Fonctionnalités système
Fonctionne sur Debian
Fonctionne sur un système Debian standard sans paquets ni fichiers binaires tiers, sans même utiliser de sections non-free ou contrib. Une seule fonctionnalité facultative peut être installée à l'aide d'un dépôt tiers, mais toujours reçoit des mises à jour de sécurité.
Chiffrage TLS fort
Tous les certificats sont générés automatiquement à l'aide de LetsEncrypt avec la méthode DNS, plus sûre. Les sites bénéficient automatiquement du grade A+, avec HSTS mis en œuvre pour empêcher l’interception du trafic.
Serveur DNS moderne
Un serveur DNS est implémenté avec des fonctionnalités de pointe. Grâce à DNSSEC, chaque enregistrement est signé à l'aide d'une infrastructure à clé publique. Enregistrements CAA, pour certifier l'origine de vos certificats, empêchant toute autre organisation que LetsEncrypt de créer des certificats avec votre nom de domaine.
Empreintes « digitales » SSH
Pour éviter toute intervention intermédiaire lors de l'utilisation de connexions SSH, les clés publiques sont publiées sur le serveur DNS, en utilisant Enregistrements SSHFP, autrement dit empreintes digitales SSH. Cela vous permet également d'établir des connexions SSH sans avoir à gérer le fichier known_hosts.
Source d'authentification unique
Les utilisateurs sont authentifiés à l'aide de l'annuaire OpenLDAP comme source unique. Les mots de passe initiaux sont générés automatiquement et les politiques de mots de passe et l'âge maximum sont appliqués. Enfin, les utilisateurs peuvent facilement modifier leur mot de passe à l'aide d'une interface Web très simple.
Sauvegarde intégrée
Le système est livré avec le système de sauvegarde borg, configuration pour sauvegarder les e-mails, ainsi que les calendriers et les contacts de tous les utilisateurs. Plusieurs destinations de sauvegarde peuvent être spécifiées, avec plusieurs fréquences également. Les cibles peuvent être un disque physique connecté monté dans un répertoire, ou un même système distant, en utilisant Samba ou SFTP.
Fonctionnalités de sécurité
Utilisation d'AppArmor
Tous les services exécutés sous des profils AppArmor dédiés. Cela protège de manière proactive le système d'exploitation et les applications contre les menaces externes ou internes, même les attaques du jour zéro. Il impose un bon comportement et empêche l’exploitation des failles d’application connues et inconnues.
Mises à jour automatiques
Les mises à jour standard et de sécurité sont automatiquement installées en utilisant la méthode Debian standard. Les services sont automatiquement redémarrés en cas de besoin, minimisant la maintenance tout en augmentant la sécurité. Le système peut également être configuré pour redémarrer automatiquement.
Pare-feu puissant
Les connexions entrantes et sortantes sont filtrées. Pour les connexions sortantes, seul le trafic nécessaire est autorisé, et un proxy est utilisée, le traffic sortant étant restreint au maximum. Enfin, les échecs répétés d'authentification banissent automatiquement les adresses IP.
VPN Wireguard
Vous pouvez installer un serveur VPN, avec plusieurs configurations pour chaque utilisateur. Le server peut être configuré pour rediriger tout le traffic via le serveur, ou uniquement pour accéder au serveur.
Gestion des communications et des informations personnelles
Interface web réactive
Vous pouvez accéder à vos e-mails, calendriers et contacts à l'aide d'un navigateur Web moderne, depuis un ordinateur de bureau ou un client mobile, grâce à l'interface web agréable et réactive implémentée par SOGo. Pour plus de sécurité, une authentification facultative à deuxième facteur peut être ajoutée, en utilisant la norme TOTP.
Détection des paramètres de messagerie
Des enregistrements DNS spéciaux et des paramètres Web sont générés, permettant à tout client de messagerie moderne de détecter les paramètres. Fonctionne avec les clients de bureau, comme Thunderbird, Evolution, Outlook, etc. et les clients mobiles comme K-9 Mail ou FairEmail.
