📍 Article principal : Mailcow vs Mailu vs Stalwart pour PME. Ce tutoriel sécurise un serveur Mailcow contre le spam entrant, le phishing, le brute-force et les compromissions de comptes.
Un serveur email exposé sur Internet est en permanence sous pression. Les bots tentent en continu des bruteforce SMTP et IMAP, les campagnes de phishing essaient d’usurper des identités internes, les comptes compromis sont utilisés en relais pour spammer le monde entier. Sans sécurisation rigoureuse, une PME se retrouve en quelques semaines avec des comptes piratés, des courriels rejetés, et une réputation IP effondrée. Ce tutoriel pose les six couches de défense indispensables pour un Mailcow en production.
Prérequis
- Serveur Mailcow déjà déployé et opérationnel (voir tutoriel installation)
- SPF/DKIM/DMARC configurés (voir tutoriel délivrabilité)
- Accès root SSH au VPS
- Niveau : avancé
- Temps estimé : 4 à 6 heures
Étape 1 — Tuner Rspamd pour le contexte de la PME
Rspamd est l’antispam intégré à Mailcow, un des meilleurs au monde mais demande tuning pour la PME ouest-africaine. Les paramètres par défaut sont calibrés pour des environnements généralistes — les courriels en français avec tournures locales peuvent générer des faux positifs si on ne configure pas correctement. Accéder à l’interface Rspamd via Mailcow → Configuration → Outils → Rspamd, observer le tableau de bord temps réel des courriels traités, leurs scores et symboles déclenchés.
Trois ajustements clés. Premier : ajuster les seuils de spam. Le seuil par défaut de 6 (action add header) à 15 (action reject) convient à la majorité — descendre à 5/12 pour une PME qui veut une protection plus agressive. Deuxième : activer l’apprentissage bayésien automatique pour que Rspamd apprenne du trafic spécifique à la PME. Chaque utilisateur peut ainsi marquer des courriels comme spam ou non-spam, ces signaux alimentent automatiquement le modèle.
Troisième : configurer les listes blanches pour les partenaires commerciaux et services internes. Si la PME utilise Brevo pour ses newsletters, ajouter brevo.com à la whitelist Rspamd évite que les emails internes arrivent en spam. Pour les domaines de clients institutionnels (DGI, BCEAO, CDP), même whitelist ciblée pour garantir 100 % de réception.
Étape 2 — Fail2ban contre le brute-force
Mailcow inclut Fail2ban configuré par défaut sur SMTP, IMAP et le webmail SOGo. Vérifier dans Configuration → Outils → Fail2ban que toutes les jails sont actives. Les valeurs par défaut tiennent — 5 tentatives échouées en 10 minutes entraînent un bannissement de 24 heures. Pour une protection plus agressive contre les botnets persistants, monter à 3 tentatives et bannir 7 jours.
Activer aussi le bannissement géographique pour les régions sans clients ou collaborateurs. Si la PME opère uniquement en Afrique de l’Ouest, bloquer les IPs en provenance de pays connus pour héberger massivement des bots (Russie, Vietnam, Brésil). Cette restriction se configure via geoip-bin et un script Fail2ban custom — gain immédiat de 50 à 80 % sur le bruit Fail2ban.
Surveiller régulièrement les IPs bannies via le tableau de bord Mailcow. Une croissance brutale du nombre de bans peut signaler une attaque ciblée — investiguer en priorité quelles techniques d’authentification sont visées et renforcer en conséquence (par exemple, désactiver IMAP ancien si seul webmail est utilisé).
Étape 3 — Politique de mots de passe et 2FA
Le maillon faible reste l’humain — mots de passe faibles, réutilisés, partagés sur des notes Post-it. Configurer une politique de mots de passe stricte dans Mailcow : longueur minimum 14 caractères, complexité (majuscules, minuscules, chiffres, symboles), interdiction des mots de passe les plus communs (top 10000 leakés). Cette politique se configure via les paramètres Mailcow et s’applique à toute création ou modification de mot de passe.
Activer la 2FA SOGo pour tous les comptes sensibles — direction, finance, RH, IT. SOGo supporte TOTP via les applications standards (Aegis, Authy, Google Authenticator). Pour les comptes ultra-sensibles, considérer une clé YubiKey en U2F. Le coût d’une YubiKey 5 NFC tourne autour de 50 USD — investissement minime pour une protection radicale contre le phishing puisque la clé physique ne peut pas être volée à distance.
Pour les utilisateurs IMAP qui ne supportent pas 2FA dans leur client de messagerie, créer un mot de passe d’application dédié dans SOGo — différent du mot de passe principal, révocable individuellement. Cette pratique limite radicalement l’impact d’une compromission : si le mot de passe IMAP fuite, on le révoque sans toucher au mot de passe principal de l’utilisateur.
