Serveurs email self-hosted en un seul binaire : vers l'autonomie numérique en 2026
Stalwart, Mox, Maddy : les serveurs email single-binary révolutionnent l'auto-hébergement. Guide complet pour reprendre le contrôle de vos données.
L’auto-hébergement email connaît une renaissance portée par des solutions innovantes en binaire unique. Le projet fenilsonani/email-server, récemment présenté sur Hacker News, illustre cette tendance : un serveur email complet écrit en Go, intégrant SMTP, IMAP avec IDLE, CalDAV/CardDAV, le tout déployable sur un VPS à 5€/mois avec seulement 50-100 Mo de RAM. Cette approche répond à une frustration croissante face aux hausses tarifaires de Google Workspace et à la perte de contrôle sur les données, mais se heurte à des défis de délivrabilité que les protocoles techniques seuls ne peuvent résoudre.
L’émergence des serveurs email tout-en-un bouleverse le paysage
Le marché des serveurs email self-hosted en binaire unique s’est considérablement structuré ces dernières années. Quatre solutions dominent désormais ce segment, chacune avec une philosophie distincte.
Stalwart, écrit en Rust et cumulant 10 600 étoiles GitHub, s’impose comme la solution la plus complète. Son support unique du protocole JMAP (successeur moderne d’IMAP) et son filtrage spam intégrant l’intelligence artificielle le positionnent pour les usages professionnels exigeants. Le projet propose CalDAV, CardDAV et même WebDAV, avec un chiffrement au repos S/MIME ou OpenPGP. Son architecture permet une scalabilité massive via FoundationDB, de la petite installation personnelle à des déploiements de milliers de nœuds.
Mox, avec 5 300 étoiles, se distingue par son approche minimaliste : aucune dépendance externe, tout est embarqué, y compris un webmail moderne. Son quickstart génère automatiquement la configuration et les enregistrements DNS nécessaires. Le filtrage spam bayésien s’entraîne automatiquement par utilisateur, éliminant le problème du « cold start ». Le projet bénéficie d’un financement de la Commission européenne via NLnet, gage de pérennité.
Maddy (5 800 étoiles) adopte une approche modulaire rappelant Postfix, facilitant les transitions depuis les configurations traditionnelles. Cependant, son stockage IMAP reste en beta et l’absence de CalDAV/CardDAV le cantonne aux besoins purement email.
Le nouveau venu fenilsonani/email-server se différencie par l’intégration native de CalDAV/CardDAV avec une configuration sans base de données externe autre que Redis. Son wizard d’installation interactif et ses commandes de diagnostic (preflight, doctor) simplifient le déploiement. Projet très récent avec seulement 17 étoiles et un mois d’existence en production, il reste à prouver sa robustesse mais répond à un besoin réel de remplacement complet de Google Workspace.
| Solution | Langage | Stars | CalDAV/CardDAV | Webmail | Spam ML | Maturité |
|---|---|---|---|---|---|---|
| Stalwart | Rust | 10 600 | ✅ | ❌ | LLM + Bayes | Mature |
| Maddy | Go | 5 800 | ❌ | ❌ | Externe | Mature |
| Mox | Go | 5 300 | Roadmap | ✅ | Bayes auto | Jeune |
| fenilsonani | Go | 17 | ✅ | ❌ | Basique | Très récent |
Ces solutions remplacent l’empilement traditionnel Postfix + Dovecot + OpenDKIM + SpamAssassin + PostgreSQL par un unique exécutable, réduisant drastiquement la surface d’attaque et la complexité opérationnelle.
La délivrabilité reste le défi majeur de l’auto-hébergement
La configuration technique correcte (SPF, DKIM, DMARC, PTR) est désormais nécessaire mais insuffisante. Depuis novembre 2025, Gmail applique strictement ses nouvelles exigences : taux de spam sous 0,1%, authentification complète, et pour les expéditeurs en volume, désinscription en un clic obligatoire. Microsoft a suivi en mai 2025 avec des rejets directs (code 550 5.7.515) pour les messages non conformes.
