09.08.2025 11:15
pythagoreantree 74 6600 Источник

Эта статья о том, как развернуть свой почтовый сервер, обслуживающий собственный домен.

Это, разумеется, не первая публикация на Хабре на эту тему. Тем не менее, я хочу поднять ее снова и поделиться личным опытом: рассказать, как я настраивала собственную почту, показать этот процесс от начала и до конца. Одна из моих целей — максимальная прозрачность, чтобы любой человек, следуя шаг за шагом, смог повторить всё описанное здесь и получить рабочий результат.

Перед тем как мы начнём, стоит ответить на вопрос: «А зачем вообще нужна своя почта?» Ведь у нас уже есть крупные почтовые сервисы вроде Gmail, Yandex, Mail.ru — они бесплатные, привычные, надёжные. Более того, в 2025 году почта многим вообще кажется анахронизмом. Кто ей пользуется? Кто читает письма?

И вот тут становится интересно. Если честно, у меня не так уж много аргументов, чтобы вас убедить. Когда‑то e‑mail был основным каналом связи, и люди ждали прихода нового письма. Сегодня же почти всё общение переместилось в мессенджеры — Telegram, WhatsApp, соцсети. Электронную почту массово захлестнул спам и маркетинговые рассылки. Казалось бы — всё, пора прощаться. Но... нет.

Электронная почта всё ещё остаётся базовым, универсальным и технически зрелым способом связи. Она понятна, совместима с чем угодно, и работает даже там, где ничего больше не работает. А главное — она не зависит от одного сервиса, компании или приложения.

Есть ещё более глубокий мотив — желание контролировать своё цифровое пространство. С развитием технологий каждый из нас в сети становится «не просто юзером», а цифровым профилем конкретного человека. И возникает естественное стремление иметь что‑то своё. Например, вместо того чтобы использовать Gmail, вы можете настроить свою собственную почту — и тогда никто не будет читать ваши письма, кроме вас. Никто не решит за вас, какие письма доставлять, а какие — фильтровать. Да, есть провайдер, есть маршруты, но вы становитесь самостоятельным участником цифрового мира.

Третья причина — самопрезентация. В адресе vasya@pupkin.space уже звучит индивидуальность. Это не просто красивая обёртка, а сигнал: «Я знаю, как всё это устроено». Отличный способ выделиться, особенно если вы специалист в сфере IT.

И наконец — любопытство. Мне лично было чертовски интересно. Разобраться, настроить, увидеть, как летит первое письмо — от меня самой, на мой домен. Это настоящее инженерное удовольствие.

Если вы дочитали до этого места — возможно, вас уже немного зацепило. Значит, самое время начать. Статья написана в формате пошаговой инструкции, но по ходу я буду вставлять теоретические замечания и пояснения — чтобы вы не просто повторяли команды, а понимали, что делаете.

Приступим!

Подготовка

Что нужно, чтобы сделать свою электронную почту?

Для начала посмотрим, как вообще устроена обычная электронная почта. Вот, например, адрес: vasya_pupkin@mail.ru. Вначале идёт никнейм (выбранное имя), затем символ @, а после — домен mail.ru.

mail.ru — это домен, за которым стоит чужой почтовый сервер. Нам же хочется уйти от зависимости от чужих сервисов (Mail.ru, Gmail, Yandex и др.) и настроить всё под себя. Для этого нужно зарегистрировать собственный домен в глобальной системе доменных имён.

В интернете есть множество сервисов, где можно арендовать домен и закрепить его за собой. Я не буду рекомендовать конкретную платформу — это была бы реклама. Выбор остаётся за вами. Аренда домена платная, но совсем недорогая. Цена чашки кофе за год обслуживания — это небольшая плата за вашу цифровую свободу.

Допустим, вы зарегистрировали домен. Теперь у вас есть, скажем, pupkin.space, и в перспективе ваша электронная почта будет выглядеть, например, так: vasya@pupkin.space.

