Servidor para email-hosting: tu propio servidor de correo

Para un alojamiento de correo electrónico fiable en su propio servidor de correo, se requiere un VPS especializado con recursos suficientes, una combinación configurada de MTA (por ejemplo, Postfix) y MDA (Dovecot), así como registros DNS correctos (SPF, DKIM, DMARC) para garantizar la entregabilidad de los correos y la lucha contra el spam.

En la era digital, donde el correo electrónico sigue siendo la piedra angular de la comunicación empresarial y personal, la elección de una solución adecuada para el alojamiento de servidores de correo electrónico se vuelve fundamental. Muchas empresas y particulares aún dependen de servicios de correo de terceros, como Google Workspace o Microsoft 365. Sin embargo, este enfoque conlleva ciertas limitaciones en términos de privacidad, control y flexibilidad. Por eso, cada vez más usuarios consideran la posibilidad de implementar su propio servidor de correo en un VPS.

Un servidor de correo propio ofrece un nivel de control sin precedentes sobre toda la infraestructura: desde el almacenamiento de datos hasta la configuración de filtros de spam y políticas de seguridad. Esto es especialmente relevante para organizaciones que manejan información confidencial o para aquellos que buscan una independencia total de las grandes corporaciones. La configuración de dicho servidor, por lo general, incluye la instalación y configuración de agentes de transferencia de correo (MTA) como Postfix, agentes de entrega de correo (MDA) como Dovecot, así como un trabajo meticuloso con los registros DNS (SPF, DKIM, DMARC), que son la clave para la correcta entregabilidad de los correos y la protección contra falsificaciones.

En este artículo, examinaremos en detalle todos los aspectos de la creación y gestión de su propio servidor de correo basado en VPS, desde la elección de los recursos de hardware óptimos hasta las complejidades de la configuración del software y los mecanismos de lucha contra el spam. También mostraremos cómo las tarifas de Valebyte pueden ser la base ideal para su VPS de servidor de correo.

Por qué considerar su propio servidor de correo: ventajas del correo electrónico autoalojado

La decisión de implementar un servidor de correo electrónico autoalojado en lugar de utilizar proveedores de terceros es un paso hacia la autonomía y el control total. Si bien los servicios de correo electrónico en la nube son convenientes, no siempre satisfacen todas las necesidades de las empresas o los usuarios individuales. Examinemos las ventajas clave de tener su propio servidor de correo.

Control, seguridad y privacidad

La principal ventaja de tener su propio servidor de correo es el control total. Usted decide dónde se almacenan los datos, quién tiene acceso a ellos y qué políticas de seguridad se aplican. Esto es crucial para empresas que manejan información sensible o que están sujetas a estrictas normativas (GDPR, HIPAA, etc.). No depende de los cambios en la política de privacidad de proveedores externos y puede estar seguro de que sus datos no se analizan con fines publicitarios.

• Propiedad total de los datos: Todos sus correos, contactos y metadatos residen en su servidor, bajo su gestión.
• Configuraciones de seguridad personalizadas: Puede implementar sus propias reglas de firewall, sistemas de detección de intrusiones, utilizar algoritmos de cifrado y autenticación específicos que pueden no estar disponibles con los proveedores estándar.
• Independencia de terceros: Ausencia de dependencia de fallos o cambios en las políticas de servicios de terceros.

Flexibilidad y escalabilidad

Cuando utiliza su propio servidor de correo, las posibilidades de personalización son prácticamente ilimitadas. Puede integrarlo con otros sistemas internos, configurar reglas de enrutamiento específicas, utilizar sus propios filtros de spam o soluciones antivirus que se adapten perfectamente a sus necesidades. Esto es especialmente útil para empresas en crecimiento que requieren funciones únicas o alta escalabilidad.

• Personalización: Instalación de cualquier extensión, plugin, interfaz web (Roundcube, SOGo) e integración con CRM, ERP u otras aplicaciones empresariales.
• Escalabilidad: A medida que su empresa crece, puede aumentar fácilmente los recursos del VPS (RAM, CPU, espacio en disco) o incluso migrar a un servidor dedicado más potente sin necesidad de cambiar de proveedor de servicios de correo o transferir datos entre diferentes plataformas.
• Gestión de recursos: Control preciso sobre cuántos recursos consume su servidor de correo y la capacidad de optimizar su rendimiento.

Ahorro a largo plazo

Aunque los costos iniciales de configuración y mantenimiento de un servidor de correo propio pueden parecer más altos que la suscripción a soluciones SaaS, a largo plazo a menudo resulta más ventajoso, especialmente para organizaciones medianas y grandes. A medida que aumenta el número de usuarios, el costo de la suscripción a servicios de terceros crece linealmente, mientras que el costo de mantener su propio VPS aumenta significativamente más lento.

• Gastos predecibles: Usted paga por el VPS, no por cada usuario. Esto permite una mejor planificación del presupuesto.
• Ahorro en licencias: La mayoría de los componentes de un servidor de correo propio (Postfix, Dovecot, SpamAssassin) son de código abierto y no requieren pagos de licencia.
• Optimización: La capacidad de ajuste fino permite un uso más eficiente de los recursos de hardware, reduciendo los costos operativos generales.

Qué VPS se necesita para el alojamiento de correo electrónico: elección de un VPS de servidor de correo

La elección del VPS adecuado es un punto clave para el funcionamiento estable y eficiente de su alojamiento de servidor de correo electrónico. Las características del servidor determinan la velocidad de procesamiento del correo, el volumen de correos almacenados y el rendimiento general del sistema. Es importante considerar no solo los recursos de hardware, sino también la reputación de la dirección IP y el tipo de virtualización.

