J’ai échangé dernièrement avec des gens immensément plus compétent que moi sur les questions de serveur emails, de zone DNS etc.
Loin de moi de critiquer les choix pris par la communauté Yunohost car vous aussi en savez beaucoup plus que moi.
Je me permets de rapporter ce que j’ai compris de ces échanges afin de peut-être contribuer à l’amélioration de Yunohost.
Yunohost encourage les gens à utiliser le setup suivant :
l’enregistrement MX est “domain.ltd”
le serveur mail est configuré en “domain.ltd”
donc le PTR doit être configuré en “domain.ltd”
Donc dès qu’on veut déplacer le serveur web sur une autre machine, il faut, dans l’ordre :
ajouter un PTR qui pointe sur “serveur.domain.ltd”, en plus de l’enregistrement PTR existant
ajouter un enregistrement MX “serveur.domain.ltd” (ainsi qu’un enregistrement A / AAAA)
modifier la conf du serveur mail pour qu’il se présente en tant que “serveur.domain.ltd”. Il doit continuer à recevoir les mails pour “domain.ltd”.
supprimer l’enregistrement MX “domain.ltd”
supprimer l’enregistrement PTR qui pointe vers “domain.ltd”
changer l’enregistrement A/AAAA pour qu’il pointe vers l’adresse du serveur web
Sans parler des champs SPF, etc. C’est long et oublier une étape peut créer des erreurs (mails rejetés, etc).
Ce serait apparemment plus simple si on partait directement sur un setup du type (j’espère ne pas faire d’erreur de copier/coller) :
–8<–
domain.ltd. A 192.0.2.1
domain.ltd. MX serveur.domain.ltd.
serveur.domain.ltd. A 192.0.2.1
192.0.2.1* PTR serveur.domain.ltd.
–>8–
On me glisse à l’oreille que dans un vrai fichier de zone ce n’est pas comme ça qu’on écrit l’adresse IP d’un enregistrement PTR. Ce serait plutôt quelque chose comme 1.2.0.192.in-addr.arpa.
En espérant que ma modeste contribution sera utile.
Ben yep mais clairement ça devient pas gérable par Yunohost … Il y a trop de cas différent entre
faire du web mais pas du mail (et à la place on veut que les mails soient chez Gandi)
faire du mail mais pas du web
Sachant qu’il y a aussi la combinaison :
je veux vraiment faire zero mail dans Yunohost
je veux que le mail rentrant arrive chez Gandi mais je veux quand meme aussi faire du mail sortant avec mon Yunohost
Après on essaye au fur à mesure d’adapter le truc au fur à mesure que le projet avance, mais déjà couvrir le cas “nominal” (faire du web et du mail sur le même serveur) c’est déjà pas mal complexe
Je comprends parfaitement ton point de vue et a mon sens il est valide pour un YunoHost qui est géré par un adminsys.
Un adminsys aura tendance à nommer son premier serveur YunoHost serveur1.domaine.tld et ensuite ajouter le domaine.tld et les autres domaines dont il va avoir besoin en ayant en tête qu’il pourra migrer vers un nouveau serveur serveur2.domaine.tld s’il en a besoin.
Je pense que la plupart des admins de serveurs YunoHost ne sont pas adminsys. Il semble y avoir un nombre non nul d’admin YunoHost qui ont déjà du mal à savoir ce qu’est une enregistrement DNS. Et je dis pas ça pour les dénigrer, déjà en arriver à avoir un serveur YunoHost je trouve ça énorme.
Et donc de la même façon, je pense qu’ils ne sauront pas migrer leur serveur YunoHost comme le ferait un adminsys en migrant les services petit à petit, en bougeant les boites, puis les mx, etc… afin de limiter le temps d’interruption.
Et donc je pense que la plupart des migrations d’un serveur vers un nouveau serveur se fera en mode:
backup de l’ancien serveur YunoHost
récupération des backups en local
extinction de l’ancien serveur YunoHost
copie des backups sur le nouveau serveur
restauration
modification des enregistrements DNS pour coller à la nouvelle IP publique
fin
En partant du postulat qu’une interruption de quelques heures en fait ça pause pas de problémes.
Et donc avoir la configuration DNS la plus simple possible, ça reste quand même la meilleure façon de s’assurer que ça fonctionne pour 99% des admins YunoHost