Сервер для email-хостинга: свой почтовый сервер

Для надежного email-хостинга на собственном почтовом сервере требуется специализированный VPS с достаточными ресурсами, настроенная связка MTA (например, Postfix) и MDA (Dovecot), а также корректные DNS-записи (SPF, DKIM, DMARC) для обеспечения доставляемости писем и борьбы со спамом.

В эпоху цифровизации, когда электронная почта остается краеугольным камнем деловой и личной коммуникации, вопрос выбора подходящего решения для email server hosting становится критически важным. Многие компании и частные лица по-прежнему полагаются на сторонние почтовые сервисы, такие как Google Workspace или Microsoft 365. Однако такой подход сопряжен с определенными компромиссами в плане приватности, контроля и гибкости. Именно поэтому все больше пользователей рассматривают возможность развертывания собственного почтового сервера на VPS.

Свой почтовый сервер предлагает беспрецедентный уровень контроля над всей инфраструктурой: от хранения данных до настройки фильтров спама и политик безопасности. Это особенно актуально для организаций, работающих с конфиденциальной информацией, или для тех, кто стремится к полной независимости от крупных корпораций. Настройка такого сервера, как правило, включает в себя установку и конфигурацию агентов передачи почты (MTA) вроде Postfix, агентов доставки почты (MDA) типа Dovecot, а также тщательную работу с DNS-записями (SPF, DKIM, DMARC), которые являются залогом успешной доставляемости писем и защиты от подделок.

В этой статье мы подробно рассмотрим все аспекты создания и управления собственным почтовым сервером на базе VPS, от выбора оптимальных аппаратных ресурсов до тонкостей настройки программного обеспечения и механизмов борьбы со спамом. Мы также покажем, как тарифы Valebyte могут стать идеальной основой для вашего mail server VPS.

Почему стоит задуматься о своем почтовом сервере: преимущества self-hosted email

Решение развернуть self hosted email сервер вместо использования сторонних провайдеров — это шаг к полной автономии и контролю. В то время как облачные почтовые сервисы удобны, они не всегда отвечают всем требованиям бизнеса или индивидуальных пользователей. Рассмотрим ключевые преимущества собственного почтового сервера.

Контроль, безопасность и приватность

Главное преимущество своего почтового сервера — это полный контроль. Вы сами решаете, где хранятся данные, кто имеет к ним доступ и какие политики безопасности применяются. Это критически важно для компаний, работающих с чувствительной информацией или подпадающих под строгие регуляторные нормы (GDPR, HIPAA и т.д.). Вы не зависите от изменений в политике конфиденциальности сторонних провайдеров и можете быть уверены, что ваши данные не анализируются для рекламных целей.

• Полная собственность данных: Все ваши письма, контакты и метаданные находятся на вашем сервере, под вашим управлением.
• Индивидуальные настройки безопасности: Вы можете внедрять собственные правила фаервола, системы обнаружения вторжений, использовать специфические алгоритмы шифрования и аутентификации, которые могут быть недоступны у стандартных провайдеров.
• Независимость от третьих сторон: Отсутствие зависимости от сбоев или изменения политики сторонних сервисов.

Гибкость и масштабируемость

Когда вы используете свой почтовый сервер, возможности кастомизации практически безграничны. Вы можете интегрировать его с другими внутренними системами, настроить специфические правила маршрутизации, использовать собственные фильтры спама или антивирусные решения, которые идеально подходят под ваши нужды. Это особенно полезно для растущих компаний, которым требуются уникальные функции или высокая масштабируемость.

• Кастомизация: Установка любых необходимых расширений, плагинов, веб-интерфейсов (Roundcube, SOGo) и интеграция с CRM, ERP или другими бизнес-приложениями.
• Масштабируемость: По мере роста вашей компании вы можете легко увеличивать ресурсы VPS (RAM, CPU, дисковое пространство) или даже мигрировать на более мощный выделенный сервер без необходимости менять поставщика почтовых услуг или переносить данные между разными платформами.
• Управление ресурсами: Точный контроль над тем, сколько ресурсов потребляет ваш почтовый сервер, и возможность оптимизировать его производительность.

Экономия в долгосрочной перспективе

Хотя первоначальные затраты на настройку и поддержку собственного почтового сервера могут показаться выше, чем подписка на SaaS-решения, в долгосрочной перспективе это часто оказывается более выгодным, особенно для средних и крупных организаций. По мере увеличения числа пользователей стоимость подписки на сторонние сервисы растет линейно, в то время как стоимость обслуживания собственного VPS увеличивается значительно медленнее.

• Предсказуемые расходы: Вы платите за VPS, а не за каждого пользователя. Это позволяет лучше планировать бюджет.
• Экономия на лицензиях: Большинство компонентов своего почтового сервера (Postfix, Dovecot, SpamAssassin) являются открытым исходным кодом и не требуют лицензионных отчислений.
• Оптимизация: Возможность тонкой настройки позволяет эффективнее использовать аппаратные ресурсы, снижая общие эксплуатационные расходы.

Какой VPS нужен для email-хостинга: выбор Mail Server VPS

Выбор подходящего VPS — ключевой момент для стабильной и эффективной работы вашего email server hosting. От характеристик сервера зависят скорость обработки почты, объем хранимых писем и общая производительность системы. Важно учитывать не только аппаратные ресурсы, но и репутацию IP-адреса, а также тип виртуализации.

