Для настройки почтового сервера на выделенном сервере необходимо присвоить ему подходящее имя хоста (mail.example.com), установить и защитить Postfix (SMTP) и Dovecot (IMAP/POP3) с помощью TLS, открыть почтовые порты и выполнить настройку. DNS (MX, SPF, DKIM, DMARC) и рDNSВключите фильтрацию спама, создайте почтовые ящики и проверьте возможность доставки писем у основных провайдеров.
Настройка почтового сервера на выделенном хостинге обеспечивает полный контроль, лучшую конфиденциальность и доверие к бренду, но также требует тщательной настройки для обеспечения безопасности и доставляемости писем. В этом руководстве вы узнаете, как настроить почтовый сервер на выделенном сервере с использованием Postfix и Dovecot, а также выполнить конфигурацию. DNS правильно и пройти современные проверки на спам.
Что вам нужно, прежде чем начать
Сервер, операционная система и имя хоста (полное доменное имя)
Используйте чистый Выделенный сервер (Рекомендуется Ubuntu 22.04/24.04 LTS или RHEL/Rocky 9) с как минимум 2 vCPU, 4 GB RAMи SSD. Установите постоянное имя хоста на полное доменное имя, обычно mail.example.com, и укажите в записи A/AAAA IP-адрес(а) вашего сервера.
Очистка IP-адреса и обратное преобразование DNS
Доставляемость электронной почты зависит от репутации IP-адреса. Начните с чистого IP-адреса (не в черных списках), затем установите PTR (обратный запрос). DNS) чтобы соответствовать имени хоста вашей почты (например, 203.0.113.10 → mail.example.com). Многие провайдеры требуют запроса в службу поддержки для установки r.DNS; YouStable Служба поддержки может по запросу настроить PTR для ваших выделенных IP-адресов.
Открытые порты и политика провайдеров
Убедитесь, что ваш провайдер разрешает исходящий SMTP-трафик (порт 25). Откройте следующие порты в вашем брандмауэре: 25 (SMTP), 465 (SMTPS), 587 (Submission), 110/995 (POP3/POP3S), 143/993 (IMAP/IMAPS) и 4190 (Sieve, опционально). Некоторые облачные сервисы блокируют порт 25 по умолчанию — запросите разблокировку или используйте ретранслятор Smart Host, если это необходимо.
Два пути: через панель управления или вручную.
Если вы предпочитаете панель управления
cПанель, PleskDirectAdmin автоматизирует большинство задач, связанных с электронной почтой (почтовые ящики, SPF/DKIM, веб-почта). Они идеально подходят, если вам нужна скорость, а не ручное управление. Если вы выберете панель, большая часть настройки SMTP/IMAP будет выполнена автоматически. Вам все равно потребуется правильно настроить параметры. DNS, гDNSи политики безопасности.
Если вам нужен полный контроль (наш стек технологий)
Для отправки/получения сообщений мы будем использовать Postfix (MTA), а для IMAP/POP3 — Dovecot. Для фильтрации спама и аутентификации мы рассмотрим Rspamd или SpamAssassin с OpenDKIM/OpenDMARC. Этот подход является гибким и пригодным для использования в производственной среде при правильной настройке.
Пошаговая инструкция: Установка и настройка почтового сервера
1) Обновите, установите часовой пояс и настройте брандмауэр.
Точное соблюдение сроков и безопасность являются обязательными условиями. При необходимости замените example.com на свой домен.
# Ubuntu
sudo apt update && sudo apt -y upgrade
sudo timedatectl set-timezone UTC
# RHEL/Rocky
sudo dnf -y update
sudo timedatectl set-timezone UTC
# UFW firewall (Ubuntu)
sudo ufw allow 22/tcp
sudo ufw allow 25,465,587/tcp
sudo ufw allow 110,995,143,993/tcp
sudo ufw allow 4190/tcp
sudo ufw enable2) Установите имя хоста и DNS документация
Укажите имя хоста вашей почты (должно совпадать с r).DNS):
sudo hostnamectl set-hostname mail.example.comВ вашей DNS зона, добавить:
- Запись: mail.example.com → 203.0.113.10
- MX-запись: example.com → mail.example.com (приоритет 10)
- TXT SPF: “v=spf1 a mx ip4:203.0.113.10 ~all”
DKIM и DMARC мы добавим после настройки подписи.