Requisitos mínimos y recomendados para un VPS de servidor de correo

Los requisitos para un VPS de servidor de correo varían según la carga prevista: número de usuarios, volumen de correos enviados/recibidos y frecuencia de los mismos.

Requisitos mínimos (para 1-10 usuarios, pequeño volumen de correo):

• CPU: 1-2 vCPU (por ejemplo, Intel Xeon E3/E5 o AMD EPYC).
• RAM: 2 GB. Esto es suficiente para Postfix, Dovecot y filtros antispam básicos.
• Disco: 40-60 GB NVMe SSD. NVMe proporciona alta velocidad de lectura/escritura, lo cual es crítico para bases de datos y colas de correo.
• Ancho de banda: 100 Mbps.

Requisitos recomendados (para 10-50 usuarios, volumen medio de correo, funciones avanzadas):

• CPU: 2-4 vCPU (cuanto mayor sea la frecuencia, mejor para tareas de un solo hilo).
• RAM: 4-8 GB. Permitirá trabajar cómodamente con filtros antispam más agresivos, interfaces web y un mayor número de conexiones simultáneas.
• Disco: 80-160 GB NVMe SSD. Considere el volumen de los buzones de correo y el registro.
• Ancho de banda: 1 Gbps.

Escenarios de alta carga (más de 50 usuarios, muy gran volumen de correo):

• CPU: Más de 4 vCPU, preferiblemente con alta frecuencia de reloj.
• RAM: Más de 8-16 GB.
• Disco: Más de 200 GB NVMe SSD, posiblemente con una matriz RAID para redundancia y rendimiento.
• Ancho de banda: 1 Gbps o superior.

Nota importante: Siempre elija SSD, y aún mejor, discos NVMe. El rendimiento del subsistema de disco es crítico para un servidor de correo, ya que constantemente se leen y escriben grandes cantidades de archivos pequeños (correos) y operaciones de bases de datos.

Importancia de la reputación IP y el registro DNS inverso (PTR)

Uno de los factores más importantes que afectan la entregabilidad de sus correos es la reputación de la dirección IP desde la que se envía el correo. Los filtros de spam de los proveedores de correo (Gmail, Outlook, Mail.ru) son muy sensibles a este parámetro. Si la dirección IP se utilizó anteriormente para enviar spam, es muy probable que sus correos terminen en la carpeta de "Spam" o sean rechazados por completo.

• Dirección IP limpia: Al elegir un VPS para alojamiento de servidor de correo electrónico, asegúrese de que el proveedor ofrezca direcciones IP "limpias" que no estén en listas negras (RBLs). En Valebyte, monitoreamos la reputación de nuestras direcciones IP.
• Registro DNS inverso (PTR): Para cualquier servidor de correo, es esencial configurar un registro DNS inverso (registro PTR) que asocie la dirección IP con un nombre de dominio. Esto permite a los servidores de correo receptores verificar que la dirección IP realmente pertenece a su dominio. El registro PTR debe coincidir con el nombre de host de su servidor de correo (por ejemplo, mail.yourdomain.com). Por lo general, el proveedor de alojamiento configura este registro a petición suya.

KVM VPS vs. OpenVZ para correo

Al elegir el tipo de virtualización para su VPS de servidor de correo, KVM es la opción preferida en comparación con OpenVZ.

• KVM (Kernel-based Virtual Machine): Proporciona virtualización de hardware completa. Esto significa que su VPS funciona como un servidor físico completo con su propio kernel de Linux. Esto ofrece máxima aislamiento, estabilidad y la capacidad de usar cualquier módulo del kernel o software especializado. Para un servidor de correo, KVM es ideal, ya que garantiza un rendimiento predecible y control total sobre los recursos del sistema.
• OpenVZ: Utiliza virtualización basada en contenedores, donde todos los VPS comparten el mismo kernel del sistema anfitrión. Esto puede llevar a un "overselling" de recursos y un rendimiento inestable bajo alta carga en VPS vecinos. Además, algunas configuraciones específicas del kernel o del sistema de archivos, necesarias para ciertos componentes de correo o soluciones antispam, pueden estar limitadas en OpenVZ.

Por lo tanto, para un servicio crítico como un servidor de correo, KVM VPS es la elección óptima, proporcionando la fiabilidad, el aislamiento y el rendimiento necesarios.

Componentes básicos del servidor de correo: Postfix y Dovecot

La creación de su propio servidor de correo requiere comprender sus componentes principales. El núcleo de la mayoría de los sistemas de correo modernos tipo Unix son Postfix y Dovecot. Trabajan en conjunto para garantizar el envío, la recepción y el almacenamiento del correo electrónico.

Postfix: su agente de transferencia de mensajes (MTA)

Postfix es un agente de transferencia de mensajes (Mail Transfer Agent, MTA) que se encarga del enrutamiento y la entrega del correo electrónico. Su tarea principal es recibir correos de otros servidores de correo o de clientes locales, y luego entregarlos a los destinatarios, ya sea reenviándolos a otros MTA o almacenándolos para entrega local. Postfix es conocido por su seguridad, rendimiento y facilidad de configuración en comparación con MTA más antiguos como Sendmail.

Funciones clave de Postfix:

• Recepción de correo: Postfix escucha el puerto 25 (SMTP) para conexiones entrantes de otros servidores de correo.
• Envío de correo: Postfix envía correos salientes a otros servidores de correo, utilizando registros DNS MX para determinar el destinatario.
• Entrega local: Transfiere los correos entrantes a agentes de entrega locales (MDA), como Dovecot, para su almacenamiento en los buzones de los usuarios.
• Seguridad: Soporta TLS/SSL para cifrado de conexiones, así como varios mecanismos de autenticación (SASL).
• Filtrado: Permite integrar soluciones antispam y antivirus.