Antispam moderne
L'antispam choisi est rspamd, qui est à la fois puissant et extrêmement simple à utiliser. Les e-mails reconnus comme indésirables sont automatiquement placés dans le dossier Courrier indésirable dès leur réception. Pour les courriers indésirables manqués, leur déplacement dans le dossier indésirable entraîne automatiquement le système. À l'inverse, en déplaçant un e-mail hors du dossier Courrier indésirable, marquez l'e-mail comme valide, c'est-à-dire ham.
Antivirus en option
Vous pouvez utiliser l'excellent antivirus Clam-AV pour vérifier la saisie des emails, ainsi que ceux envoyés par les utilisateurs. Les e-mails contenant des virus peuvent être supprimés ou rejetés en silence, tandis que les e-mails sortants contenant des virus sont renvoyés.
fonctionnalités mails avancés
Le serveur est configuré avec des fonctionnalités avancées, certaines incluses par défaut, d'autres facultatives. Sont inclus par défaut les quotas, les filtres côté serveur, les options de confidentialité et la copie automatique des messages envoyés. Les fonctions en options sont par exemple les dossiers virtuels, la recherche en texte intégral, utilisateur principal, etc.
Serveur Jabber
Vous pouvez également installer un serveur Jabber, qui vous permet d'envoyer des messages à toute personne utilisant Jabber, sur le même serveur ou sur d'autres domaines. Le serveur prend en charge les appels audio et vidéo depuis les téléphones mobiles. Les messages peuvent également être chiffrés à l'aide d'Omemo ou de GPG, si votre client le prend en charge.
Autres fonctionnalités
Stockage de fichiers personnels
Les utilisateurs peuvent stocker et sauvegarder leurs fichiers personnels, depuis un ordinateur ou depuis un téléphone. Le protocole utilisé est WebDAV et l'authentification repose sur le serveur LDAP standard.
Prise en charge IPv6 complète
Prise en charge soit d'une adresse IPv4 seule, soit d'une adresse IPv6, soit un mélange des deux. Le système crée et conserve automatiquement tous les enregistrements DNS.
Site par défaut
Générez un squelette de site par défaut pour votre domaine. Cela vous permet de vous concentrer sur le contenu de votre site sans avoir à gérer la gestion des certificats ni la configuration de Nginx.
Surveillance et alertes
Surveillance facultative à l'aide de Prometheus et de tableaux de bord Grafana préconfigurés pour chaque service majeur. Les alertes sont envoyées à la fois par courrier électronique à une adresse électronique externe et également via Jabber.
💡 Plus de détails: Surveillance / Alertes
Répertoire web des clés GPG
Si vous utilisez GPG, Homebox peut publier automatiquement votre clé publique à l'aide d'un répertoire de clés Web. Vos contacts pourront retrouver et importer votre clé publique automatiquement, et vous envoyer des emails chiffrés plus facilement.
Deux types de stockage
La solution prend en charge deux emplacements de stockatge différents. Le premier est dédié aux e-mails, calendriers et contacts quotidiens, optimisé pour un stockage rapide. Le second est dédié aux archives des emails et aux fichiers partagés. Cela vous aide à minimiser les coûts de stockage.
Fonctionnalités de développement
Modules à la demande
La plupart des fonctionnalités peuvent être installées et désinstallées indépendamment, sans interrompre le système. Par exemple, l'antivirus peut être installé à des fins de test, puis désinstallé.
Convivial pour les développeurs
Un rôle dédié pour déployer des outils utiles à des fins de diagnostic et de développement. Chaque rôle prend en charge les indicateurs développement et debug, qui génèrent une configuration de journalisation spécifique ou simplement détaillée.
Qualité du code
Pour garantir la qualité du code, chaque rôle est vérifié via ansible-lint avant chaque push, à l'aide de git-hooks. Tout shell déployé sur le serveur est également vérifié à l'aide de shellcheck, pour garantir qu'aucune erreur n'est contenue.