Минимальные и рекомендуемые требования к Mail Server VPS

Требования к VPS для почтового сервера варьируются в зависимости от предполагаемой нагрузки: количества пользователей, объема пересылаемых писем и частоты их получения/отправки.

Минимальные требования (для 1-10 пользователей, небольшой объем почты):

• CPU: 1-2 vCPU (например, Intel Xeon E3/E5 или AMD EPYC).
• RAM: 2 GB. Этого достаточно для Postfix, Dovecot и базовых антиспам-фильтров.
• Диск: 40-60 GB NVMe SSD. NVMe обеспечивает высокую скорость чтения/записи, что критично для баз данных и почтовых очередей.
• Пропускная способность: 100 Mbps.

Рекомендуемые требования (для 10-50 пользователей, средний объем почты, расширенные функции):

• CPU: 2-4 vCPU (чем выше частота, тем лучше для однопоточных задач).
• RAM: 4-8 GB. Позволит комфортно работать с более агрессивными антиспам-фильтрами, веб-интерфейсами и большим количеством одновременных подключений.
• Диск: 80-160 GB NVMe SSD. Учитывайте объем почтовых ящиков и логирование.
• Пропускная способность: 1 Gbps.

Высоконагруженные сценарии (50+ пользователей, очень большой объем почты):

• CPU: 4+ vCPU, желательно с высокой тактовой частотой.
• RAM: 8-16+ GB.
• Диск: 200+ GB NVMe SSD, возможно, с RAID-массивом для отказоустойчивости и производительности.
• Пропускная способность: 1 Gbps или выше.

Важное примечание: Всегда выбирайте SSD, а еще лучше NVMe-диски. Производительность дисковой подсистемы критична для почтового сервера, так как постоянно происходит чтение и запись большого количества мелких файлов (писем) и операций с базами данных.

Важность IP-репутации и обратной DNS-записи (PTR)

Один из самых важных факторов, влияющих на доставляемость ваших писем, — это репутация IP-адреса, с которого отправляется почта. Спам-фильтры почтовых провайдеров (Gmail, Outlook, Mail.ru) очень чувствительны к этому параметру. Если IP-адрес ранее использовался для рассылки спама, ваши письма, скорее всего, будут попадать в папку "Спам" или вовсе отклоняться.

• Чистый IP-адрес: При выборе VPS для email server hosting убедитесь, что провайдер предоставляет "чистые" IP-адреса, не занесенные в черные списки (RBLs). У Valebyte мы следим за репутацией наших IP-адресов.
• Обратная DNS-запись (PTR): Для любого почтового сервера обязательно должна быть настроена обратная DNS-запись (PTR-запись), которая сопоставляет IP-адрес с доменным именем. Это позволяет принимающим почтовым серверам проверить, что IP-адрес действительно принадлежит вашему домену. PTR-запись должна соответствовать имени хоста вашего почтового сервера (например, mail.yourdomain.com). Обычно эту запись настраивает хостинг-провайдер по вашему запросу.

KVM VPS против OpenVZ для почты

При выборе типа виртуализации для вашего mail server VPS, KVM является предпочтительным вариантом по сравнению с OpenVZ.

• KVM (Kernel-based Virtual Machine): Предоставляет полную аппаратную виртуализацию. Это означает, что ваш VPS работает как полноценный физический сервер со своим собственным ядром Linux. Это дает максимальную изоляцию, стабильность и возможность использовать любые модули ядра или специализированное ПО. Для почтового сервера KVM идеален, так как обеспечивает предсказуемую производительность и полный контроль над системными ресурсами.
• OpenVZ: Использует контейнерную виртуализацию, где все VPS используют одно и то же ядро хост-системы. Это может привести к "оверселлингу" ресурсов и нестабильной производительности при высокой нагрузке на соседних VPS. Кроме того, некоторые специфические настройки ядра или файловой системы, необходимые для определенных почтовых компонентов или антиспам-решений, могут быть ограничены в OpenVZ.

Таким образом, для критически важного сервиса, такого как почтовый сервер, KVM VPS является оптимальным выбором, обеспечивая необходимую надежность, изоляцию и производительность.

Базовые компоненты почтового сервера: Postfix и Dovecot

Создание своего почтового сервера требует понимания его основных компонентов. Ядром большинства современных Unix-подобных почтовых систем являются Postfix и Dovecot. Они работают в тандеме, обеспечивая отправку, получение и хранение электронной почты.

Postfix: ваш агент передачи сообщений (MTA)

Postfix — это агент передачи сообщений (Mail Transfer Agent, MTA), который отвечает за маршрутизацию и доставку электронной почты. Его основная задача — принимать письма от других почтовых серверов или от локальных клиентов, а затем доставлять их адресатам, либо пересылая другим MTA, либо сохраняя для локальной доставки. Postfix известен своей безопасностью, производительностью и легкостью в настройке по сравнению с более старыми MTA, такими как Sendmail.

Ключевые функции Postfix:

• Прием почты: Postfix слушает порт 25 (SMTP) для входящих соединений от других почтовых серверов.
• Отправка почты: Postfix отправляет исходящие письма на другие почтовые серверы, используя DNS-записи MX для определения получателя.
• Локальная доставка: Передает входящие письма локальным агентам доставки (MDA), таким как Dovecot, для сохранения в почтовых ящиках пользователей.
• Безопасность: Поддерживает TLS/SSL для шифрования соединений, а также различные механизмы аутентификации (SASL).
• Фильтрация: Позволяет интегрировать антиспам- и антивирусные решения.

