https://wiki.lololand.org/api.php?action=feedcontributions&feedformat=atom&user=WikiSysopLoic Wiki - Contributions [fr]2026-05-25T20:45:07ZContributionsMediaWiki 1.45.1https://wiki.lololand.org/index.php?title=Trace_install_tas_-_Stalwart&diff=179Trace install tas - Stalwart2026-04-13T23:46:45Z<p>WikiSysop : Documentation Stalwart ajoutée: déploiement Podman rootless, vérifications locales, limites ports privilégiés et DNS</p>
<hr />
<div>= Trace install tas - Stalwart =<br />
<br />
== Vue d'ensemble ==<br />
* Service mail tout-en-un ''Stalwart'' déployé sur ''tas'' via Podman rootless et Quadlet systemd user.<br />
* Objectif: héberger localement les boîtes mail et l'administration, avec préparation pour les domaines ''lololand.org'' et ''pessonnier.fr''.<br />
* Image utilisée: ''docker.io/stalwartlabs/stalwart:latest''.<br />
* État actuel: service fonctionnel en local sur ports non privilégiés, mais pas encore en exposition SMTP standard 25/465/587/993 côté hôte rootless.<br />
<br />
== Source de vérité ==<br />
* Quadlet: ''/home/loic/.config/containers/systemd/stalwart.container''<br />
* Données persistantes: ''/home/loic/stalwart-data''<br />
* Sauvegarde avant modification: ''/home/loic/backups/stalwart-2026-04-14T01:44:34+02:00''<br />
<br />
== Configuration Quadlet actuelle ==<br />
<pre><br />
[Unit]<br />
Description=Stalwart Mail Server<br />
After=network-online.target<br />
Wants=network-online.target<br />
<br />
[Container]<br />
Image=docker.io/stalwartlabs/stalwart:latest<br />
ContainerName=stalwart<br />
AutoUpdate=registry<br />
Volume=/home/loic/stalwart-data:/opt/stalwart:Z<br />
PublishPort=1465:465<br />
PublishPort=1587:587<br />
PublishPort=1143:143<br />
PublishPort=1993:993<br />
PublishPort=1110:110<br />
PublishPort=1995:995<br />
PublishPort=14190:4190<br />
PublishPort=8088:8080<br />
PublishPort=8443:443<br />
<br />
[Service]<br />
Restart=always<br />
TimeoutStartSec=180<br />
<br />
[Install]<br />
WantedBy=default.target<br />
</pre><br />
<br />
== Déploiement ==<br />
* Rechargement systemd user: ''systemctl --user daemon-reload''<br />
* Démarrage: ''systemctl --user start stalwart.service''<br />
* Statut: ''systemctl --user status stalwart.service''<br />
* Logs: ''journalctl --user -u stalwart.service -n 200 --no-pager''<br />
<br />
== Vérifications réalisées ==<br />
* Le premier démarrage avec ''PublishPort=25:25'' a échoué en rootless.<br />
* Erreur observée:<br />
<pre><br />
rootlessport cannot expose privileged port 25, you can add 'net.ipv4.ip_unprivileged_port_start=25' to /etc/sysctl.conf (currently 1024), or choose a larger port number (>= 1024)<br />
</pre><br />
* Adaptation prudente faite: publication temporaire sur ports non privilégiés pour valider le service sans modification système globale.<br />
* Ports locaux vérifiés après correction:<br />
** ''8088/tcp'' -> interface web HTTP Stalwart<br />
** ''8443/tcp'' -> interface HTTPS Stalwart<br />
** ''1587/tcp'' -> submission<br />
** ''1465/tcp'' -> SMTPS<br />
** ''1993/tcp'' -> IMAPS<br />
** ''1143/tcp'', ''1110/tcp'', ''1995/tcp'', ''14190/tcp'' disponibles aussi<br />
* Test HTTP local validé:<br />
<pre><br />
curl -I http://127.0.0.1:8088/<br />
HTTP/1.1 200 OK<br />
</pre><br />
* Initialisation Stalwart validée par les logs:<br />
<pre><br />
✅ Configuration file written to /opt/stalwart/etc/config.toml<br />
🔑 Your administrator account is 'admin' with password généré dans les logs du conteneur<br />
</pre><br />
<br />
== Limitation actuelle ==<br />
* En Podman rootless standard, ''tas'' ne peut pas exposer directement les ports privilégiés ''25/465/587/993/...'' tant que le système n'est pas ajusté.<br />
* Pour un passage en production mail réel, il faut choisir l'une des voies suivantes:<br />
** soit abaisser ''net.ipv4.ip_unprivileged_port_start''<br />
** soit faire une redirection hôte/firewall des ports standards vers les ports élevés utilisés par le conteneur<br />
** soit exécuter la brique mail avec un mécanisme non rootless pour l'exposition des ports standards<br />
* Point bloquant déjà identifié avant installation: les tests SMTP sortants vers des MX publics sur le port 25 timeout, donc un ''relay SMTP'' restera probablement nécessaire pour l'émission Internet fiable.<br />
<br />
== DNS cible recommandé ==<br />
Pour chaque domaine, créer au minimum:<br />
* ''mail.lololand.org'' -> A vers ''82.67.187.157''<br />
* ''mail.pessonnier.fr'' -> A vers ''82.67.187.157''<br />
* MX du domaine vers ''mail.<domaine>.''<br />
* SPF, DKIM, DMARC selon les valeurs générées par Stalwart<br />
* Idéalement PTR/rDNS de l'IP publique vers ''mail.lololand.org'' ou équivalent, si le fournisseur le permet<br />
<br />
== Notes d'exploitation ==<br />
* L'interface d'admin locale est joignable sur ''http://127.0.0.1:8088/''.<br />
* Les identifiants initiaux sont affichés au premier démarrage dans ''podman logs stalwart''.<br />
* La configuration définitive des domaines et des enregistrements DNS se fait ensuite dans l'interface Stalwart, qui génère les enregistrements à publier.<br />
<br />
== Relance et diagnostic ==<br />
* Redémarrer: ''systemctl --user restart stalwart.service''<br />
* Voir les logs du conteneur: ''podman logs --tail 200 stalwart''<br />
* Vérifier les ports: ''ss -ltn | egrep ':(1110|1143|1465|1587|1993|1995|8088|8443|14190)\\s''<br />
<br />
== Décision retenue ==<br />
* Déployer d'abord un Stalwart fonctionnel localement, sans changement système global risqué, pour valider l'image, le volume, l'initialisation et la persistance.<br />
* Reporter la bascule vers les ports mail standards et la mise en production Internet complète à une étape dédiée, car elle implique un changement système ou réseau plus sensible.</div>WikiSysop