Ejemplo de configuración básica de Postfix (archivo /etc/postfix/main.cf):

# Nombre de host del servidor
myhostname = mail.yourdomain.com

# Dominios para los que este servidor acepta correo
mydomain = yourdomain.com
mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost

# Redes a las que se les permite retransmitir correo a través de su servidor
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

# Uso de TLS para cifrado
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/mail.yourdomain.com.crt
smtpd_tls_key_file = /etc/ssl/private/mail.yourdomain.com.key

# Autenticación SASL
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination

# Entrega local (transferencia a Dovecot)
mailbox_command = /usr/lib/dovecot/deliver -c /etc/dovecot/conf.d/01-mail-stack-delivery.conf -a "$EXTENSION@"

Dovecot: servidor IMAP/POP3

Dovecot es un agente de entrega de mensajes (Mail Delivery Agent, MDA) y un servidor IMAP/POP3 que permite a los usuarios acceder a su correo. Una vez que Postfix ha recibido un correo, lo transfiere a Dovecot, que lo guarda en el buzón correspondiente. Los usuarios se conectan a Dovecot a través de clientes de correo (Outlook, Thunderbird, aplicaciones móviles) utilizando los protocolos IMAP o POP3 para leer y gestionar sus correos.

Funciones clave de Dovecot:

• Almacenamiento de correo: Gestiona el almacenamiento de correos en varios formatos (Maildir, mbox). Maildir es el preferido, ya que almacena cada correo en un archivo separado, lo que es más fiable y eficiente.
• Acceso IMAP/POP3: Proporciona acceso a los buzones de correo a través de los protocolos IMAP (Internet Message Access Protocol) y POP3 (Post Office Protocol 3). IMAP permite sincronizar el correo entre varios dispositivos, POP3 normalmente descarga los correos a un solo dispositivo y los elimina del servidor.
• Autenticación: Soporta varios métodos de autenticación de usuarios, incluyendo PAM, bases de datos (SQL), LDAP. A menudo se utiliza para autenticar usuarios de Postfix a través de SASL.
• Seguridad: Proporciona conexiones seguras a través de SSL/TLS para IMAPS (puerto 993) y POP3S (puerto 995), así como STARTTLS para IMAP (puerto 143) y POP3 (puerto 110).

Ejemplo de configuración básica de Dovecot (archivo /etc/dovecot/dovecot.conf y /etc/dovecot/conf.d/10-mail.conf):

# dovecot.conf
protocols = imap pop3 lmtp

# 10-mail.conf
mail_location = maildir:~/Maildir

# SSL/TLS
ssl = required
ssl_cert = </etc/ssl/certs/mail.yourdomain.com.crt
ssl_key = </etc/ssl/private/mail.yourdomain.com.key

# Autenticación
auth_mechanisms = plain login
!include auth-sql.conf.ext # Si usa base de datos para usuarios

La colaboración entre Postfix y Dovecot permite crear un alojamiento de servidor de correo electrónico completo y fiable en su VPS. Postfix se encarga de la comunicación externa y la transferencia, mientras que Dovecot se ocupa del almacenamiento y el acceso de los usuarios.

Base de datos para usuarios y dominios (PostgreSQL/MariaDB)

Para una gestión más flexible de usuarios, dominios y sus contraseñas, especialmente cuando se trabaja con varios nombres de dominio o un gran número de cuentas, se recomienda utilizar una base de datos. Las opciones más populares son PostgreSQL o MariaDB (MySQL).

Ventajas de usar una base de datos:

• Gestión centralizada: Todos los datos de los usuarios (inicios de sesión, contraseñas, cuotas) y dominios se almacenan en un solo lugar.
• Facilidad de administración: Con interfaces web como PostfixAdmin, se pueden añadir/eliminar usuarios, cambiar contraseñas, gestionar alias y nombres de dominio de correo electrónico fácilmente.
• Escalabilidad: Es fácil añadir nuevos dominios y miles de usuarios sin modificar los archivos de configuración de Postfix y Dovecot.

Esquema de interacción: Postfix y Dovecot acceden a la base de datos para verificar la autenticidad de los usuarios y obtener información sobre los buzones de correo. PostfixAdmin (o una herramienta similar) se utiliza para gestionar estos datos a través de una interfaz web.

Configuración de DNS: SPF, DKIM, DMARC – la base de la entregabilidad

La configuración correcta de los registros DNS es crucial para la entregabilidad exitosa de los correos electrónicos desde su alojamiento de servidor de correo electrónico. SPF, DKIM y DMARC son estándares de autenticación de correo electrónico que ayudan a prevenir la suplantación de identidad del remitente (spoofing), reducen el riesgo de que los correos terminen en spam y aumentan la confianza en su correo.

Todos estos registros se añaden a la zona DNS de su dominio. Puede gestionarlos a través del panel de control DNS de su registrador de dominios o proveedor de alojamiento.

SPF (Sender Policy Framework)

SPF es un registro DNS TXT que especifica qué direcciones IP (o hosts) están autorizadas a enviar correo en nombre de su dominio. El servidor de correo receptor verifica el registro SPF del remitente: si el correo proviene de una dirección IP no listada en el registro SPF, puede ser marcado como spam o rechazado.