Étape 4 — Détection de phishing et anti-spoofing interne
Le phishing interne — un attaquant qui usurpe l’identité du PDG pour demander un virement urgent — fait des ravages dans les PME ouest-africaines. La protection passe par trois mesures. Premier : configurer Rspamd pour ajouter un avertissement visuel dans tous les courriels venant de l’extérieur — bannière « EXTERNAL » en tête de message. Cette signalisation simple casse l’illusion d’un email interne pour le destinataire pressé.
Deuxième : activer la détection des sosies de domaine. Les attaquants utilisent souvent des domaines proches (masocìete.sn, ma-societe.sn, masocie7e.sn) pour tromper visuellement. Rspamd peut être configuré avec un module de détection de homoglyphes qui alerte ou bloque automatiquement ces tentatives. Troisième : former les utilisateurs à signaler tout courriel suspect — bouton dédié dans SOGo qui transmet à l’équipe IT pour analyse, mise à jour des règles antispam basée sur les retours.
Étape 5 — Limites de débit anti-relais spam
Si un compte SMTP est compromis, l’attaquant l’utilise immédiatement pour envoyer du spam massif. Sans limites de débit, le compte génère 10 000 courriels par heure et la réputation IP s’effondre en quelques minutes. Mailcow propose des limites par compte : nombre maximum de courriels par heure, par jour, par destinataire unique. Une PME standard configure 100 courriels/heure et 500 courriels/jour par compte — largement suffisant pour un usage légitime, suffisamment serré pour limiter les dégâts d’une compromission.
Pour les comptes applicatifs qui envoient massivement (notifications, newsletters), prévoir un compte dédié avec des limites adaptées et une surveillance renforcée. Activer aussi les alertes automatiques : Mailcow peut notifier l’admin par webhook ou email externe dès qu’un compte dépasse 80 % de sa limite — temps de réagir avant le pic complet et de bloquer la fuite.
Étape 6 — Audit régulier et incident response
La sécurité passive ne suffit pas. Mettre en place un audit mensuel qui vérifie cinq dimensions. Premier : comptes inactifs depuis plus de 90 jours, à désactiver ou supprimer. Deuxième : tentatives de connexion suspectes via les logs Fail2ban, identifier les patterns d’attaque. Troisième : usage anormal de bande passante par compte (signe d’une compromission). Quatrième : vérification que les mises à jour Mailcow sont appliquées. Cinquième : revue des règles Rspamd pour ajuster les faux positifs et faux négatifs accumulés.
Préparer aussi un runbook d’incident response. Si un compte est confirmé compromis : changer immédiatement le mot de passe, révoquer toutes les sessions actives, examiner les courriels envoyés depuis le compte sur 7 jours, notifier les destinataires si nécessaire, vérifier l’absence de règles de transfert automatique malicieuses (technique classique pour exfiltrer les courriels), restaurer la sauvegarde du compte si modifié. Ce runbook documenté permet de réagir en 30 minutes au lieu de plusieurs heures dans la panique.
Cas concret : arnaque au virement urgent
Pour ancrer dans un cas réel, voici un scénario rencontré dans une PME ivoirienne. La comptable reçoit un email d’apparence interne du PDG demandant un virement urgent de 15 millions XOF vers un compte bancaire hors zone UEMOA, justifié par une opportunité commerciale confidentielle. L’email semble venir de l’adresse du PDG, le ton est urgent, le contexte plausible. La comptable s’apprête à valider le virement quand un détail attire son attention : la bannière « EXTERNAL » en tête de message, contradictoire avec un email interne supposé du PDG.
L’examen du Reply-To révèle une adresse différente, et le domaine d’envoi est masocìete.sn (avec un i accentué) au lieu de masociete.sn. Phishing évident bloqué grâce à la combinaison : bannière EXTERNAL, formation utilisateur sensibilisée à vérifier les détails. La PME a évité une perte significative grâce à des protections techniques simples couplées à une vigilance humaine entretenue. Cet incident a renforcé la motivation interne pour la formation continue et a justifié l’investissement initial dans la sécurisation Mailcow.
Intégration SOC pour les PME plus matures
Pour les PME qui veulent monter en maturité sécuritaire, intégrer les logs Mailcow dans un SIEM léger comme Wazuh ou Graylog. Ces outils auto-hébergés agrègent les événements (échecs auth, courriels suspects, transferts inhabituels) et déclenchent des alertes sur des règles corrélées. Une tentative de bruteforce sur 50 comptes dans la même heure est probablement une attaque coordonnée — alerte immédiate qui permet à l’équipe IT d’investiguer et de bloquer la source.