3) Установите Postfix и Dovecot.
# Ubuntu
sudo apt -y install postfix dovecot-imapd dovecot-pop3d
# RHEL/Rocky
sudo dnf -y install postfix dovecotПри появлении запроса выберите «Интернет-сайт» и укажите mail.example.com в качестве имени системной почты.
4) Получите TLS-сертификаты (Let's Encrypt)
Зашифруйте протоколы SMTP, IMAP и POP3. Убедитесь, что адрес mail.example.com в первую очередь указывает на ваш сервер.
# Ubuntu (snap)
sudo snap install --classic certbot
sudo certbot certonly --standalone -d mail.example.com --agree-tos -m admin@example.com --non-interactive
# Cert paths (commonly)
# /etc/letsencrypt/live/mail.example.com/fullchain.pem
# /etc/letsencrypt/live/mail.example.com/privkey.pem5) Postfix: Основная конфигурация
Отредактируйте файл /etc/postfix/main.cf и установите минимальные параметры безопасности. Замените примерные значения.
myhostname = mail.example.com
myorigin = /etc/mailname
mydestination = $myhostname, localhost
inet_interfaces = all
inet_protocols = ipv4
mynetworks = 127.0.0.0/8
message_size_limit = 30720000
# TLS
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.example.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.example.com/privkey.pem
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtp_tls_security_level = may
smtpd_tls_security_level = may
smtpd_tls_loglevel = 1
# Authentication (via Dovecot)
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination
# Submission tuning
submission_recipient_restrictions = permit_sasl_authenticated, reject
smtpd_relay_restrictions = permit_sasl_authenticated, reject_unauth_destinationВключить Submission (587) и SMTPS (465) в файле /etc/postfix/master.cf:
submission inet n - y - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
smtps inet n - y - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yesПерезагрузите Postfix:
sudo systemctl enable --now postfix
sudo systemctl reload postfix6) Dovecot: IMAP/POP3 и аутентификация
Настроить SSL и аутентификации в Dovecot. Отредактируйте файлы /etc/dovecot/dovecot.conf или conf.d:
protocols = imap pop3 lmtp
ssl = required
ssl_cert = </etc/letsencrypt/live/mail.example.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.example.com/privkey.pem
auth_mechanisms = plain login
# Mail location (Maildir in user home)
mail_location = maildir:~/Maildir
# Enable auth socket for Postfix
service auth {
unix_listener /var/spool/postfix/private/auth {
mode = 0660
user = postfix
group = postfix
}
}Для простых настроек создайте системных пользователей (например, с помощью команды `useradd`), и они станут владельцами почтовых ящиков. Для хостинга с несколькими доменами настройте виртуальных пользователей с помощью SQL; это выходит за рамки руководства для начинающих, но полностью поддерживается Postfix/Dovecot.
sudo systemctl enable --now dovecot
sudo systemctl reload dovecot7) Фильтрация спама и DKIM/DMARC
Чтобы сообщения попали во входящие, вам необходимы функции цифровой подписи и защиты от спама. Выберите один из путей:
Вариант A: Rspamd (современный, быстрый)
Rspamd отвечает за оценку спама и подписание DKIM-ключей. Установите его из вашего дистрибутива или официальных репозиториев, затем настройте Postfix milter для вызова Rspamd и создания DKIM-ключей для каждого домена. Основной алгоритм работы:
- Установите rspamd и redis. (фильтры кэша).
- Сгенерируйте ключи DKIM в каталоге /var/lib/rspamd/dkim/ и опубликуйте запись TXT.
- Включите параметр milter в файле main.cf Postfix, чтобы передавать сообщения через Rspamd.