Второе, что необходимо — арендовать VPS с белым (публичным) статическим IP-адресом. Теоретически, почтовый сервер можно было бы развернуть и на домашнем компьютере, но в большинстве случаев у пользователей провайдеры используют NAT. Это значит, что ваша машина не имеет постоянного внешнего IP-адреса — он может меняться, или быть вовсе недоступен извне. А для работы почтового сервера критически важно, чтобы его IP-адрес оставался стабильным и был доступен из интернета. Существуют способы обойти эти ограничения (например, с помощью туннелей или специальных прокси-сервисов), но в рамках этой статьи мы рассматриваем конфигурацию именно для полноценного статического IP-адреса. Возможно, в будущем я доработаю статью для домашнего сервера, но конкретно сейчас нам нужен VPS с белым статическим IP!

Кому-то такая необходимость может показаться неудобной, но на самом деле VPS — это довольно практичное решение. Это удалённый сервер, который работает круглосуточно, не тратит ваше электричество и освобождает вас от забот о стабильности соединения. И, что особенно приятно — на нём можно запускать не только почтовый сервер. Например, я со временем разместила там свой сайт-визитку — и до сих пор получаю удовольствие от того, что у меня все под контролем :-)

VPS тоже арендуется у провайдеров, предоставляющих такие услуги. Конкретные названия я не привожу, чтобы не превращать текст в рекламу — подходящий вариант вы без труда найдёте под свой бюджет и задачи. Вместе с тем, я призываю подойти к выбору провайдера с особым вниманием.

Дело в том, что для почтового SMTP-сервера критически важен открытый 25-й порт. Многие бюджетные хостеры по умолчанию его блокируют — и, что хуже, могут не разблокировать даже по заявке. Поэтому обязательно заранее проверьте, предоставляет ли выбранный вами провайдер возможность работы с портом 25. Без него почта с вашего сервера просто не сможет быть отправлена.

После того как вы арендовали домен и VPS, у вас на руках должно быть две основные вещи:

  • Доменное имя — например, pupkin.space, только ваше и в той зоне, которую вы выбрали (.com, .org, .ru и т.д.).

  • Виртуальный сервер — машина с установленной Linux-системой (например, Ubuntu 20.04) и статическим белым IP-адресом. В этой статье мы будем использовать для примера IP 123.123.123.123.

Далее следует полная инструкция с пояснениями по настройке DNS и SMTP серверов. В ней pupkin.space нужно заменить на ваш домен, а IP-адрес 123.123.123.123 — на ваш белый IP от хостера.

Bind9 (DNS-сервер)

Перед тем как приступить к настройке, разберёмся, зачем вообще нужен DNS‑сервер и как он связан с доменом.

В интернете существует иерархия доменных имён. На самом верху — корневой домен (обозначается как .), от него идут домены верхнего уровня (TLD): .com, .net, .ru и т. д. Ниже располагаются домены второго уровня, например google.com. или mail.ru., затем — третьего уровня и так далее.

Каждый уровень иерархии обслуживается DNS‑серверами — это распределённая система, в которую входят:

  • авторитетные (primary/secondary) DNS‑серверы, которые хранят полную информацию о конкретной зоне

  • кэширующие (резолверы) — они запоминают ответы, чтобы ускорить последующие запросы

Когда, например, вы отправляете письмо на адрес в чужом домене, например, с mail.ru на gmail.com, ваша система должна определить IP‑адрес почтового сервера получателя. Для этого она формирует DNS‑запрос, который проходит через всю цепочку DNS‑серверов — от локального резолвера и выше по иерархии, пока не найдёт нужную зону, где указано, какой сервер отвечает за приём почты для этого домена.

Именно благодаря DNS становится возможным связать доменное имя с конкретным хостом, на котором запущен почтовый сервер.

Наша задача — встроиться в эту систему. Мы уже арендовали домен, теперь хотим, чтобы его обслуживал наш собственный DNS‑сервер, а не DNS‑сервер регистратора.

Для этого мы:

  1. Настроим DNS-сервер (Bind9)

  2. Опишем DNS-зону для нашего домена

  3. Пропишем в ней, где находится наш почтовый сервер и какой у него IP-адрес

  4. Передадим DNS-серверу управление нашим доменом

Приступим!