Ejemplo de registro SPF:

yourdomain.com. IN TXT "v=spf1 ip4:192.0.2.1 include:_spf.google.com ~all"

• v=spf1: Indica la versión de SPF.
• ip4:192.0.2.1: Permite el envío de correo desde la dirección IP 192.0.2.1 (reemplace con la IP de su VPS).
• include:_spf.google.com: Si también utiliza Google Workspace para parte del correo, esta directiva incluye sus registros SPF.
• ~all: Rechazo suave. Los correos de otras IP serán aceptados, pero pueden ser marcados como sospechosos.
  • -all: Rechazo estricto. Los correos de otras IP serán rechazados. Se recomienda después de una verificación exhaustiva.
  • ?all: Neutral. No da recomendaciones. No se recomienda para producción.

Importante: Asegúrese de que el registro SPF incluya todas las direcciones IP desde las que su dominio puede enviar correo (su VPS, servicios de envío de terceros, etc.).

DKIM (DomainKeys Identified Mail)

DKIM es un método de autenticación que permite al servidor receptor verificar que el correo fue enviado por el propietario del dominio y no fue alterado durante la transmisión. Esto se logra añadiendo una firma digital al encabezado del correo. La firma se genera utilizando una clave privada en su servidor de correo, y la clave pública se publica en un registro DNS TXT de su dominio.

Ejemplo de registro DKIM:

default._domainkey.yourdomain.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDz+..."

• default._domainkey: Este es el selector DKIM. Puede usar cualquier selector (por ejemplo, mail, 2023).
• v=DKIM1: Versión de DKIM.
• k=rsa: Algoritmo de cifrado.
• p=...: Su clave pública DKIM. Esta clave se genera en su servidor de correo (por ejemplo, con la utilidad opendkim-genkey o PostfixAdmin).

Proceso de funcionamiento de DKIM:

1. Su servidor de correo firma los correos salientes con la clave privada.
2. El servidor receptor busca la clave pública en el registro DNS de su dominio.
3. Utilizando la clave pública, el servidor receptor verifica la firma del correo. Si la firma coincide, el correo se considera auténtico.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC es una política que combina SPF y DKIM, proporcionando una instrucción a los servidores de correo receptores sobre qué hacer con los correos que no pasan la verificación SPF o DKIM. Además, DMARC permite recibir informes sobre intentos de suplantación de su dominio.

Ejemplo de registro DMARC:

_dmarc.yourdomain.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

• v=DMARC1: Versión de DMARC.
• p=quarantine: Política para correos que no pasan la verificación.
  • none: Solo monitoreo (recepción de informes, pero sin aplicar acciones). Se recomienda en la etapa inicial.
  • quarantine: Poner el correo en spam.
  • reject: Rechazar el correo. Se recomienda después de estar seguro de la corrección de SPF/DKIM.
• rua=mailto:[email protected]: Dirección para recibir informes agregados (diariamente).
• ruf=mailto:[email protected]: Dirección para recibir informes forenses (sobre cada fallo).
• fo=1: Enviar informes si al menos una de las verificaciones (SPF o DKIM) falla.

Recomendación: Comience con p=none, recopile informes, analícelos, asegúrese de que todos los correos legítimos pasen SPF/DKIM, y solo entonces pase a p=quarantine, y luego a p=reject.

Registro MX y A/AAAA

Además de SPF, DKIM y DMARC, para el funcionamiento del servidor de correo son necesarios los registros DNS básicos:

• Registro MX (Mail Exchanger): Indica el servidor de correo que es responsable de recibir correo para su dominio.

  
  yourdomain.com. IN MX 10 mail.yourdomain.com.
          

  10 — es la prioridad. Cuanto menor sea el número, mayor será la prioridad.
• Registro A/AAAA: Asocia un nombre de dominio (o subdominio) con la dirección IP de su VPS.

  
  mail.yourdomain.com. IN A 192.0.2.1
          

  Si tiene una dirección IPv6, añada un registro AAAA:

  
  mail.yourdomain.com. IN AAAA 2001:db8::1
          

La configuración correcta de estos registros DNS es la garantía de que su propio servidor de correo entregará los correos de manera fiable y no será percibido como una fuente de spam.

Lucha contra el spam y seguridad de su servidor de correo

Uno de los mayores desafíos al operar un alojamiento de servidor de correo electrónico es la lucha contra el spam y la garantía de su seguridad. Sin medidas adecuadas, su servidor se convertirá rápidamente en un foco de correo no deseado o será víctima de ataques. Una protección eficaz requiere un enfoque multinivel.

Herramientas de filtrado de spam (SpamAssassin, RBLs)

El filtrado de spam es un proceso continuo que requiere configuración y actualización constantes. Aquí están las herramientas principales:

• SpamAssassin: Es un marco potente, flexible y extensible para el filtrado de spam. Utiliza un amplio conjunto de reglas y técnicas para identificar el spam, incluyendo:
  • Análisis heurístico: Examina los encabezados y el cuerpo del correo en busca de características de spam.
  • Puntuación: Asigna "puntos de spam" a cada correo, y si la suma de puntos supera un umbral, el correo se marca como spam.
  • Pruebas de red: Verifica la dirección IP del remitente en varias listas negras (RBLs).
  • Filtro bayesiano: Aprende basándose en su correo personal para distinguir mejor el spam del correo legítimo.
  SpamAssassin se integra fácilmente con Postfix y Dovecot.