Le problème fondamental pour les petits serveurs auto-hébergés réside dans la réputation. Une IP fraîche est présumée suspecte par défaut, avec environ 75% des premiers emails atterrissant en spam chez Gmail. Construire une réputation positive nécessite un « warm-up » méthodique sur 4 à 8 semaines, en commençant par 50-200 emails quotidiens vers des contacts engagés. Cette réalité économique favorise structurellement les gros expéditeurs établis.
Les témoignages de la communauté sont éloquents : « Après 23 ans d’auto-hébergement, j’ai abandonné. L’oligopole a gagné. » La configuration DNS parfaite ne protège pas contre la suspicion algorithmique des grands fournisseurs qui représentent plus de 90% des destinataires grand public.
Une approche hybride émerge comme compromis pragmatique : auto-héberger la réception (IMAP) où les défis techniques sont surmontables, tout en utilisant un relais SMTP (Amazon SES, Mailgun, Mailjet) pour l’envoi, contournant ainsi les problèmes de réputation IP. Cette architecture préserve la souveraineté sur les données stockées tout en assurant la délivrabilité.
Le filtrage spam sans machine learning reste viable pour les petits volumes
Le débat entre filtrage traditionnel et approches ML mérite une analyse nuancée. Les méthodes classiques — greylisting, RBL (Spamhaus ZEN notamment), SPF/DKIM/DMARC, tarpitting — peuvent bloquer 80 à 95% du spam avec très peu de faux positifs et sans phase d’apprentissage.
Le greylisting exploite une asymétrie économique : un délai de 15 minutes imperceptible pour un correspondant légitime devient dévastateur pour un spammeur envoyant à des millions de destinataires. Les RBL comme Spamhaus protègent plus de 3 milliards de boîtes mail avec des taux de détection excellents. Ces méthodes sont déterministes, explicables (« rejeté car IP sur Spamhaus »), et fonctionnent immédiatement sans corpus d’entraînement.
Le machine learning, incarné par rspamd (10 à 100 fois plus rapide que SpamAssassin), apporte une adaptation aux patterns spécifiques de chaque flux email. Son réseau de neurones détecte des combinaisons subtiles de signaux faibles. Mais le « cold start problem » est significatif : SpamAssassin nécessite minimum 200 spam et 200 ham avant d’activer ses règles bayésiennes, rspamd en mode neural requiert typiquement plus de 1000 échantillons.
Pour un serveur personnel traitant moins de 50 emails quotidiens, le volume est insuffisant pour entraîner efficacement un classificateur. L’approche traditionnelle simplifiée (SPF/DKIM/DMARC + Spamhaus ZEN + greylisting léger) reste parfaitement adaptée. Au-delà de 500 emails/jour, rspamd avec apprentissage bayésien automatique devient pertinent, le réseau de neurones pouvant être activé progressivement une fois le corpus suffisant.
La souveraineté numérique européenne crée un terreau favorable
Le contexte réglementaire européen renforce l’intérêt de l’auto-hébergement. L’invalidation du Privacy Shield (Schrems II, 2020) et les implications du CLOUD Act américain — qui permet aux autorités US d’accéder aux données des entreprises américaines même hébergées en Europe — créent une insécurité juridique pour les organisations utilisant Gmail ou Outlook.
La France a répondu avec la doctrine « Cloud au Centre » et la qualification SecNumCloud de l’ANSSI, obligatoire pour les données sensibles des administrations. Le budget de 1,8 milliard d’euros du plan France 2030 accompagne 48 startups et PME vers cette certification. La Région Occitanie a migré de Microsoft vers eXo Platform, divisant par quatre sa facture tout en retrouvant son autonomie.