Пример базовой конфигурации Postfix (файл /etc/postfix/main.cf):

# Имя хоста сервера
myhostname = mail.yourdomain.com

# Домены, для которых этот сервер принимает почту
mydomain = yourdomain.com
mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost

# Сети, которым разрешено релеить почту через ваш сервер
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

# Использование TLS для шифрования
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/mail.yourdomain.com.crt
smtpd_tls_key_file = /etc/ssl/private/mail.yourdomain.com.key

# Аутентификация SASL
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination

# Локальная доставка (передача Dovecot)
mailbox_command = /usr/lib/dovecot/deliver -c /etc/dovecot/conf.d/01-mail-stack-delivery.conf -a "$EXTENSION@"

Dovecot: сервер IMAP/POP3

Dovecot — это агент доставки сообщений (Mail Delivery Agent, MDA) и сервер IMAP/POP3, который позволяет пользователям получать доступ к своей почте. После того как Postfix принял письмо, он передает его Dovecot, который сохраняет его в соответствующем почтовом ящике. Пользователи затем подключаются к Dovecot через почтовые клиенты (Outlook, Thunderbird, мобильные приложения) по протоколам IMAP или POP3 для чтения и управления своими письмами.

Ключевые функции Dovecot:

• Хранение почты: Управляет хранением писем в различных форматах (Maildir, mbox). Maildir является предпочтительным, так как хранит каждое письмо в отдельном файле, что более надежно и производительно.
• Доступ по IMAP/POP3: Предоставляет доступ к почтовым ящикам по протоколам IMAP (Internet Message Access Protocol) и POP3 (Post Office Protocol 3). IMAP позволяет синхронизировать почту между несколькими устройствами, POP3 обычно загружает письма на одно устройство и удаляет с сервера.
• Аутентификация: Поддерживает различные методы аутентификации пользователей, включая PAM, базы данных (SQL), LDAP. Часто используется для аутентификации пользователей Postfix через SASL.
• Безопасность: Обеспечивает защищенные соединения через SSL/TLS для IMAPS (порт 993) и POP3S (порт 995), а также STARTTLS для IMAP (порт 143) и POP3 (порт 110).

Пример базовой конфигурации Dovecot (файл /etc/dovecot/dovecot.conf и /etc/dovecot/conf.d/10-mail.conf):

# dovecot.conf
protocols = imap pop3 lmtp

# 10-mail.conf
mail_location = maildir:~/Maildir

# SSL/TLS
ssl = required
ssl_cert = </etc/ssl/certs/mail.yourdomain.com.crt
ssl_key = </etc/ssl/private/mail.yourdomain.com.key

# Аутентификация
auth_mechanisms = plain login
!include auth-sql.conf.ext # Если используете базу данных для пользователей

Совместная работа Postfix и Dovecot позволяет создать полноценный и надежный email server hosting на вашем VPS. Postfix занимается внешней коммуникацией и передачей, а Dovecot — хранением и доступом пользователей.

База данных для пользователей и доменов (PostgreSQL/MariaDB)

Для более гибкого управления пользователями, доменами и их паролями, особенно при работе с несколькими доменными именами или большим количеством учетных записей, рекомендуется использовать базу данных. Наиболее популярные варианты — PostgreSQL или MariaDB (MySQL).

Преимущества использования базы данных:

• Централизованное управление: Все данные о пользователях (логины, пароли, квоты) и доменах хранятся в одном месте.
• Простота администрирования: С помощью веб-интерфейсов, таких как PostfixAdmin, можно легко добавлять/удалять пользователей, менять пароли, управлять алиасами и почтовыми доменными именами.
• Масштабируемость: Легко добавлять новые домены и тысячи пользователей без изменения конфигурационных файлов Postfix и Dovecot.

Схема взаимодействия: Postfix и Dovecot обращаются к базе данных для проверки подлинности пользователей и получения информации о почтовых ящиках. PostfixAdmin (или аналогичный инструмент) используется для управления этими данными через веб-интерфейс.

Настройка DNS: SPF, DKIM, DMARC – фундамент доставляемости

Правильная настройка DNS-записей критически важна для успешной доставляемости писем с вашего email server hosting. SPF, DKIM и DMARC — это стандарты аутентификации электронной почты, которые помогают предотвратить подделку отправителя (спуфинг), снижают риск попадания писем в спам и повышают доверие к вашей почте.

Все эти записи добавляются в DNS-зону вашего домена. Управлять ими можно через панель управления DNS вашего доменного регистратора или хостинг-провайдера.

SPF (Sender Policy Framework)

SPF — это DNS TXT-запись, которая указывает, каким IP-адресам (или хостам) разрешено отправлять почту от имени вашего домена. Принимающий почтовый сервер проверяет SPF-запись отправителя: если письмо пришло с IP-ададреса, не указанного в SPF-записи, оно может быть помечено как спам или отклонено.