  
  # Instalación de SpamAssassin (ejemplo para Debian/Ubuntu)
  sudo apt update
  sudo apt install spamassassin spamc
  
  # Inicio del servicio
  sudo systemctl enable spamassassin
  sudo systemctl start spamassassin
          

• RBLs (Real-time Blackhole Lists): Son bases de datos públicas de direcciones IP que han sido detectadas enviando spam. Su servidor de correo puede consultar estas listas al recibir correos entrantes. Si la dirección IP del remitente está en una RBL, el correo puede ser rechazado o marcado como spam. Las RBL populares incluyen Spamhaus SBL/XBL, SORBS, CBL.

  
  # Ejemplo de configuración de RBL en Postfix (en main.cf)
  smtpd_recipient_restrictions =
      ...
      reject_rbl_client zen.spamhaus.org,
      reject_rbl_client bl.spamcop.net,
      ...
          

• Greylisting: Una técnica en la que el servidor de correo rechaza temporalmente los correos de remitentes desconocidos, solicitando un reintento. Los servidores de correo legítimos suelen reintentar el envío en unos minutos, mientras que la mayoría de los bots de spam no gastan recursos en ello. Es una forma eficaz de eliminar una parte significativa del spam.
• DCC (Distributed Checksum Clearinghouse): Un sistema distribuido que ayuda a identificar envíos masivos de spam comparando las sumas de verificación de los correos.
• Razor / Pyzor: Sistemas que informan sobre spam e intercambian información sobre él en tiempo real.

Protección contra ataques de fuerza bruta y DDoS (Fail2Ban, Firewall)

Su VPS de servidor de correo está constantemente expuesto a intentos de adivinar contraseñas (fuerza bruta) y ataques DDoS. La protección contra ellos es crucial:

• Fail2Ban: Es una herramienta potente para protegerse contra la fuerza bruta. Escanea los registros del servidor (Postfix, Dovecot, SSH) en busca de intentos de inicio de sesión fallidos repetidos y bloquea automáticamente las direcciones IP de los atacantes durante un tiempo determinado utilizando el firewall (iptables/nftables).

  
  # Instalación de Fail2Ban
  sudo apt install fail2ban
  
  # Ejemplo de jail para Postfix/Dovecot (en /etc/fail2ban/jail.local)
  [postfix]
  enabled = true
  port = smtp,ssmtp,submission
  logpath = /var/log/mail.log
  maxretry = 3
  bantime = 3600
  
  [dovecot]
  enabled = true
  port = pop3,pop3s,imap,imaps
  logpath = /var/log/mail.log
  maxretry = 3
  bantime = 3600
          

• Firewall (UFW/iptables/nftables): Configure el firewall para restringir el acceso a su servidor. Permita solo los puertos necesarios:
  • 25 (SMTP): Para correo entrante y saliente (TLS STARTTLS).
  • 587 (Submission): Para envío de correo por clientes autenticados (TLS STARTTLS).
  • 465 (SMTPS): Puerto alternativo para envío de correo (TLS/SSL).
  • 143 (IMAP): Para recepción de correo (TLS STARTTLS).
  • 993 (IMAPS): Para recepción de correo (TLS/SSL).
  • 110 (POP3): Para recepción de correo (TLS STARTTLS).
  • 995 (POP3S): Para recepción de correo (TLS/SSL).
  • 22 (SSH): Solo para acceso administrativo, preferiblemente restringir por IP o usar claves.

  
  # Ejemplo de configuración de UFW
  sudo ufw allow 22/tcp # SSH
  sudo ufw allow 25/tcp # SMTP
  sudo ufw allow 587/tcp # Submission
  sudo ufw allow 465/tcp # SMTPS
  sudo ufw allow 143/tcp # IMAP
  sudo ufw allow 993/tcp # IMAPS
  sudo ufw enable
          

• Rate Limiting: Limitación del número de conexiones o correos por unidad de tiempo desde una misma dirección IP. Esto ayuda a mitigar ataques DDoS y prevenir envíos masivos a través de cuentas comprometidas.

SSL/TLS para cifrado de tráfico

El cifrado es un aspecto fundamental de la seguridad del servidor de correo. Todas las conexiones entre clientes de correo y el servidor, así como entre servidores de correo, deben estar cifradas utilizando SSL/TLS.

• Certificados Let's Encrypt: Obtenga certificados SSL/TLS gratuitos con Certbot. Se instalan fácilmente y se renuevan automáticamente, proporcionando cifrado para Postfix y Dovecot.

  
  # Instalación de Certbot (ejemplo para Apache/Nginx, pero se puede usar standalone)
  sudo apt install certbot
  
  # Obtención de certificado para el dominio mail.yourdomain.com
  sudo certbot certonly --standalone -d mail.yourdomain.com --pre-hook "sudo systemctl stop postfix" --post-hook "sudo systemctl start postfix"
          

• Configuración de Postfix y Dovecot: Especifique las rutas a los certificados y claves obtenidos en los archivos de configuración de Postfix (smtpd_tls_cert_file, smtpd_tls_key_file) y Dovecot (ssl_cert, ssl_key). Asegúrese de que el cifrado obligatorio esté habilitado para todos los servicios (SMTP, SMTPS, Submission, IMAP, IMAPS, POP3, POP3S) (smtpd_tls_security_level = may o encrypt para Postfix, ssl = required para Dovecot).

Un enfoque integral para la lucha contra el spam y la seguridad permitirá que su propio servidor de correo funcione de manera fiable y eficiente, protegiendo a sus usuarios del correo no deseado y de ataques maliciosos.

Instalación y configuración paso a paso de Postfix y Dovecot en Ubuntu

La implementación de su propio servidor de correo en un VPS requiere la configuración secuencial de varios componentes. Revisaremos la instalación y configuración básica de Postfix, Dovecot y MySQL/MariaDB en Ubuntu 22.04 LTS. Este proceso le permitirá obtener un servidor Postfix funcional.