L’Allemagne avance parallèlement : le Land de Schleswig-Holstein migre 30 000 fonctionnaires vers LibreOffice, Nextcloud et Thunderbird. En juillet 2025, France, Allemagne, Italie et Pays-Bas ont créé le European Digital Infrastructure Consortium for Digital Commons pour mutualiser le développement d’outils souverains.
Pour les particuliers et petites structures, YunoHost s’impose avec plus de 5 500 serveurs recensés, principalement en France et Allemagne. Cette distribution Debian simplifiée configure automatiquement l’email avec SPF, DKIM et DMARC, et peut fonctionner sur un Raspberry Pi ou un VPS à 7€/mois. La « Brique Internet », combinant carte ARM et VPN associatif (FDN), permet de contourner les restrictions des FAI grand public qui bloquent souvent le port 25.
Déploiement pratique : les étapes clés pour réussir
Le choix du fournisseur VPS conditionne la viabilité du projet. Le port 25, indispensable pour recevoir les emails, est bloqué par défaut chez AWS, Google Cloud et Azure. Les alternatives fiables incluent RackNerd (~11$/an), Contabo (excellent rapport ressources/prix), Linode et OVH. Vérifier l’ouverture du port 25 et la possibilité de configurer le reverse DNS (PTR) avant tout engagement.
Un VPS avec 2 Go de RAM, 2 vCores et 50 Go SSD suffit largement pour une installation standard, pour un coût de 10 à 20€ mensuels. Le certificat TLS via Let’s Encrypt est gratuit, et le domaine coûte 10 à 15€ annuels. Le coût total annuel de 190 à 315€ rend l’auto-hébergement rentable dès 3 à 5 utilisateurs comparé à Google Workspace (72$/an/utilisateur).
La configuration DNS suit une séquence critique : enregistrement MX pointant vers le serveur, enregistrement A avec l’IP, SPF avec v=spf1 mx a ip4:VOTRE_IP ~all, DKIM avec la clé publique générée par le serveur, et DMARC débutant par p=none pour le monitoring. Le PTR (reverse DNS) se configure dans le panneau du VPS, non chez le registrar, et doit correspondre exactement au FQDN du serveur mail.
La validation passe par mail-tester.com (viser un score de 10/10), mxtoolbox.com pour les vérifications DNS et blacklists, et SSL Labs pour la configuration TLS. Un test d’envoi réussi vers Gmail et Outlook avant la mise en production est indispensable.
Conclusion : un équilibre entre idéal et pragmatisme
L’écosystème des serveurs email single-binary a atteint une maturité technique remarquable. Stalwart, Mox et les nouvelles solutions comme fenilsonani/email-server démontrent qu’un serveur email complet peut tenir dans un unique exécutable consommant moins de 100 Mo de RAM. L’argument de la complexité technique ne tient plus face à ces outils modernes.
Le véritable frein reste la concentration du pouvoir chez les grands fournisseurs. Gmail et Outlook, qui représentent la quasi-totalité des destinataires grand public, imposent des critères de réputation que les configurations techniques parfaites ne suffisent pas à satisfaire. Cette réalité pousse vers des architectures hybrides où la souveraineté sur les données reçues coexiste avec des relais d’envoi tiers.
Le contexte réglementaire européen — RGPD, Schrems II, doctrine Cloud au Centre — crée néanmoins une fenêtre d’opportunité. Les administrations et entreprises manipulant des données sensibles ont désormais des obligations légales favorisant l’auto-hébergement ou les hébergeurs européens. La renaissance de l’email souverain n’est pas un retour nostalgique mais une réponse rationnelle aux risques juridiques et géopolitiques de la dépendance aux GAFAM.
Pour qui souhaite se lancer, Mox offre le meilleur compromis pour un usage personnel grâce à son quickstart et son webmail intégré. Stalwart conviendra aux équipes et PME nécessitant CalDAV/CardDAV et des fonctionnalités avancées. Et pour les administrations françaises, les solutions qualifiées SecNumCloud comme celles d’OVHcloud ou Cloud Temple s’imposent désormais réglementairement.