Google Apps, gerer ses mails sous Gmail

Blog > Administration serveur dédié

Google Apps est la suite bureautique de Google rassemblant des applications comme Gmail, Google Calendar, Google Docs, Google Reader…

Nous allons ici l’utiliser pour créer des adresses mails pour notre domaine sans avoir à configurer un serveur mail sur notre kimsufi. Nous allons ainsi pouvoir séparer notre serveur mail de notre serveur web tout en profitant de la puissance de Gmail et de ses 7 Go de stockage.

Il existe une version gratuite et une version payante de Google Apps. La version gratuite est limitée à 10 comptes mails par domaine mais c’est un nombre qui peut être suffisant pour la plupart des sites (10 correspond au nombre d’adresses capables d’envoyer des mails. La création d’alias et de groupes permet de disposer de beaucoup plus d’adresses de réception).

Démarrer avec Google Apps

La création du compte Google Apps ne pose pas de difficultés particulières, il suffit de se rendre sur le site de Google Apps et de remplir le formulaire.

Une fois le compte Super administrateur créé, on peut créer d’autres utilisateurs et ajouter des alias en se rendant dans la rubrique Organisation et utilisateurs.

La section Groupes permet de créer simplement des listes de diffusion. Nous allons par exemple pouvoir créer un groupe informatique ayant pour adresse [email protected] et y ajouter les adresses mails des informaticiens gérant le site. Tous les mails envoyés à [email protected] seront dorénavant délivrés à tous les membres du groupe. Les permissions des groupes peuvent être gérées assez finement en jouant avec les niveaux d’accès.

Tout ce fait assez simplement, le seul problème rencontré lors de la création des comptes est l’impossibilité de créer un alias [email protected] Il faut en effet créer un groupe postmaster puis rattacher le compte au groupe.

Configuration de Bind pour l’utilisation de Google Apps

Comme nous l’avons vu dans notre tuto sur la configuration de Bind9, les enregistrements MX gèrent le relais du courrier. Etant donné que nous souhaitons que Google s’en charge, nous allons devoir l’indiquer dans notre fichier de configuration de Bind.

idneo.fr.  3M  IN  MX  1   ASPMX.L.GOOGLE.COM.
idneo.fr.  3M  IN  MX  5   ALT1.ASPMX.L.GOOGLE.COM.
idneo.fr.  3M  IN  MX  5   ALT2.ASPMX.L.GOOGLE.COM.
idneo.fr.  3M  IN  MX  10  ASPMX2.GOOGLEMAIL.COM.
idneo.fr.  3M  IN  MX  10  ASPMX3.GOOGLEMAIL.COM.

Une fois ces lignes changées, on modifie le « Serial » du fichier de configuration, on reload bind et on attend que les modifications se propagent.

On peut suivre la prise en compte des nouveaux paramètres en se rendant dans la section « Procédure de transition » du gestionnaire de domaine de Google Apps.

Personnalisation de Google Apps

Une fois paramétré, il est possible de se connecter à son compte en se rendant sur le site de Gmail. Il est également possible de se rendre sur une page de connexion que Google Apps a créé pour notre domaine.

URL personnalisée pour l’accès à Gmail

Par défaut, cette page se trouve à l’adresse http://mail.google.com/a/mondomaine, ce n’est pas forcement simple à retenir, nous allons donc voir comment la personnaliser. Pour ça, on commence par indiquer à Google Apps l’adresse que l’on souhaite utiliser en allant dans :

Paramètres -> E-Mail -> Modifier l’URL

Pour ma part j’ai choisi comme adresse http://webmail.idneo.fr puis j’ai validé.

Dans un seconde temps, on va créer un enregistrement CNAME afin de rediriger le sous domaine que l’on vient de choisir vers les serveurs de Google. Pour cela, on retourne dans notre fichier de configuration de Bind et on ajoute la ligne suivante :

webmail  IN  CNAME  ghs.google.com.

Il ne reste plus qu’à incrémenter le serial, redémarrer Bind et attendre que la modification soit prise en compte.

Personnalisation de l’interface Gmail

Les deux éléments que nous allons pouvoir personnaliser sont les couleurs de la boite de connexion et le logo Google présent dans Gmail. Pour cela, on se rend dans le gestionnaire de domaine de Google Apps :

Paramètres du domaine -> Apparence

Améliorer la délivrabilité des mails

On ne vas pas rentrer ici dans les détails d’un sujet qui mériterait une article à part entière mais ce qu’il faut savoir c’est que plus de 20% des mails légitimes sont bloqués et n’arriveront pas à destination. Nous allons mettre en place quelques outils pour limiter cela.

Certificat SPF

De base, le protocole SMTP utilisé pour l’envoi de mail n’intègre pas de mécanisme d’identification de l’expéditeur. Il est donc très simple d’envoyer un mail en se faisant passer pour quelqu’un d’autre. Le certificat SPF va diminuer ces risques en déterminant la liste des adresses IPs autorisées à envoyer des mails pour un domaine.

Pour mettre en place ce certificat, il suffit de rajouter l’enregistrement TXT suivant dans le fichier de configuration Bind du domaine.

idneo.fr.  IN  TXT  "v=spf1 include:_spf.google.com ~all"

Authentification DKIM

La protection DKIM pousse un peu plus loin le premier contrôle réalisé précédemment. En effet, si SPF permet de déterminer les adresses IP authorisées, il n’offre aucune protection contre l’IP spoofing. Afin de garantir l’authenticité du serveur expéditeur, DKIM va mettre en place un système de signature des mails. Les mails envoyés seront à présent signés par le serveur lors de l’envoi et seront contrôlés à la réception grâce à la clé publique disponible dans les DNS.