1. Установка DNS-сервера

Устанавливаем Bind9 на VPS:

sudo apt update
sudo apt install bind9 bind9utils bind9-doc

2. Конфигурация сервера

Редактируем основной конфигурационный файл:

sudo nano /etc/bind/named.conf.local

Добавляем:

zone "pupkin.space" {
	type master;
	file "/etc/bind/zones/db.pupkin.space";
};

Помимо основного, стоит добавить несколько записей в файл опций:

sudo nano /etc/bind/named.conf.options

Пример содержимого:

options {
	directory "/var/cache/bind";

	dnssec-validation auto;

	allow-query { any; };

	listen-on port 53 { any; };
	listen-on-v6 { any; };

	allow-recursion { none;};
	recursion no;
};

Это хорошие минимальные и безопасные настройки.

3. Файл зоны

Следующим шагом идет создание DNS-зоны.

DNS-зона — это часть пространства доменных имён, за которую отвечает конкретный DNS-сервер. В ней хранятся все записи, связанные с этим доменом и его поддоменами. Для нашего почтового сервера выберем поддомен dev.

Создаём директорию зон, если её нет:

sudo mkdir /etc/bind/zones

Создаём файл зоны:

sudo nano /etc/bind/zones/db.pupkin.space

Пример содержимого:

$TTL 604800 ;
@	IN	SOA	dev.pupkin.space. admin.pupkin.space. (
			      3		; Serial
			  604800	; Refresh
			  86400		; Retry
			 2419200	; Expire
			  604800)	; Negative Cache TTL
;
		IN	NS		dev
		IN	NS		ns2
		IN	TXT		"v=spf1 ip4:123.123.123.123 -all"
		IN	MX 5	dev

dev     IN  A       123.123.123.123
ns2     IN  A       123.123.123.123
www		IN	CNAME	dev

Пояснение к записям:

  • $TTL (Time to Live) — время жизни записей в кэше других DNS-серверов. Показывает, как долго кэширующие серверы могут хранить данные зоны без повторного запроса. Значение применяется ко всем записям в файле. В данном случае записи будут храниться 7 дней (604800 секунд).

  • SOA (Start of Authority) — обязательная и единственная запись, с которой начинается каждая зона. Указывает:

    • основной DNS-сервер зоны — dev.pupkin.space.

    • email администратора зоны — admin.pupkin.space. (точка вместо @)

    • а также включает следующие параметры:

      • Serial — номер версии зоны. Его обязательно нужно увеличивать при каждом изменении зоны, иначе другие серверы не узнают, что произошли обновления.

      • RefreshRetryExpireNegative Cache TTL — интервалы, которые определяют поведение secondary-серверов и кэширование ошибок.

  • NS (Name Server) — указывает, какие DNS-серверы обслуживают зону:

    • dev — наш основной (primary) сервер

    • ns2 — резервный (secondary) сервер (если нет альтернатив, то это тоже наш сервер)

  • TXT — универсальный тип записи. Здесь мы используем его для SPF (Sender Policy Framework) — механизма защиты от подделки отправителя. В записи "v=spf1 ip4:123.123.123.123 -all" говорится: письма от имени домена pupkin.space могут отправляться только с IP-адреса 123.123.123.123. Всё остальное — спам.

  • MX (Mail Exchanger) — указывает, какой хост обрабатывает почту для домена. Мы пишем dev, что значит: именно этот сервер будет принимать входящую почту.

  • A (Address) — связывает доменное имя с IP-адресом. Например, dev.pupkin.space. указывает на 123.123.123.123.

  • CNAME (Canonical Name) — задаёт псевдоним: www.pupkin.space. будет перенаправлен на dev.pupkin.space.. Это удобно, чтобы не дублировать A-записи.

