvrir
| Port | Protocole | Objectif |
|---|---|---|
| 25 | TCP | SMTP — réception du courrier depuis d'autres serveurs et relais sortant (doit être ouvert dans les deux sens) |
| 587 | TCP | Submission (STARTTLS) — envoi authentifié depuis un client |
| 465 | TCP | SMTPS — envoi authentifié depuis un client via TLS implicite |
| 143 | TCP | IMAP avec STARTTLS |
| 993 | TCP | IMAPS — accès au client mail via TLS implicite |
| 110 | TCP | POP3 avec STARTTLS |
| 995 | TCP | POP3S |
| 4190 | TCP | ManageSieve — filtres de messagerie côté serveur |
| 80 | TCP | HTTP — challenge ACME Let's Encrypt et redirection HTTPS |
| 443 | TCP | HTTPS — webmail SOGo et interface d'administration |
Dimensionnement optimal
De quel forfait vous avez besoin
VPS Small — 2 vCPU / 6 GB RAM / 60 GB
6 GB est le minimum confortable pour la pile complète ; gardez ClamAV activé pour un filtrage anti-spam/antivirus réellement efficace.
VPS Pro — 4 vCPU / 8-12 GB RAM / 160 GB SSD
Marge suffisante pour Rspamd, la recherche plein texte Solr et un IMAP sollicité ; dimensionnez le disque selon la durée de rétention des boîtes mail.
Dedicated / Storage VPS — 8+ vCPU, 16-32 GB RAM, large disk
Déplacez les volumes de mail vers une offre Storage pour une rétention à l'échelle du TB à faible coût ; un CPU dédié évite que ClamAV et Solr ne pénalisent la distribution du courrier.
Meilleurs emplacements : Choisissez un emplacement à confidentialité renforcée (NL, CH, RO, IS, MD, LU) pour que la juridiction de votre boîte mail soit un choix délibéré — la Suisse et l'Islande offrent les normes de confidentialité des données et de protection contre la divulgation les plus strictes pour le courrier stocké. Quel que soit votre choix, vérifiez que le port 25 est ouvert dans les deux sens et configurez un enregistrement PTR (rDNS) correspondant à votre MAILCOW_HOSTNAME ; la bande passante illimitée de ces nœuds rend viable l'envoi en masse et les newsletters, et la protection DDoS incluse maintient le SMTP accessible en cas d'attaque.
Verrouillez-le
Liste de vérification du durcissement
- La délivrabilité, c'est le DNS : publiez un SPF (v=spf1 mx ~all), copiez la clé DKIM générée par Mailcow dans le DNS, ajoutez un enregistrement DMARC, et configurez un PTR/rDNS correspondant exactement à MAILCOW_HOSTNAME — sans DNS direct et inverse concordants, la plupart des serveurs vous rejetteront.
- Changez immédiatement les identifiants par défaut admin/moohoo et activez la double authentification TOTP sur les connexions admin et boîtes mail depuis l'interface Mailcow.
- Mailcow embarque son propre conteneur netfilter/fail2ban qui gère directement iptables — n'ajoutez PAS ufw par-dessus ; si vous utilisez un pare-feu sur l'hôte, mettez uniquement les ports mail en liste blanche et laissez la chaîne DOCKER-USER à Mailcow.
- Gardez-le à jour : lancez ./update.sh depuis le répertoire mailcow-dockerized selon un planning régulier, et effectuez des sauvegardes régulières avec helper-scripts/backup_and_restore.sh (stockez la sauvegarde en dehors du VPS).
- Les nouvelles IP offshore n'ont aucune réputation d'envoi — montez en charge progressivement, vérifiez l'IP sur les listes noires Spamhaus/Barracuda avant la mise en production, et demandez un retrait si la plage a été signalée précédemment.
- Sur les nœuds avec peu de RAM, définissez SKIP_CLAMD=y et SKIP_SOLR=y pour tenir dans ~3-4 GB, mais réactivez ClamAV dès que vous disposez de la RAM nécessaire — cela réduit sensiblement les malwares entrants.
Questions
Hébergement Mailcow — FAQ
ChainVPS bloque-t-il le port 25 comme la plupart des hébergeurs ?
Non. Le port 25 est ouvert en entrée comme en sortie, ce qui permet à Mailcow de recevoir le courrier et de le relayer directement — c'est la principale raison pour laquelle les hébergeurs low-cost/cloud échouent avec l'auto-hébergement de la messagerie.
Puis-je configurer le DNS inverse (PTR) pour une bonne délivrabilité ?
Oui. Configurez depuis le panneau un enregistrement PTR correspondant à votre MAILCOW_HOSTNAME (par exemple mail.example.com). Un DNS direct et inverse concordants est indispensable, sinon les grands fournisseurs différeront ou rejetteront votre courrier.
De combien de RAM Mailcow a-t-il vraiment besoin ?
Prévoyez 6 GB pour la pile complète. Vous pouvez fonctionner avec environ 3-4 GB en définissant SKIP_CLAMD=y et SKIP_SOLR=y dans mailcow.conf, au prix de l'analyse antivirus intégrée et de la recherche plein texte.
Quel emplacement est le meilleur pour une boîte mail privée ?
Un nœud à confidentialité renforcée — la Suisse ou l'Islande pour la meilleure protection contre la divulgation, ou NL/RO/MD/LU si vous recherchez un compromis de latence UE ou offshore. Tous laissent le port 25 ouvert et prennent en charge le PTR.
Mon courrier est-il vraiment privé sur un VPS sans KYC ?
Le serveur est le vôtre : le courrier est stocké sur un disque que vous contrôlez, dans une juridiction que vous avez choisie, payée en crypto sans identité associée. Utilisez le chiffrement intégral du disque et des sauvegardes externalisées ; vous seul (et non un fournisseur de messagerie) pouvez lire les données stockées.
Comment le maintenir à jour et sauvegardé ?
Lancez périodiquement ./update.sh depuis le dossier mailcow-dockerized pour récupérer les nouvelles images, et utilisez helper-scripts/backup_and_restore.sh pour créer un instantané du courrier, de la configuration et de la base de données — envoyez ces sauvegardes vers une offre ChainVPS Storage séparée.
Plus à auto-héberger
Autres stacks en un clic
Déployer Mailcow
dans les 60 prochaines secondes.
Bande passante illimitée · DDoS inclus · 21 cryptomonnaies · sans KYC.