Preparación del sistema e instalación de los paquetes necesarios

Antes de comenzar, asegúrese de que su VPS esté actualizado y de que tenga acceso SSH con permisos de root o de un usuario con sudo.

1. Actualización del sistema:

   
   sudo apt update
   sudo apt upgrade -y
           

2. Instalación de dependencias:

   
   sudo apt install -y postfix dovecot-core dovecot-imapd dovecot-pop3d dovecot-lmtpd mariadb-server postfix-mysql dovecot-mysql opendkim opendkim-tools mailutils certbot
           

   Durante la instalación de Postfix se le pedirá que elija el tipo de configuración:
   • Seleccione "Internet Site".
   • "System mail name": Ingrese su dominio (por ejemplo, yourdomain.com).
3. Configuración del nombre de host y el registro PTR: Establezca el nombre de dominio completo (FQDN) para su servidor. Debe coincidir con el registro PTR que solicitó a su proveedor (por ejemplo, mail.yourdomain.com).

   
   sudo hostnamectl set-hostname mail.yourdomain.com
           

   Verifique /etc/hosts:

   
   127.0.0.1       localhost
   127.0.1.1       mail.yourdomain.com mail
   your_vps_ip     mail.yourdomain.com mail
           

4. Creación de la base de datos para PostfixAdmin (usuarios y dominios):

   
   sudo mysql_secure_installation
           

   (Siga las instrucciones: establecer contraseña de root, eliminar usuarios anónimos, prohibir el inicio de sesión remoto de root, eliminar la base de datos de prueba).

   
   sudo mysql -u root -p
           

   Dentro de MySQL:

   
   CREATE DATABASE postfixadmin;
   CREATE USER 'postfixadmin'@'localhost' IDENTIFIED BY 'your_db_password';
   GRANT ALL PRIVILEGES ON postfixadmin.* TO 'postfixadmin'@'localhost';
   FLUSH PRIVILEGES;
   EXIT;
           

   Recuerde your_db_password.
5. Obtención del certificado SSL/TLS: Usaremos Certbot para Let's Encrypt.

   
   sudo certbot certonly --standalone -d mail.yourdomain.com
           

   Siga las instrucciones. Los certificados estarán en /etc/letsencrypt/live/mail.yourdomain.com/.

Configuración de Postfix

Edite el archivo de configuración principal de Postfix: /etc/postfix/main.cf.

# Configuración general
myhostname = mail.yourdomain.com
mydomain = yourdomain.com
myorigin = $mydomain
inet_interfaces = all
inet_protocols = all

# Dominios para los que este servidor acepta correo
mydestination = $myhostname, localhost.$mydomain, localhost
virtual_alias_domains = $mydomain
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-domains-maps.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_transport = lmtp:unix:private/dovecot-lmtp

# Redes a las que se les permite retransmitir correo
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

# Configuración TLS
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.yourdomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.yourdomain.com/privkey.pem
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_security_level = may
smtp_tls_security_level = may

# Autenticación SASL a través de Dovecot
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes # Para clientes antiguos
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination

# Configuración para DKIM (ver abajo)
milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = inet:127.0.0.1:8891

Cree los archivos de configuración para MySQL (/etc/postfix/mysql-virtual-*.cf), utilizando los datos de su base de datos:

# /etc/postfix/mysql-virtual-alias-maps.cf
user = postfixadmin
password = your_db_password
hosts = 127.0.0.1
dbname = postfixadmin
query = SELECT goto FROM alias WHERE address='%s' AND active = '1'

# /etc/postfix/mysql-virtual-domains-maps.cf
user = postfixadmin
password = your_db_password
hosts = 127.0.0.1
dbname = postfixadmin
query = SELECT domain FROM domain WHERE domain='%s' AND active = '1'

# /etc/postfix/mysql-virtual-mailbox-maps.cf
user = postfixadmin
password = your_db_password
hosts = 127.0.0.1
dbname = postfixadmin
query = SELECT maildir FROM mailbox WHERE username = '%s' AND active = '1'

Asegúrese de que estos archivos solo sean accesibles para Postfix:

sudo chmod 640 /etc/postfix/mysql-virtual-*.cf
sudo chown root:postfix /etc/postfix/mysql-virtual-*.cf

Configuración de Dovecot

Edite /etc/dovecot/dovecot.conf:

protocols = imap pop3 lmtp
listen = *, ::

Edite /etc/dovecot/conf.d/10-mail.conf:

mail_location = maildir:~/Maildir
mail_privileged_group = mail

Edite /etc/dovecot/conf.d/10-auth.conf:

disable_plaintext_auth = yes
auth_mechanisms = plain login
!include auth-sql.conf.ext

Edite /etc/dovecot/conf.d/10-master.conf:

# En la sección service lmtp
unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
}

# En la sección service auth
unix_listener /var/spool/postfix/private/auth {
    mode = 0660
    user = postfix
    group = postfix
}

Edite /etc/dovecot/conf.d/10-ssl.conf:

ssl = required
ssl_cert = </etc/letsencrypt/live/mail.yourdomain.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.yourdomain.com/privkey.pem

Cree el archivo /etc/dovecot/conf.d/auth-sql.conf.ext:

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}

Cree el archivo /etc/dovecot/dovecot-sql.conf.ext:

driver = mysql
connect = host=127.0.0.1 dbname=postfixadmin user=postfixadmin password=your_db_password
default_pass_scheme = CRAM-MD5 # O SHA512-CRYPT, si PostfixAdmin está configurado para ello
password_query = SELECT username as user, password FROM mailbox WHERE username = '%u' AND active = '1'
user_query = SELECT maildir, 2000 AS uid, 2000 AS gid FROM mailbox WHERE username = '%u' AND active = '1'

Asegúrese de que dovecot-sql.conf.ext solo sea accesible para Dovecot:

sudo chmod 640 /etc/dovecot/dovecot-sql.conf.ext
sudo chown root:dovecot /etc/dovecot/dovecot-sql.conf.ext

Configuración de OpenDKIM

Edite /etc/opendkim.conf:

AutoRestart             Yes
AutoRestartRate         10/1M
Canonicalization        relaxed/simple
Mode                    sv
SubDomains              No
ADSPDiscard             No
Selector                default # Puede cambiarlo si usa varios
Socket                  inet:8891@localhost
KeyFile                 /etc/opendkim/keys/yourdomain.com/default.private # Será creado
PidFile                 /var/run/opendkim/opendkim.pid
TrustAnchorFile         /usr/share/certs/ca-certificates.crt
UserID                  opendkim:opendkim
UMask                   002
OversignHeaders         From

# Cree este archivo
KeyTable                /etc/opendkim/KeyTable
SigningTable            /etc/opendkim/SigningTable
ExternalIgnoreList      /etc/opendkim/TrustedHosts
InternalHosts           /etc/opendkim/TrustedHosts

Edite /etc/default/opendkim:

SOCKET="inet:8891@localhost"

Cree las claves DKIM:

sudo mkdir -p /etc/opendkim/keys/yourdomain.com
sudo opendkim-genkey -D /etc/opendkim/keys/yourdomain.com/ -d yourdomain.com -s default
sudo chown -R opendkim:opendkim /etc/opendkim/keys
sudo chmod -R 700 /etc/opendkim/keys

El contenido de la clave pública de /etc/opendkim/keys/yourdomain.com/default.txt deberá añadirse al registro DNS TXT de su dominio.

Cree /etc/opendkim/KeyTable:

default._domainkey.yourdomain.com yourdomain.com:default:/etc/opendkim/keys/yourdomain.com/default.private

Cree /etc/opendkim/SigningTable:

*@yourdomain.com default._domainkey.yourdomain.com

Cree /etc/opendkim/TrustedHosts:

127.0.0.1
localhost
192.168.0.1/24 # Su red local, si existe
mail.yourdomain.com
yourdomain.com

Reinicio de servicios y pruebas

Después de todos los cambios, reinicie los servicios:

sudo systemctl restart postfix dovecot opendkim
sudo systemctl enable postfix dovecot opendkim

Verifique los registros en busca de errores:

sudo tail -f /var/log/mail.log

Ahora su alojamiento de servidor de correo electrónico está listo para recibir y enviar correo. Solo le queda instalar PostfixAdmin para una gestión cómoda de usuarios y dominios a través de una interfaz web.

Tarifas de Valebyte para alojamiento de servidor de correo electrónico: selección del VPS óptimo

Elegir el VPS adecuado es una inversión en la fiabilidad y el rendimiento de su alojamiento de servidor de correo electrónico. Valebyte ofrece una amplia gama de tarifas que pueden adaptarse a cualquier necesidad, desde un pequeño servidor de correo personal hasta una solución corporativa con cientos de usuarios. Todos nuestros VPS se basan en virtualización KVM con discos NVMe SSD, lo que garantiza un alto rendimiento y estabilidad.

Recomendaciones para elegir un VPS para diferentes cargas

Para ayudarle a elegir el VPS de servidor de correo óptimo, hemos dividido las recomendaciones por carga:

1. Para uso personal o pequeñas empresas (1-10 usuarios):

   Si planea usar el servidor de correo para usted o un equipo pequeño, sin esperar grandes volúmenes de tráfico, las tarifas básicas le serán adecuadas. El requisito principal es una IP estable y suficiente espacio en disco para almacenar correos.

   • CPU: 1-2 vCPU
   • RAM: 2 GB
   • Disco: 40-60 GB NVMe SSD
   • Ancho de banda: 100 Mbps
2. Para medianas empresas (10-50 usuarios):

   Las empresas medianas con un intercambio de correo activo requerirán más recursos para procesar correos entrantes/salientes, ejecutar filtros antispam y manejar conexiones simultáneas de clientes.

   • CPU: 2-4 vCPU
   • RAM: 4-8 GB
   • Disco: 80-160 GB NVMe SSD
   • Ancho de banda: 1 Gbps
3. Para grandes empresas y proveedores (más de 50 usuarios):

   Para sistemas de correo de alta carga, donde cada milisegundo es importante y se requiere procesar miles de correos por hora, se necesitan recursos serios y capacidad de escalado.