Примечание: в файле зоны имя dev мы можем указывать без полного доменного имени (dev.pupkin.space.), потому что внутри файла зоны все неполные имена интерпретируются относительно текущей зоны (pupkin.space.). То есть запись MX 5 dev автоматически понимается как MX 5 dev.pupkin.space. и тд.

DNS-зону, как правило, обслуживают два сервера: основной (primary) и резервный (secondary). Primary-сервер отвечает за зону и содержит основной файл зоны, а secondary-сервер поддерживает его копию и обрабатывает запросы, если основной недоступен.

Идеально иметь два отдельных сервера, но у нас только один. Есть несколько вариантов, как выйти из этой ситуации:

  1. Попросить знакомого предоставить свой DNS-сервер в качестве secondary.

  2. Указать оба — и primary, и secondary — на один и тот же сервер. Это не лучший вариант с точки зрения отказоустойчивости, но он работает и не требует второго сервера.

  3. Использовать один сервер свой, а в качестве второго — сервер регистратора. Этот вариант я не рекомендую: регистраторы неохотно работают с внешними серверами, что может привести к дополнительным трудностям.

В нашем случае мы используем второй вариант, когда и primary, и secondary находятся на одной машине.

4. Проверка зоны и применение конфигурации:

После редактирования нужно убедиться, что файл зоны написан корректно:

sudo named-checkzone pupkin.space /etc/bind/zones/db.pupkin.space
sudo named-checkconf

Если всё в порядке — перезапускаем сервер:

sudo systemctl restart bind9

Проверка статуса:

sudo systemctl status bind9

(выйти из просмотра - :q)

Если все хорошо, Bind9 покажет статус Active: active (running), если же сервер упадет, то надо еще раз проверить, нет ли ошибок конфигурации, после чего идти в логи:

sudo journalctl -u named.service -n 50

или

sudo journalctl -u named.service -f

(выйти из просмотра - Ctrl+C)

В качестве последнего штриха убедимся, что Bind9 слушает 53 порт и доступен извне.

sudo ss -lnptu | grep :53

Вывод должен быть примерно следующим (только больше):

udp   UNCONN  0      0       0.0.0.0:53       0.0.0.0:*    users:(("named",pid,fd))
tcp   LISTEN  0      10      0.0.0.0:53       0.0.0.0:*    users:(("named",pid,fd))

Проверим также настройки UFW (фаервол):

sudo ufw status verbose

Если вы не видите среди них разрешения на 53 порт, то его нужно добавить:

sudo ufw allow 53/udp
sudo ufw reload

У вас может быть другой фаервол, если это так, подбирайте настройки соответственно.

5. Делегирование зоны у регистратора

Сейчас наш домен обслуживается DNS‑серверами регистратора. После того как мы настроили свой DNS‑сервер, мы должны делегировать зону ему. Для этого мы идем туда, где регистрировали домен, находим в личном кабинете меню с управлением DNS‑серверами и прописываем вместо первого из них наш свеженастроенный dev.pupkin.space, а вместо второго ns2.pupkin.space. Для первого и второго также прописываем IP 123.123.123.123 — такая опция должна быть в интерфейсе. Если ее нет, то обратитесь в поддержку и попросите прописать glue‑record. Это специальная запись, которая нужна, потому что dev.pupkin.space — это поддомен в той же зоне pupkin.space, которую он должен обслуживать, и без явного указания IP его невозможно разрешить (возникает замкнутый круг). С ns2 ситуация аналогична.

6. Проверка делегирования и работы DNS-сервера

Теперь нужно убедиться, что делегирование прошло успешно и наш DNS-сервер обслуживает домен. Для этого можно воспользоваться онлайн-сервисами:

Второй вариант - использовать локальную утилиту dig. 

Ее можно установить следующим образом:

sudo apt install dnsutils

При помощи нее осуществляем проверки:

Проверка NS-записей:

dig pupkin.space NS +short

Ожидаемый результат:

dev.pupkin.space.
ns2.pupkin.space.

Здесь мы видим оба наших DNS-сервера.

Проверка MX-записей

dig pupkin.space MX +noall +answer

Ожидаемый результат:

pupkin.space.	IN	MX	5 dev.pupkin.space.