Вариант B: SpamAssassin + OpenDKIM + OpenDMARC
Эта классическая комбинация хорошо работает и проста для понимания:
# Ubuntu
sudo apt -y install spamassassin opendkim opendkim-tools opendmarc
sudo systemctl enable --now spamassassin opendkim opendmarcСгенерируйте ключи DKIM и добавьте их. DNS запись:
sudo mkdir -p /etc/opendkim/keys/example.com
cd /etc/opendkim/keys/example.com
sudo opendkim-genkey -s default -d example.com
sudo chown opendkim:opendkim default.private
# Publish default.txt as a TXT record for: default._domainkey.example.comПодключите OpenDKIM/OpenDMARC к Postfix в качестве milters в файле /etc/postfix/main.cf:
milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:127.0.0.1:8891, inet:127.0.0.1:8893
non_smtpd_milters = $smtpd_miltersПерезагрузите службы после внесения изменений в конфигурацию.
8) Публикация SPF, DKIM, DMARC и r.DNS
Добавьте или проверьте эти данные. DNS записи (замените на ваши значения):
; A and MX
mail.example.com. IN A 203.0.113.10
example.com. IN MX 10 mail.example.com.
; SPF
example.com. IN TXT "v=spf1 a mx ip4:203.0.113.10 ~all"
; DKIM (from your generated default.txt)
default._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqh..."
; DMARC (monitoring mode first)
_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com; fo=1"
; Later tighten DMARC to p=quarantine or p=reject after testingПодтвердите PTR (r)DNS) сопоставляет 203.0.113.10 → mail.example.com и что это соответствует вашему SMTP-баннеру (myhostname).
9) Создайте почтовые ящики и протестируйте.
Для пользователей системы:
sudo adduser alice
sudo -u alice maildirmake.dovecot ~/Maildir
sudo -u alice maildirmake.dovecot ~/Maildir/.Sent
sudo -u alice maildirmake.dovecot ~/Maildir/.TrashОтправьте тестовое сообщение и проверьте журналы:
echo "Test body" | mail -s "Hello" alice@example.com
sudo tail -n 100 /var/log/mail.log # Ubuntu/Debian
sudo journalctl -u postfix -u dovecot # RHEL/RockyИспользуйте почтовый клиент (Thunderbird, Outlook, Apple Mail) с протоколами IMAPS (993) и SMTP Submission (587). Убедитесь, что включена опция «Использовать TLS» или «STARTTLS».
10) Дополнительно: Веб-почта (Roundcube)
Установите Roundcube и настройте его на использование протокола IMAP/SMTP на локальном хосте с TLS. Защитите виртуальный хост веб-почты с помощью HTTPS. Давайте зашифровать сертификат.
Рекомендации по доставке
- Начните подготовку новых IP-адресов: начинайте с нескольких сотен писем в день и постепенно увеличивайте объем.
- Поддерживайте чистоту списка подписчиков: подтверждайте согласие на получение рассылок, оперативно удаляйте недоставленные письма и жалобы.
- Наладьте механизмы обратной связи с крупными интернет-провайдерами, где это возможно.
- Внедрить записи MTA-STS и TLS-RPT TXT для обеспечения соблюдения и мониторинга протокола TLS.
- Рассмотрите возможность использования BIMI после того, как DMARC достигнет уровня p=карантин или p=отклонение, и у вас есть VMC.
Основные принципы повышения уровня безопасности
- Fail2ban: блокирует злонамеренные попытки аутентификации в Postfix/Dovecot.
- Отключите VRFY и EXPN в Postfix, чтобы предотвратить сбор адресов.
- Внедрите надежную аутентификацию и уникальные пароли; рассмотрите возможность ограничения количества запросов на пользователя/IP-адрес.
- Поддерживайте сервер в актуальном состоянии; автоматическое продление TLS-сертификатов с помощью таймеров Certbot.
- Никогда не допускайте разомкнутого реле: проверяйте реле с помощью онлайн-сервисов проверки реле.
# Example Postfix hardening fragments
smtpd_helo_required = yes
disable_vrfy_command = yes
maximal_backoff_time = 4000s
smtp_tls_mandatory_ciphers = highМониторинг, резервное копирование и постоянное обслуживание
- Журналы: отслеживайте файл /var/log/mail.log (Debian/Ubuntu) или journalctl в RHEL.