Пример SPF-записи:

yourdomain.com. IN TXT "v=spf1 ip4:192.0.2.1 include:_spf.google.com ~all"

• v=spf1: Указывает версию SPF.
• ip4:192.0.2.1: Разрешает отправку почты с IP-адреса 192.0.2.1 (замените на IP вашего VPS).
• include:_spf.google.com: Если вы также используете Google Workspace для части почты, эта директива включает их SPF-записи.
• ~all: Мягкий отказ. Письма с других IP будут приниматься, но могут быть помечены как подозрительные.
  • -all: Строгий отказ. Письма с других IP будут отклоняться. Рекомендуется после тщательной проверки.
  • ?all: Нейтрально. Не дает рекомендаций. Не рекомендуется для продакшена.

Важно: Убедитесь, что в SPF-записи указаны все IP-адреса, с которых ваш домен может отправлять почту (ваш VPS, сторонние сервисы рассылок и т.д.).

DKIM (DomainKeys Identified Mail)

DKIM — это метод аутентификации, который позволяет принимающему серверу проверить, что письмо было отправлено владельцем домена и не было изменено в процессе передачи. Это достигается путем добавления цифровой подписи к заголовку письма. Подпись генерируется с использованием приватного ключа на вашем почтовом сервере, а публичный ключ публикуется в DNS TXT-записи вашего домена.

Пример DKIM-записи:

default._domainkey.yourdomain.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDz+..."

• default._domainkey: Это селектор DKIM. Вы можете использовать любой селектор (например, mail, 2023).
• v=DKIM1: Версия DKIM.
• k=rsa: Алгоритм шифрования.
• p=...: Ваш публичный DKIM-ключ. Этот ключ генерируется на вашем почтовом сервере (например, с помощью утилиты opendkim-genkey или PostfixAdmin).

Процесс работы DKIM:

1. Ваш почтовый сервер подписывает исходящие письма приватным ключом.
2. Принимающий сервер ищет публичный ключ в DNS-записи вашего домена.
3. Используя публичный ключ, принимающий сервер проверяет подпись письма. Если подпись совпадает, письмо считается подлинным.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC — это политика, которая объединяет SPF и DKIM, предоставляя инструкцию принимающим почтовым серверам, что делать с письмами, которые не прошли проверку SPF или DKIM. Также DMARC позволяет получать отчеты о попытках подделки вашего домена.

Пример DMARC-записи:

_dmarc.yourdomain.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

• v=DMARC1: Версия DMARC.
• p=quarantine: Политика для писем, не прошедших проверку.
  • none: Только мониторинг (получение отчетов, но без применения действий). Рекомендуется на начальном этапе.
  • quarantine: Поместить письмо в спам.
  • reject: Отклонить письмо. Рекомендуется после уверенности в корректности SPF/DKIM.
• rua=mailto:[email protected]: Адрес для получения агрегированных отчетов (ежедневно).
• ruf=mailto:[email protected]: Адрес для получения криминалистических отчетов (о каждом сбое).
• fo=1: Отправлять отчеты, если хотя бы одна из проверок (SPF или DKIM) не прошла.

Рекомендация: Начинайте с p=none, собирайте отчеты, анализируйте их, убедитесь, что все легитимные письма проходят SPF/DKIM, и только потом переходите к p=quarantine, а затем к p=reject.

Запись MX и A/AAAA

Помимо SPF, DKIM и DMARC, для работы почтового сервера необходимы базовые DNS-записи:

• MX (Mail Exchanger) запись: Указывает на почтовый сервер, который отвечает за прием почты для вашего домена.

  
  yourdomain.com. IN MX 10 mail.yourdomain.com.
          

  10 — это приоритет. Чем меньше число, тем выше приоритет.
• A/AAAA запись: Сопоставляет доменное имя (или поддомен) с IP-адресом вашего VPS.

  
  mail.yourdomain.com. IN A 192.0.2.1
          

  Если у вас есть IPv6-адрес, добавьте AAAA-запись:

  
  mail.yourdomain.com. IN AAAA 2001:db8::1
          

Правильная настройка этих DNS-записей — это гарантия того, что ваш свой почтовый сервер будет надежно доставлять письма и не будет восприниматься как источник спама.

Борьба со спамом и безопасность вашего почтового сервера

Один из самых больших вызовов при эксплуатации email server hosting — это борьба со спамом и обеспечение его безопасности. Без адекватных мер ваш сервер быстро превратится в рассадник нежелательной почты или станет жертвой атак. Эффективная защита требует многоуровневого подхода.

Инструменты фильтрации спама (SpamAssassin, RBLs)

Спам-фильтрация — это непрерывный процесс, требующий постоянной настройки и обновления. Вот основные инструменты:

• SpamAssassin: Это мощный, гибкий и расширяемый фреймворк для фильтрации спама. Он использует широкий набор правил и техник для идентификации спама, включая:
  • Эвристический анализ: Проверяет заголовки и тело письма на наличие спам-характеристик.
  • Баллы: Присваивает "спам-баллы" каждому письму, и если сумма баллов превышает порог, письмо помечается как спам.
  • Сетевые тесты: Проверяет IP-адрес отправителя по различным черным спискам (RBLs).
  • Байесовский фильтр: Обучается на основе вашей личной почты, чтобы лучше отличать спам от легитимных писем.
  SpamAssassin легко интегрируется с Postfix и Dovecot.