Pour activer DKIM et obtenir notre clé, il faut se rendre dans la section suivante puis générer un nouvel enregistrement.

Applications -> Google Apps -> Gmail -> Authentifier les e-mails.

Une fois la clé générée, il ne reste plus qu’à la rajouter dans notre configuration de Bind.

google._domainkey IN  TXT "v=DKIM1; k=rsa; p=XXXXXXXX"

Une fois la modification prise en compte, il faudra revenir sur Google Apps pour « Lancer l’authentification » pour passer en Authentification des e-mails activée.

DMARC, monitoring de notre mailing

Le dispositif DMARC est le résultat d’un développement mené par quelques-uns des plus gros acteurs du web (Google, Facebook, Microsoft, Yahoo et AOL) afin d’en finir avec le phishing. Il s’appuie sur les deux dispositifs que nous avons vu précédemment et permet de répondre à la seule question qui reste : Que fait-on des mails non-authentifiés ?

En effet, avec DMARC nous allons pouvoir directement indiquer aux FAI le comportement à adopter lors de la réception de mails provenant de notre domaine et ayant un SPF ou un DKIM erroné. Nous allons également pouvoir avoir un retour sur les messages authentifiés et non-authentifiés envoyés depuis notre domaine.

Une fois de plus, la mise en place de ce système va se faire par l’ajout d’un enregistrement TXT. Nous allons ici voir une mise en place simple. Pour plus d’informations, je vous invite à consulter les spécifications de DMARC.

_dmarc.idneo.fr.  TXT  "v=DMARC1;p=none;pct=100;rua=mailto:[email protected];ruf=mailto:[email protected]"

Explications complémentaires

_dmarc.idneo.fr. : Le nom de l’enregistrement doit être _dmarc. suivi par le nom de domaine
v : Indique la version de DMARC utilisée
p : Indique la politique à adopter lorsqu’un message non-authentifié est reçu. Il en existe 3 possibles :

  • none : Le mail est délivré au destinataire
  • quarantine : Le mail est signalé comme suspect et se retrouvera dans les spams
  • reject : Le mail n’est pas délivré au destinataire

pct : Indique le pourcentage de mails envoyés à filtrer
rua : Adresse où le rapport quotidien sera envoyé
ruf : Adresse où les messages d’erreurs détaillés seront envoyés

La configuration que nous avons pour l’instant mise en place est une configuration « de départ » qui va permettre à nos mails d’être reçus même s’ils contiennent des erreurs. Elle évoluera par la suite pour rejeter tous les mails non-authentifiés quand nous seront certains que tous les mails que nous envoyons sont bien autorisés.

Contrôle de SPF et DKIM

Afin de savoir si notre configuration fonctionne bien, on peut simplement envoyer un mail vide à l’adresse [email protected] depuis une des adresses créées. Quelques minutes plus tard, on reçoit un mail contenant les informations suivantes :

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

Tout semble bien fonctionner. Le neutral pour DomainKeys semble provenir d’une erreur de Google mais quoiqu’il en soit ce n’est pas très important car DKIM, la version améliorée de DomainKeys, passe bien.

Envoi de mails par Google Apps depuis le serveur

Nous utilisons à présent Google Apps pour gérer les mails de notre domaine. C’est très bien, mais nous avons besoin de pouvoir également envoyer des mails depuis le serveur, notamment pour des outils de monitoring comme Monit.

Pour rendre cela possible, nous allons installer le serveur de mail Postfix sur notre serveur Ubuntu et lui indiquer d’utiliser Gmail comme relais.

$ apt-get install postfix                           # on installe Postfix
$ vi /etc/postfix/sasl/passwd                       # on crée un fichier de mot de passe
gmail-smtp.l.google.com [email protected]:password   # on indique les informations du compte
smtp.gmail.com [email protected]:password            # puis on enregistre et on quitte (:x)
$ postmap /etc/postfix/sasl/passwd                  # on hache notre fichier de mot de passe
$ rm /etc/postfix/sasl/passwd                       # on supprime le fichier créé

Lors de l’installation de Postfix, on indique qu’il s’agit d’un site internet et on valide le hostname. On va ensuite éditer le fichier de configuration de Postfix /etc/postfix/main.cf et ajouter les lignes suivantes afin mettre en place la liaison avec Gmail.

relayhost = [smtp.gmail.com]:587
relay_transport = relay
relay_destination_concurrency_limit = 1

smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl/passwd
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_connection_cache_destinations = smtp.gmail.com

tls_random_source = dev:/dev/urandom

Une fois ces modifications faites, il n’y a plus qu’à redémarrer Postfix et c’est terminé.

 $ service postfix restart 

On peut facilement tester que tout fonctionne en envoyant un mail en ligne de commande et en contrôlant dans le fichier de log (/var/log/mail.log) qu’il n’y a pas d’erreur.

$ sendmail [email protected]
To: [email protected]
From: [email protected]
Subject: Test du relay Postfix
Controle de fonctionnement de Postfix
.

Conclusion

Nous voila arrivé à la fin de cet article sur la mise en place de Google Apps pour un domaine. N’hésitez pas à poser des questions ou me faire part de vos remarques si certaines choses ne vous semblent pas claires.

Configuration d’un serveur dédié de A à Z


Inscrivez-vous à notre Newsletter

Recevez nos meilleurs articles et accédez au contenu exclussif reservé aux abonnés.

Cet article vous est proposé par IDNEO.

Notre agence de communication est spécialisée dans la création de sites Internet, le référencement, le graphisme et la photographie.

avatar