- Показатели: отслеживание длины очереди, отложенных сообщений и причин отклонения.
- Резервные копии: включают Maildirs, конфигурации Postfix/Dovecot/Rspamd и ключи DKIM.
- Черные списки: проверьте Spamhaus, SORBS, Barracuda; незамедлительно удалите из черных списков, предоставив подтверждающие документы.
- Обучение пользователей: научить использованию надежных паролей и протоколов IMAPS/Submission.
Распространенные ошибки и быстрые исправления
- Не удается отправить в Gmail/Outlook: проверьте rDNS, выравнивание SPF, DKIM, DMARC, и что порт 25 открыт.
- Ошибки TLS: проверьте пути к сертификатам в Postfix/Dovecot и убедитесь, что CN/SAN соответствуют имени хоста почтового сервера.
- Ошибка аутентификации: убедитесь в наличии разрешений для сокета аутентификации Dovecot и совпадении имен пользователей/паролей.
- Предупреждения о включении ретранслятора: проверьте настройки smtpd_recipient_restrictions и milter; требуется аутентификация.
- Сообщения, помеченные как спам: улучшить контент, прогреть IP-адрес, включить карантин DMARC и уменьшить количество сокращающих ссылки.
Когда следует выбирать управляемую электронную почту или YouStable
Управление собственной системой MTA обеспечивает контроль, но требует бдительности. Если вы предпочитаете... manageпуть d, YouStableАвтора специальные серверы поставляются с чистыми IP-адресами, рDNS Помощь и круглосуточная поддержка. Наша команда поможет вам внедрить Postfix/Dovecot или настроить панель управления и обеспечить корректное развертывание SPF, DKIM и DMARC для надежной доставки сообщений.
Часто задаваемые вопросы: Настройка почтового сервера
Как быстрее всего настроить почтовый сервер на выделенном сервере?
Используйте панель управления хостингом, например cPanel. Pleskили DirectAdmin. Он автоматизирует создание почтовых ящиков, DKIM, SPF и веб-почту. Вам все равно потребуется правильно настроить параметры. DNS получайте инвестиции DNSДля полного контроля и снижения стоимости лицензирования следуйте инструкциям по использованию Postfix/Dovecot, приведенным в этом руководстве.
Почему мои электронные письма попадают в спам, даже после установки SPF и DKIM?
Репутация и контент имеют значение. Подготовьте свой IP-адрес, включите DMARC с выравниванием, убедитесь, что...DNS Соответствуйте запросам и избегайте спам-контента (избыток ссылок, сокращатели, вводящие в заблуждение темы). Внедрите фильтрацию спама и сведите к минимуму количество жалоб и отказов.
Нужно ли открывать порт 25, если я использую порт 587 для отправки запроса?
Да. Для нормальной работы почтового сервера необходимо принимать и отправлять межсерверные SMTP-сообщения через порт 25. Порт 587 предназначен для отправки сообщений аутентифицированными клиентами. Если ваш провайдер блокирует порт 25, запросите его разблокировку или используйте доверенного SMTP-ретранслятора (умный хост).
Rspamd лучше, чем SpamAssassin?
Rspamd — современная, быстрая программа, интегрирующая DKIM/DMARC/ARC с мощными наборами правил. SpamAssassin остается надежной и более простой в освоении для многих администраторов. Выбирайте, исходя из удобства использования; обе программы могут показать отличные результаты при правильной настройке.
Как безопасно масштабировать отправку данных на новом выделенном IP-адресе?
Начните с малого (например, 200–500 сообщений в день), отслеживайте показатели отказов/жалоб и постепенно увеличивайте объем в течение 2–4 недель. С первого дня используйте аутентификацию с помощью SPF/DKIM/DMARC, сегментируйте трафик по типу и поддерживайте строгую чистоту списка рассылки для создания положительной репутации.
При тщательной настройке, подтверждено. DNSБлагодаря надежному протоколу TLS и стабильному формированию репутации, вы можете запустить надежную и безопасную почтовую службу на своем выделенном сервере. Если вам нужна помощь эксперта или... manageразвертывание, YouStable готов оказать помощь.