Это означает, что почта для домена будет приходить на dev.pupkin.space..

Проверка SPF-записи

dig pupkin.space TXT +short

Ожидаемый результат:

"v=spf1 ip4:123.123.123.123 -all"

Если вы добавляли SPF-запись — она должна отобразиться здесь.

Проверка полной трассировки DNS-запроса

dig pupkin.space any +trace

Показывает полную цепочку разрешения — от корневых серверов до нашего DNS-сервера. Если трассировка не срабатывает локально, попробуйте сделать трассировку запроса через онлайн-сервисы.

Если вы по dig-командам или онлайн-сервисам получили соответствующие записи - это хорошо, значит зона отдалась :-)

7. PTR-запись

В завершение стоит настроить PTR‑запись, также называемую reverse DNS (rDNS). Эта запись не обязательна для работы DNS‑сервера, но критически важна для почтового сервера — без неё почта с вашего IP‑адреса может массово блокироваться другими серверами.

Если A‑запись сопоставляет доменное имя с IP‑адресом, то PTR‑запись наоборот сопоставляет IP‑адрес с доменом. Благодаря этому получатель письма может проверить, что IP‑адрес, с которого пришло письмо, действительно соответствует доменному имени отправителя. Если такая проверка не проходит на стороне получателя, то ваше письмо может быть помечено как спам или отклонено.

PTR‑запись нельзя создать самостоятельно — её можно добавить только через провайдера VPS. Обычно это делается через поддержку: вы пишете письмо, указываете ваш IP‑адрес и доменное имя, которое хотите назначить, и просите настроить PTR‑запись. У разных хостеров процедура может отличаться, но обычно это делается в течение нескольких дней.

Примечание: в некоторых случаях все же создание PTR‑записи есть в UI у хостера, попробуйте поискать.

После того как провайдер подтвердил добавление, можно проверить запись двумя способами:

Способ 1: с помощью команды dig

dig -x 123.123.123.123 +short

Ожидаемый результат:

dev.pupkin.space.

Способ 2: с помощью команды host

host 123.123.123.123

Ожидаемый результат:

123.123.123.123.in-addr.arpa domain name pointer dev.pupkin.space.

Если вывод показывает нужный домен — всё работает. Если ничего не возвращается или указан домен провайдера — значит PTR-запись ещё не прописана.

На этом настройка DNS-сервера завершена. Теперь наш собственный DNS-сервер отвечает за домен и указывает, где находится почтовый сервер для приёма и отправки писем. Следующим шагом мы развернём уже непосредственно сам почтовый SMTP-сервер с помощью Postfix.

Postfix (SMTP-сервер)

SMTP‑сервер — это почтовый сервер, который использует протокол SMTP (Simple Mail Transfer Protocol) для отправки и получения электронной почты между почтовыми клиентами и другими серверами. Он отвечает за корректную доставку сообщений, маршрутизацию почты и взаимодействие с другими почтовыми системами в интернете.

В нашей почтовой архитектуре SMTP‑сервер будет обслуживать только локальных пользователей операционной системы Linux, то есть принимает почту исключительно для учётных записей, созданных непосредственно на сервере. У каждого такого пользователя есть собственный почтовый ящик — это либо файл /var/mail/vasya, либо, как в нашем случае, директория ~/Maildir/, если используется формат Maildir. Мы будем использовать именно его: каждое входящее письмо будет храниться в отдельном файле, что удобнее для чтения, фильтрации и резервного копирования.

Когда SMTP‑сервер принимает почту для конкретного пользователя, он помещает сообщение во внутреннюю очередь, выполняет базовую фильтрацию и доставляет его в соответствующий почтовый ящик. Адрес пользователя строится по схеме vasya@pupkin.space, где vasya — имя локальной учётной записи, а pupkin.space — домен, которым управляет наш сервер. Таким образом, почта обслуживается только для своих локальных пользователей внутри заданного домена.

