Bonjour,
Oui commence par mettre en place ce que tu indiques et autres :
- un vrai certificat avec Let'sEncrypt c'est mieux;
- activer submission (TLS explicite) et smtps (TLS explicite) ;
- empêcher l'authentification SASL en clair ;
- blinder la configuration TLS en désactivant les protocoles obsolètes (SSL, TLS v1.0, etc.)
- mettre en place les contrôles et restrictions d‘accès sur le client
smtpd_client_restrictions,
smtpd_helo_restrictions ; l‘expéditeur
smtpd_sender_restrictions ; le destinataire
smtpd_relay_restrictions et
smtpd_recipient_restrictions, etc.
- mettre en place du filtrage préventif contre les zombie/spammeur connus avec postscreen ;
- mettre en place SPF, DKIM et DMARC ;
- avoir une politique de mots de passe rigoureuse ;
- mettre en place une solution de type fail2ban pour limiter les attaques par force brute sur les comptes utilisateurs ;
- et sûrement plein d'autres choses que j'oublie.
Et désactive les protocoles qui laissent transiter les données en clair (y compris les mots de passe) : IMAP et POP.
Mettre en place un serveur de courriel complet (MTA+MDA) est un travail long et complexe qui ne peut pas se faire sans se baser sur les documentations officielles de
Postfix et
Dovecot.
Une fois que tu auras tout configuré et que tu passeras les tests de divers outils comme mail-tester ou mxtoolbox, il te faudra encore ajuster des choses pour que tes courriels passent correctement vers les acteurs monopolistiques du marché comme gmail et outlook.