  
  # Установка SpamAssassin (пример для Debian/Ubuntu)
  sudo apt update
  sudo apt install spamassassin spamc
  
  # Запуск службы
  sudo systemctl enable spamassassin
  sudo systemctl start spamassassin
          

• RBLs (Real-time Blackhole Lists): Это общедоступные базы данных IP-адресов, которые были замечены в рассылке спама. Ваш почтовый сервер может запрашивать эти списки при получении входящих писем. Если IP-адрес отправителя находится в RBL, письмо может быть отклонено или помечено как спам. Популярные RBL включают Spamhaus SBL/XBL, SORBS, CBL.

  
  # Пример настройки RBL в Postfix (в main.cf)
  smtpd_recipient_restrictions =
      ...
      reject_rbl_client zen.spamhaus.org,
      reject_rbl_client bl.spamcop.net,
      ...
          

• Greylisting: Техника, при которой почтовый сервер временно отклоняет письма от неизвестных отправителей, запрашивая повторную попытку. Легитимные почтовые серверы обычно повторяют отправку через несколько минут, в то время как большинство спам-ботов не тратят на это ресурсы. Это эффективный способ отсеять значительную часть спама.
• DCC (Distributed Checksum Clearinghouse): Распределенная система, которая помогает идентифицировать массовые рассылки спама, сравнивая контрольные суммы писем.
• Razor / Pyzor: Системы, которые сообщают о спаме и обмениваются информацией о нем в режиме реального времени.

Защита от брутфорса и DDoS (Fail2Ban, Firewall)

Ваш mail server VPS постоянно подвергается попыткам подбора паролей (брутфорс) и DDoS-атакам. Защита от них критически важна:

• Fail2Ban: Это мощный инструмент для защиты от брутфорса. Он сканирует логи сервера (Postfix, Dovecot, SSH) на предмет повторяющихся неудачных попыток входа и автоматически блокирует IP-адреса злоумышленников на определенное время с помощью фаервола (iptables/nftables).

  
  # Установка Fail2Ban
  sudo apt install fail2ban
  
  # Пример jail для Postfix/Dovecot (в /etc/fail2ban/jail.local)
  [postfix]
  enabled = true
  port = smtp,ssmtp,submission
  logpath = /var/log/mail.log
  maxretry = 3
  bantime = 3600
  
  [dovecot]
  enabled = true
  port = pop3,pop3s,imap,imaps
  logpath = /var/log/mail.log
  maxretry = 3
  bantime = 3600
          

• Firewall (UFW/iptables/nftables): Настройте фаервол для ограничения доступа к вашему серверу. Разрешите только необходимые порты:
  • 25 (SMTP): Для входящей и исходящей почты (TLS STARTTLS).
  • 587 (Submission): Для отправки почты аутентифицированными клиентами (TLS STARTTLS).
  • 465 (SMTPS): Альтернативный порт для отправки почты (TLS/SSL).
  • 143 (IMAP): Для получения почты (TLS STARTTLS).
  • 993 (IMAPS): Для получения почты (TLS/SSL).
  • 110 (POP3): Для получения почты (TLS STARTTLS).
  • 995 (POP3S): Для получения почты (TLS/SSL).
  • 22 (SSH): Только для административного доступа, желательно ограничить по IP или использовать ключи.

  
  # Пример настройки UFW
  sudo ufw allow 22/tcp # SSH
  sudo ufw allow 25/tcp # SMTP
  sudo ufw allow 587/tcp # Submission
  sudo ufw allow 465/tcp # SMTPS
  sudo ufw allow 143/tcp # IMAP
  sudo ufw allow 993/tcp # IMAPS
  sudo ufw enable
          

• Rate Limiting: Ограничение количества соединений или писем в единицу времени от одного IP-адреса. Это помогает смягчить DDoS-атаки и предотвратить массовые рассылки через скомпрометированные учетные записи.

SSL/TLS для шифрования трафика

Шифрование — это фундаментальный аспект безопасности почтового сервера. Все соединения между почтовыми клиентами и сервером, а также между почтовыми серверами, должны быть зашифрованы с использованием SSL/TLS.

• Сертификаты Let's Encrypt: Получите бесплатные SSL/TLS-сертификаты с помощью Certbot. Они легко устанавливаются и автоматически обновляются, обеспечивая шифрование для Postfix и Dovecot.

  
  # Установка Certbot (пример для Apache/Nginx, но можно использовать standalone)
  sudo apt install certbot
  
  # Получение сертификата для домена mail.yourdomain.com
  sudo certbot certonly --standalone -d mail.yourdomain.com
          

• Настройка Postfix и Dovecot: Укажите пути к полученным сертификатам и ключам в конфигурационных файлах Postfix (smtpd_tls_cert_file, smtpd_tls_key_file) и Dovecot (ssl_cert, ssl_key). Убедитесь, что для всех служб (SMTP, SMTPS, Submission, IMAP, IMAPS, POP3, POP3S) включено обязательное шифрование (smtpd_tls_security_level = may или encrypt для Postfix, ssl = required для Dovecot).

Комплексный подход к борьбе со спамом и обеспечению безопасности позволит вашему своему почтовому серверу работать надежно и эффективно, защищая ваших пользователей от нежелательной почты и вредоносных атак.

Пошаговая установка и настройка Postfix и Dovecot на Ubuntu

Развертывание своего почтового сервера на VPS требует последовательной настройки нескольких компонентов. Мы рассмотрим установку и базовую конфигурацию Postfix, Dovecot и MySQL/MariaDB на Ubuntu 22.04 LTS. Этот процесс позволит вам получить функциональный postfix server.

