laster13 Faut il créer une seule clé pour le domaine ou une par adresse mail ?

Une clé par adresse e-mail.

laster13 Et faut il activer Opengpg dans rainloop ?

Si tu veux pouvoir lire tes mails chiffrés dans rainloop, oui.

Au minimum il te faut une clé GPG et un client mail compatible. Sur ton PC je te recommande Thunderbird + l'extension Enigmail. Le chiffrement/déchiffrement des mails se fait très simplement.

Je te conseil aussi de t'inscrire sur keybase.io et d'y importer ta clé. Toute l'équipe de mondedie.fr est sur cette plateforme, pour moi c'est incontournable pour avoir un suivi "moderne" des clés GPG de tes contacts.

En plus tu peux tout faire en ligne de commande. Genre pour mettre à jour les clés de tous tes contacts, ça se fait avec une simple commande :

keybase pgp pull

Une autre fonctionnalité très utile c'est la vérification d'identité. Sur internet, c'est très compliqué d'être certain d'échanger avec la bonne personne, peut-être que ton correspondant est un usurpateur. Keybase résout ce problème en se basant sur des proofs. Par exemple, si tu veux ajouter en contact @Magicalex (un admin de mondedie.fr), mais être sur que c'est bien lui, tu as juste à vérifier ses preuves, exemple :

keybase track magicalex

 INFO Identifying magicalex
 <tracked> public key fingerprint: EB19 3462 A104 D898 47E8 E27E A89B 48B1 788C 3CB5
 <tracked> "magicalex" on github: https://gist.github.com/2974a7ac0a719c99c8f4bdb1a8a20fd5
 <tracked> admin of DNS zone mondedie.fr: found TXT entry keybase-site-verification=h5s1Mb0WVBn2ZjCKVe7OOg44GoOCp1bV6zx0dRURu4s
 INFO Your view is up-to-date

Donc Keybase te dit clairement que @Magicalex administre le DNS de mondedie.fr, donc tu peux être certain que c'est le bon ^^

Sinon pour en revenir au serveur de mail, tout est indiqué dans le readme : https://github.com/hardware/mailserver#automatic-gpg-encryption-of-all-your-e-mails

Par contre, il faut que ta clé GPG soit connue d'un serveur de clé publique comme http://keys.gnupg.net/. Pour ce faire, il suffit que tu envoies ta clé sur ce pool :

gpg --keyserver keys.gnupg.net --send-keys KEY_ID

Il te reste plus qu'à l'indiquer au serveur de mail :

docker exec mailserver encryption.sh import-key KEY_ID hkp://keys.gnupg.net

Le serveur mail chiffrera tous les mails que tu reçois, ainsi seul toi pourra les lire une fois qu'ils seront sur le disque.

Uniquement si l'expéditeur connait la clé publique GPG du destinataire. Par exemple, si tu veux envoyer un mail chiffré à quelqu'un, il faut d'abord que tu possèdes sa clé publique. Pour récupérer une clé publique, soit tu passes par un serveur public de clé, genre celui du MIT : https://pgp.mit.edu/ (en supposant que ton destinataire l'ait bien exporté là-bas). Soit tu peux la récupérer avec https://keybase.io. Mais il faut le destinataire soit inscrit sur cette plateforme et qu'il ait publié une clé GPG.

Une fois que tu as la clé publique de ton correspondant, il faut valider le fingerprint de la clé pour être sûr que tu vas envoyer un mail à la bonne personne. Le plus sécurisé c'est un échange physique des empreintes, ça se fait très régulièrement pendant des conférences ou dans des open café genre la [Cryptoparty](https://café-vie-privée.fr/) en France. Si tu as pas la possibilité de voir physiquement la personne, le second moyen c'est le téléphone, à condition de reconnaître de manière certaine la voix de ton correspondant. Sinon tu peux aussi valider une empreinte si un de tes contacts l'a déjà validé de son côté et que tu as pleinement confiance en ce contact (donc que tu as validé son empreinte).

Sinon keybase.io propose un système de preuve pour vérifier l'identité d'une personne comme je l'ai indiqué précédemment.

L'échange d'empreinte et la signature d'une clé GPG n'est pas quelque chose d'anodin et ça ne peut se faire que sous certaines conditions si on fait gaffe un minimum à la sécurité des échanges. C'est ce que l'on appelle le Web of trust (WOT) et c'est pris très au sérieux dans le monde du libre.

Pour la petite anecdote, c'est pour ça qu'Edward Snowden a mis des mois avant de pouvoir contacter Laura Poitras, parce qu'il tenait à faire cet échange de la manière la plus sécurisée possible (un échange physique + un rubik's cube ^^ ), pour éviter de se faire avoir par les renseignements. Faut dire aussi qu'elle avait pas le niveau requis au départ pour comprendre le fonctionne de GPG, comme 99.99% des journalistes.