   • CPU: Más de 4 vCPU (con alta frecuencia de reloj)
   • RAM: Más de 8-16 GB
   • Disco: Más de 200 GB NVMe SSD (posiblemente con opción de expansión o almacenamiento externo)
   • Ancho de banda: 1 Gbps o superior

Comparación de tarifas de Valebyte para alojamiento de servidor de correo electrónico

Ofrecemos varias configuraciones, ideales para implementar su propio servidor de correo. A continuación, se presenta una tabla con ejemplos de tarifas de Valebyte y su aplicabilidad para diferentes escenarios:

Tarifa Valebyte	vCPU	RAM	NVMe SSD	Ancho de banda	Precio (aproximado)	Recomendado para
Entry Mail (VPS-1)	1	2 GB	40 GB	100 Mbps	desde $8/mes	Servidor de correo personal, pequeña empresa (hasta 10 usuarios)
Standard Mail (VPS-2)	2	4 GB	80 GB	1 Gbps	desde $16/mes	Mediana empresa (10-30 usuarios), intercambio de correo activo
Pro Mail (VPS-3)	4	8 GB	160 GB	1 Gbps	desde $32/mes	Empresa en crecimiento (30-50 usuarios), uso intensivo de filtros antispam
Enterprise Mail (VPS-4)	6	16 GB	320 GB	1 Gbps	desde $64/mes	Grandes empresas (más de 50 usuarios), altas exigencias de rendimiento y almacenamiento

Notas importantes al elegir un VPS de Valebyte:

• Virtualización KVM: Todos nuestros VPS utilizan KVM, lo que garantiza un aislamiento completo de los recursos y un rendimiento garantizado para su VPS de servidor de correo.
• NVMe SSD: El uso de discos NVMe acelera significativamente las operaciones de lectura/escritura, lo cual es crucial para el rendimiento de los sistemas de correo, especialmente al trabajar con grandes volúmenes de correos y bases de datos.
• Dirección IP limpia: Proporcionamos direcciones IP con buena reputación, lo cual es un factor clave para la entregabilidad exitosa de sus correos.
• Soporte para registros PTR: Puede configurar fácilmente un registro PTR para su dirección IP a través de nuestro panel de control o contactando al soporte.
• Ubicación geográfica: Elija la ubicación del servidor que esté más cerca de su audiencia principal para minimizar las latencias.

Le recomendamos comenzar con una tarifa que se ajuste a sus necesidades actuales y, si es necesario, escalar fácilmente los recursos, pasando a planes más potentes de Valebyte.

Preguntas frecuentes sobre su propio servidor de correo

La implementación de su propio servidor de correo puede generar una serie de preguntas. Aquí responderemos a las más comunes para aclarar algunos aspectos.

¿Se necesita una dirección IP dedicada para el alojamiento de correo electrónico?

Sí, para el alojamiento de servidor de correo electrónico es fundamental tener una dirección IP dedicada. El uso de una dirección IP compartida por varios usuarios conlleva un alto riesgo: si uno de los vecinos de IP envía spam, la reputación de toda la dirección IP se verá afectada, y sus correos también podrían terminar en spam o ser bloqueados. Una dirección IP dedicada le da control total sobre su reputación.

¿Cuánto tiempo lleva configurar un servidor de correo propio?

El tiempo de configuración varía mucho. Una instalación básica de Postfix y Dovecot en un VPS con Ubuntu puede llevar de 2 a 4 horas para un administrador de sistemas experimentado. Sin embargo, una configuración completa, que incluya SPF, DKIM, DMARC, filtros antispam (SpamAssassin), Fail2Ban, certificados SSL y una interfaz web para la gestión (PostfixAdmin), puede llevar de uno a varios días. Esto requiere atención y comprensión de cada componente.

¿Se puede usar un servidor de correo propio para envíos masivos?

Técnicamente es posible, pero es altamente desaconsejable. La mayoría de los proveedores de correo son muy estrictos con los envíos masivos desde servidores de correo comunes. Su dirección IP rápidamente terminará en listas negras, lo que afectará negativamente la entregabilidad de todo su correo, incluidos los correos comerciales normales. Para envíos masivos, es mejor utilizar servicios especializados como Mailgun, SendGrid o Amazon SES, que tienen una infraestructura y reputación establecidas para estas tareas.

¿Qué cantidad de disco se necesita para un servidor de correo?

El volumen de disco depende del número de usuarios y del tamaño medio de sus buzones de correo. Para 10 usuarios, cada uno almacenando 5-10 GB de correo, se necesitarán 50-100 GB. A esto hay que añadir el volumen para el sistema operativo, los registros y los archivos temporales (10-20 GB). Siempre es mejor tener un margen. Si planea almacenar archivos adjuntos grandes o archivos, elija un volumen mayor o considere la posibilidad de utilizar almacenamiento externo.

¿Se requieren conocimientos especiales para gestionar un servidor de correo propio?

Sí, la gestión de un servidor de correo propio requiere conocimientos técnicos profundos en administración de Linux, trabajo con DNS, protocolos de red (SMTP, IMAP, POP3), así como una comprensión de los principios de seguridad y la lucha contra el spam. No es una tarea para principiantes. Si no tiene estos conocimientos, considere la opción de un VPS gestionado o consulte a especialistas.

¿Qué es PostfixAdmin y para qué sirve?

PostfixAdmin es una interfaz web para gestionar dominios de correo virtuales, cuentas, alias y listas de distribución, que se almacenan en una base de datos (MySQL/MariaDB). Simplifica significativamente la administración del servidor de correo, permitiendo no editar manualmente los archivos de configuración al añadir un nuevo usuario o dominio. Es una herramienta muy útil para gestionar su alojamiento de servidor de correo electrónico.

Conclusiones

Un servidor de correo propio en un VPS es una solución potente para quienes buscan el máximo control, seguridad y flexibilidad en la gestión del correo electrónico. Aunque la configuración requiere conocimientos técnicos y tiempo, las ventajas en términos de privacidad de datos, personalización completa y ahorro a largo plazo justifican estos esfuerzos. La elección de un VPS de servidor de correo óptimo de Valebyte con virtualización KVM y discos NVMe, junto con una configuración cuidadosa de Postfix, Dovecot y los registros DNS, le permitirá crear una infraestructura de correo fiable y eficiente.