L’investissement initial pour cette intégration tient en deux à trois jours de travail d’un consultant sécurité. Le bénéfice opérationnel se mesure dans la durée — détection précoce des incidents, traçabilité forensique en cas d’enquête, démonstration de maturité face aux clients institutionnels qui exigent des engagements de sécurité contractuels.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Faux positifs Rspamd massifs | Seuils trop bas ou whitelist absente | Ajuster scores, ajouter partenaires fiables en whitelist |
| Compte compromis utilisé en relais | Pas de rate limit configuré | Activer limites par compte, alertes automatiques |
| Phishing interne réussi | Bannière EXTERNAL absente | Configurer Rspamd pour ajouter avertissement automatique |
| 2FA pas activée sur comptes sensibles | Politique non imposée | Forcer 2FA pour direction/finance/RH/IT |
Adaptation au contexte ouest-africain
Les PME ouest-africaines subissent particulièrement les attaques de phishing en français qui usurpent l’autorité (DGI, ARTCI, banques) et les arnaques de virement urgent. La sensibilisation des équipes devient critique : organiser deux à trois sessions de formation par an, simuler des campagnes de phishing en interne pour mesurer la maturité (services comme PhishER ou GoPhish auto-hébergé). Cette formation continue rapporte plus que toutes les solutions techniques additionnées car elle agit sur le maillon humain qui reste le vrai point d’entrée des attaquants sophistiqués.
Conformité réglementaire
La sécurité email a aussi une dimension réglementaire. Au Sénégal, la loi 2008-12 et la CDP exigent des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contenues dans les courriels professionnels. En Côte d’Ivoire, la loi 2013-450 et l’ARTCI imposent des obligations similaires. Documenter formellement les mesures de sécurité Mailcow déployées (politique mots de passe, 2FA, chiffrement TLS, audit mensuel, plan d’incident response) dans un registre des traitements consultable lors d’un contrôle.
Pour les PME qui hébergent des courriels avec des données sensibles (santé, juridique, finance), aller plus loin avec un audit annuel par un prestataire spécialisé qui valide la conformité technique et produit un rapport signé. Cet audit coûte typiquement entre 1 et 3 millions XOF mais simplifie radicalement la démonstration de conformité face aux clients institutionnels et aux autorités de régulation.
Plan de communication en cas d’incident
Au-delà du plan technique d’incident response, préparer un plan de communication. Si un incident touche des données clients, la PME doit informer rapidement les personnes concernées — au Sénégal, la loi impose 72 heures pour notifier la CDP et les personnes affectées en cas de violation de données significative. Préparer en avance les modèles de communication : notification CDP/ARTCI, message aux clients, communiqué interne aux collaborateurs, FAQ pour le service support qui recevra les questions inquiètes.
Cette préparation transforme une crise potentielle en gestion maîtrisée qui préserve la confiance client. À l’inverse, une PME prise au dépourvu, qui communique tardivement ou maladroitement, multiplie les dégâts réputationnels au-delà du dommage technique initial.
Cette discipline complète constitue le socle d’une posture sécuritaire mature qui protège durablement la PME et ses clients face à un environnement de menaces en constante évolution.
Cette discipline opérationnelle au quotidien transforme un serveur email vulnérable en infrastructure professionnelle digne de confiance, capable de servir une PME exigeante pendant des années sans incident majeur, tout en construisant une réputation de sérieux qui rejaillit positivement sur l’image globale de la marque auprès des clients institutionnels les plus exigeants.
Cette transformation progressive et continue de la posture sécuritaire constitue la marque distinctive des PME ouest-africaines en croissance qui s’imposent durablement face à la concurrence par leur fiabilité opérationnelle visible et mesurable.
Pour aller plus loin
🔝 Retour à l’article principal : Mailcow vs Mailu vs Stalwart pour PME. Tutoriels précédents : déployer Mailcow, configurer SPF/DKIM/DMARC. Documentation Rspamd : rspamd.com/doc, OWASP guidance email security : owasp.org.
La sécurité email est un travail de durée et non un acte ponctuel. Les attaquants évoluent constamment, les filtres antispam se sophistiquent, les utilisateurs changent. Une PME qui investit deux à trois heures par mois dans la maintenance sécuritaire de son serveur préserve son actif numérique sur des années. À l’inverse, une PME qui néglige cette discipline finit par subir un incident majeur — compromission massive de comptes, fuite de données clients, blacklist mondiale — dont les conséquences financières et réputationnelles dépassent largement le coût de la prévention.