Подготовка системы и установка необходимых пакетов

Перед началом убедитесь, что ваш VPS обновлен и у вас есть доступ по SSH с правами root или пользователя с sudo.

1. Обновление системы:

   
   sudo apt update
   sudo apt upgrade -y
           

2. Установка зависимостей:

   
   sudo apt install -y postfix dovecot-core dovecot-imapd dovecot-pop3d dovecot-lmtpd mariadb-server postfix-mysql dovecot-mysql opendkim opendkim-tools mailutils certbot
           

   Во время установки Postfix вам будет предложено выбрать тип конфигурации:
   • Выберите "Internet Site".
   • "System mail name": Введите ваш домен (например, yourdomain.com).
3. Настройка имени хоста и PTR-записи: Установите полное доменное имя (FQDN) для вашего сервера. Оно должно соответствовать PTR-записи, которую вы запросили у вашего провайдера (например, mail.yourdomain.com).

   
   sudo hostnamectl set-hostname mail.yourdomain.com
           

   Проверьте /etc/hosts:

   
   127.0.0.1       localhost
   127.0.1.1       mail.yourdomain.com mail
   your_vps_ip     mail.yourdomain.com mail
           

4. Создание базы данных для PostfixAdmin (пользователей и доменов):

   
   sudo mysql_secure_installation
           

   (Следуйте инструкциям: установить пароль root, удалить анонимных пользователей, запретить удаленный вход root, удалить тестовую БД).

   
   sudo mysql -u root -p
           

   Внутри MySQL:

   
   CREATE DATABASE postfixadmin;
   CREATE USER 'postfixadmin'@'localhost' IDENTIFIED BY 'your_db_password';
   GRANT ALL PRIVILEGES ON postfixadmin.* TO 'postfixadmin'@'localhost';
   FLUSH PRIVILEGES;
   EXIT;
           

   Запомните your_db_password.
5. Получение SSL/TLS сертификата: Используем Certbot для Let's Encrypt.

   
   sudo certbot certonly --standalone -d mail.yourdomain.com --pre-hook "sudo systemctl stop postfix" --post-hook "sudo systemctl start postfix"
           

   Следуйте инструкциям. Сертификаты будут в /etc/letsencrypt/live/mail.yourdomain.com/.

Конфигурация Postfix

Отредактируйте основной конфигурационный файл Postfix: /etc/postfix/main.cf.

# Общие настройки
myhostname = mail.yourdomain.com
mydomain = yourdomain.com
myorigin = $mydomain
inet_interfaces = all
inet_protocols = all

# Домены, для которых этот сервер принимает почту
mydestination = $myhostname, localhost.$mydomain, localhost
virtual_alias_domains = $mydomain
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-domains-maps.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_transport = lmtp:unix:private/dovecot-lmtp

# Сети, которым разрешено релеить почту
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

# Настройки TLS
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.yourdomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.yourdomain.com/privkey.pem
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_security_level = may
smtp_tls_security_level = may

# Аутентификация SASL через Dovecot
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes # Для старых клиентов
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination

# Настройки для DKIM (см. ниже)
milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = inet:127.0.0.1:8891

Создайте файлы конфигурации для MySQL (/etc/postfix/mysql-virtual-*.cf), используя данные вашей БД:

# /etc/postfix/mysql-virtual-alias-maps.cf
user = postfixadmin
password = your_db_password
hosts = 127.0.0.1
dbname = postfixadmin
query = SELECT goto FROM alias WHERE address='%s' AND active = '1'

# /etc/postfix/mysql-virtual-domains-maps.cf
user = postfixadmin
password = your_db_password
hosts = 127.0.0.1
dbname = postfixadmin
query = SELECT domain FROM domain WHERE domain='%s' AND active = '1'

# /etc/postfix/mysql-virtual-mailbox-maps.cf
user = postfixadmin
password = your_db_password
hosts = 127.0.0.1
dbname = postfixadmin
query = SELECT maildir FROM mailbox WHERE username='%s' AND active = '1'

Убедитесь, что эти файлы доступны только Postfix:

sudo chmod 640 /etc/postfix/mysql-virtual-*.cf
sudo chown root:postfix /etc/postfix/mysql-virtual-*.cf

Конфигурация Dovecot

Отредактируйте /etc/dovecot/dovecot.conf:

protocols = imap pop3 lmtp
listen = *, ::

Отредактируйте /etc/dovecot/conf.d/10-mail.conf:

mail_location = maildir:~/Maildir
mail_privileged_group = mail

Отредактируйте /etc/dovecot/conf.d/10-auth.conf:

disable_plaintext_auth = yes
auth_mechanisms = plain login
!include auth-sql.conf.ext

Отредактируйте /etc/dovecot/conf.d/10-master.conf:

# В секции service lmtp
unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
}

# В секции service auth
unix_listener /var/spool/postfix/private/auth {
    mode = 0660
    user = postfix
    group = postfix
}

Отредактируйте /etc/dovecot/conf.d/10-ssl.conf:

ssl = required
ssl_cert = </etc/letsencrypt/live/mail.yourdomain.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.yourdomain.com/privkey.pem

Создайте файл /etc/dovecot/conf.d/auth-sql.conf.ext:

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}

Создайте файл /etc/dovecot/dovecot-sql.conf.ext:

driver = mysql
connect = host=127.0.0.1 dbname=postfixadmin user=postfixadmin password=your_db_password
default_pass_scheme = CRAM-MD5 # Или SHA512-CRYPT, если PostfixAdmin настроен на это
password_query = SELECT username as user, password FROM mailbox WHERE username = '%u' AND active = '1'
user_query = SELECT maildir, 2000 AS uid, 2000 AS gid FROM mailbox WHERE username = '%u' AND active = '1'

Убедитесь, что dovecot-sql.conf.ext доступен только Dovecot:

sudo chmod 640 /etc/dovecot/dovecot-sql.conf.ext
sudo chown root:dovecot /etc/dovecot/dovecot-sql.conf.ext

Настройка OpenDKIM

Отредактируйте /etc/opendkim.conf:

AutoRestart             Yes
AutoRestartRate         10/1M
Canonicalization        relaxed/simple
Mode                    sv
SubDomains              No
ADSPDiscard             No
Selector                default # Можно изменить, если используете несколько
Socket                  inet:8891@localhost
KeyFile                 /etc/opendkim/keys/yourdomain.com/default.private # Будет создан
PidFile                 /var/run/opendkim/opendkim.pid
TrustAnchorFile         /usr/share/certs/ca-certificates.crt
UserID                  opendkim:opendkim
UMask                   002
OversignHeaders         From

# Создайте этот файл
KeyTable                /etc/opendkim/KeyTable
SigningTable            /etc/opendkim/SigningTable
ExternalIgnoreList      /etc/opendkim/TrustedHosts
InternalHosts           /etc/opendkim/TrustedHosts

Отредактируйте /etc/default/opendkim:

SOCKET="inet:8891@localhost"

Создайте DKIM-ключи:

sudo mkdir -p /etc/opendkim/keys/yourdomain.com
sudo opendkim-genkey -D /etc/opendkim/keys/yourdomain.com/ -d yourdomain.com -s default
sudo chown -R opendkim:opendkim /etc/opendkim/keys
sudo chmod -R 700 /etc/opendkim/keys

Содержимое публичного ключа из /etc/opendkim/keys/yourdomain.com/default.txt нужно будет добавить в DNS TXT-запись вашего домена.

Создайте /etc/opendkim/KeyTable:

default._domainkey.yourdomain.com yourdomain.com:default:/etc/opendkim/keys/yourdomain.com/default.private

Создайте /etc/opendkim/SigningTable:

*@yourdomain.com default._domainkey.yourdomain.com

Создайте /etc/opendkim/TrustedHosts:

127.0.0.1
localhost
192.168.0.1/24 # Ваша локальная сеть, если есть
mail.yourdomain.com
yourdomain.com

Перезапуск служб и тестирование

После всех изменений перезапустите службы:

sudo systemctl restart postfix dovecot opendkim
sudo systemctl enable postfix dovecot opendkim

Проверьте логи на наличие ошибок:

sudo tail -f /var/log/mail.log

Теперь ваш email server hosting готов к приему и отправке почты. Вам осталось установить PostfixAdmin для удобного управления пользователями и доменами через веб-интерфейс.

Тарифы Valebyte для email server hosting: подбор оптимального VPS

Выбор подходящего VPS — это инвестиция в надежность и производительность вашего email server hosting. Valebyte предлагает широкий спектр тарифов, которые могут быть адаптированы под любые потребности, от небольшого личного почтового сервера до корпоративного решения с сотнями пользователей. Все наши VPS основаны на KVM виртуализации с NVMe SSD дисками, что гарантирует высокую производительность и стабильность.

Рекомендации по выбору VPS для разных нагрузок

Чтобы помочь вам выбрать оптимальный mail server VPS, мы разделили рекомендации по нагрузке:

1. Для личного использования или малого бизнеса (1-10 пользователей):

   Если вы планируете использовать почтовый сервер для себя или небольшой команды, не ожидая огромных объемов трафика, вам подойдут базовые тарифы. Основное требование — стабильный IP и достаточный объем диска для хранения писем.

   • CPU: 1-2 vCPU
   • RAM: 2 GB
   • Диск: 40-60 GB NVMe SSD
   • Пропускная способность: 100 Mbps
2. Для среднего бизнеса (10-50 пользователей):

   Средние компании с активным почтовым обменом потребуют больше ресурсов для обработки входящих/исходящих писем, работы антиспам-фильтров и одновременных подключений клиентов.

   • CPU: 2-4 vCPU
   • RAM: 4-8 GB
   • Диск: 80-160 GB NVMe SSD
   • Пропускная способность: 1 Gbps
3. Для крупных компаний и провайдеров (50+ пользователей):

   Для высоконагруженных почтовых систем, где важна каждая миллисекунда и требуется обработка тысяч писем в час, необходимы серьезные ресурсы и возможность масштабирования.

   • CPU: 4+ vCPU (с высокой тактовой частотой)
   • RAM: 8-16+ GB
   • Диск: 200+ GB NVMe SSD (возможно, с возможностью расширения или внешним хранилищем)
   • Пропускная способность: 1 Gbps или выше

Сравнение тарифов Valebyte для email server hosting

Мы предлагаем несколько конфигураций, идеально подходящих для развертывания собственного почтового сервера. Ниже представлена таблица с примерами тарифов Valebyte и их применимостью для различных сценариев:

Тариф Valebyte	vCPU	RAM	NVMe SSD	Пропускная способность	Цена (ориентировочно)	Рекомендуется для
Entry Mail (VPS-1)	1	2 GB	40 GB	100 Mbps	от $8/мес	Личный почтовый сервер, малый бизнес (до 10 пользователей)
Standard Mail (VPS-2)	2	4 GB	80 GB	1 Gbps	от $16/мес	Средний бизнес (10-30 пользователей), активный обмен почтой
Pro Mail (VPS-3)	4	8 GB	160 GB	1 Gbps	от $32/мес	Растущий бизнес (30-50 пользователей), интенсивное использование антиспам-фильтров
Enterprise Mail (VPS-4)	6	16 GB	320 GB	1 Gbps	от $64/мес	Крупные компании (50+ пользователей), высокие требования к производительности и хранилищу

Важные замечания при выборе VPS от Valebyte:

• KVM Виртуализация: Все наши VPS используют KVM, что обеспечивает полную изоляцию ресурсов и гарантированную производительность для вашего mail server VPS.
• NVMe SSD: Использование NVMe дисков значительно ускоряет операции чтения/записи, что критически важно для производительности почтовых систем, особенно при работе с большими объемами писем и базами данных.
• Чистый IP-адрес: Мы предоставляем IP-адреса с хорошей репутацией, что является ключевым фактором для успешной доставляемости ваших писем.
• Поддержка PTR-записей: Вы можете легко настроить PTR-запись для вашего IP-адреса через нашу панель управления или обратившись в поддержку.
• Географическое расположение: Выбирайте локацию сервера, которая ближе к вашей основной аудитории, чтобы минимизировать задержки.

Мы рекомендуем начать с тарифа, соответствующего вашим текущим потребностям, и при необходимости легко масштабировать ресурсы, переходя на более мощные планы Valebyte.

Часто задаваемые вопросы о собственном почтовом сервере

Развертывание своего почтового сервера может вызвать ряд вопросов. Здесь мы ответим на наиболее распространенные из них, чтобы прояснить некоторые аспекты.

Нужен ли выделенный IP-адрес для email-хостинга?

Да, для email server hosting критически важно иметь выделенный IP-адрес. Использование общего IP-адреса, который делят несколько пользователей, сопряжено с высоким риском: если один из соседей по IP будет рассылать спам, репутация всего IP-адреса пострадает, и ваши письма также могут попадать в спам или блокироваться. Выделенный IP-адрес дает вам полный контроль над его репутацией.

Сколько времени занимает настройка собственного почтового сервера?

Время настройки сильно варьируется. Базовая установка Postfix и Dovecot на VPS с Ubuntu может занять от 2 до 4 часов для опытного сисадмина. Однако полная настройка, включающая SPF, DKIM, DMARC, антиспам-фильтры (SpamAssassin), Fail2Ban, SSL-сертификаты и веб-интерфейс для управления (PostfixAdmin), может занять от одного до нескольких дней. Это требует внимательности и понимания каждого компонента.

Можно ли использовать свой почтовый сервер для массовых рассылок?

Технически можно, но это крайне не рекомендуется. Большинство почтовых провайдеров очень строго относятся к массовым рассылкам с обычных почтовых серверов. Ваш IP-адрес быстро попадет в черные списки, что негативно скажется на доставляемости всей вашей почты, включая обычные деловые письма. Для массовых рассылок лучше использовать специализированные сервисы, такие как Mailgun, SendGrid или Amazon SES, которые имеют отлаженную инфраструктуру и репутацию для таких задач.

Какой объем диска нужен для почтового сервера?

Объем диска зависит от количества пользователей и среднего размера их почтовых ящиков. Для 10 пользователей, каждый из которых хранит 5-10 GB почты, потребуется 50-100 GB. Добавьте к этому объем для операционной системы, логов и временных файлов (10-20 GB). Всегда берите с запасом. Если вы планируете хранить большие вложения или архивы, выбирайте больший объем или рассмотрите возможность использования внешнего хранилища.

Требуются ли специальные знания для управления собственным почтовым сервером?

Да, управление собственным почтовым сервером требует глубоких технических знаний в области Linux-администрирования, работы с DNS, сетевых протоколов (SMTP, IMAP, POP3), а также понимания принципов безопасности и борьбы со спамом. Это не задача для новичка. Если у вас нет таких знаний, рассмотрите вариант Managed VPS или обратитесь к специалистам.

Что такое PostfixAdmin и зачем он нужен?

PostfixAdmin — это веб-интерфейс для управления виртуальными почтовыми доменами, учетными записями, алиасами и списками рассылки, которые хранятся в базе данных (MySQL/MariaDB). Он значительно упрощает администрирование почтового сервера, позволяя не редактировать конфигурационные файлы вручную при добавлении нового пользователя или домена. Это очень удобный инструмент для управления вашим email server hosting.

Выводы

Свой почтовый сервер на VPS — это мощное решение для тех, кто ищет максимальный контроль, безопасность и гибкость в управлении электронной почтой. Хотя настройка требует технических знаний и времени, преимущества в виде приватности данных, полной кастомизации и долгосрочной экономии оправдывают эти усилия. Выбор оптимального mail server VPS от Valebyte с KVM виртуализацией и NVMe дисками, в сочетании с тщательной настройкой Postfix, Dovecot и DNS-записей, позволит вам создать надежную и эффективную почтовую инфраструктуру.