О "своих" и "чужих"

Для нашего SMTP-сервера:

  • "Своими" считаются локальные пользователи системы

  • "Чужими" — все внешние адресаты и отправители из других доменов

SMTP-сервер может доставлять письма по принципу:

  • "свои" → "свои"

  • "чужие" → "свои"

  • "свои" → "чужие"

но никогда!!! "чужие" → "чужие".

Разрешение пересылки "чужим от чужих" превращает сервер в открытый релей (open relay), за что он моментально попадает в черные списки, и восстановить его репутацию будет уже невозможно. Настройки, которые мы разберём ниже, надёжно защищают от этого, но настраивать Postfix следует очень внимательно.

1. Установка Postfix

Устанавливаем Postfix на VPS:

sudo apt update
sudo apt install postfix

Во время установки система задаст несколько вопросов. Выберите тип конфигурации "Internet Site", а в качестве системного почтового домена укажите ваш домен pupkin.space.. Если в меню у вас не будет получаться выбрать Ok, попробуйте стрелочки влево-вправо.

2. Конфигурация Postfix

Редактируем основной конфигурационный файл:

sudo nano /etc/postfix/main.cf

Пример содержимого:

# See /usr/share/postfix/main.cf.dist for a commented, more complete version

выйти из просмотра
# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_security_level=none

smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level=none
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_generic_maps = hash:/etc/postfix/generic

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination

myhostname = dev.pupkin.space
mydomain = pupkin.space
myorigin = $mydomain
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

mydestination = $myhostname, $mydomain, localhost

relayhost = 
relay_domains =

mynetworks = host 

mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all

Комментарии к важным настройкам

  • myhostnamemydomainmyorigin — задают имя хоста и домен, с которыми будет работать сервер.

  • mydestination — список доменов, для которых этот сервер принимает входящую почту. Например, для пользователя vasya будут приниматься письма, отправленные на:

    • vasya@pupkin.space

    • vasya@dev.pupkin.space

    • vasya@localhost

  • mynetworks = host — важнейшая настройка, определяющая, откуда можно отправлять письма. В данном случае разрешена отправка только с самого сервера. Это безопасно на первом этапе, когда мы будем использовать локальные утилиты вроде mutt для отправки.

  • smtpd_relay_restrictions — строго определяет, кто имеет право на пересылку.

    • permit_mynetworks — разрешает отправку с локальной машины

    • permit_sasl_authenticated — авторизованные пользователи (например, при работе с IMAP/SMTP-клиентами в будущем)

    • reject_unauth_destination — всё остальное запрещается. Это основной щит от превращения сервера в open relay

Прежде чем отправлять письма, нужно также проверить работоспособность 25-го порта - это основной порт, по которому проходят SMTP-соединения.

Сначала проверим, слушает ли Postfix нужный порт:

sudo ss -tnlp | grep :25

Ожидаемый вывод — строка, где видно, что процесс master (Postfix) слушает порт 0.0.0.0:25 или [::]:25. Это означает, что сервер готов принимать подключения на всех сетевых интерфейсах.

Теперь проверим доступ к порту извне (с вашей локальной машины вне VPS):

telnet dev.pupkin.space 25

(из telnet выход QUIT)

или

nc -vz dev.pupkin.space 25

Если соединение устанавливается — отлично, порт открыт, всё работает.

Если же команда «висит» или завершается ошибкой вроде Connection timed out или Connection refused, есть два варианта: либо мешает фаервол, либо ваш хостинг-провайдер блокирует порт.

  • В первом случае можно попробовать временно отключить или перенастроить UFW (или другой фаервол).

  • Во втором случае — придётся писать в поддержку и подавать заявку на разблокировку 25 порта.

Некоторые провайдеры не разблокируют его вовсе — поэтому при выборе VPS об этом лучше уточнять заранее (!). К счастью, большинство адекватных хостеров этот порт открывают без проблем, особенно по запросу.

Далее проверим настройки UFW (если он используется):

sudo ufw status verbose

Если Status: active, и вы не видите разрешения на порт 25, надо добавить:

sudo ufw allow 25/tcp
sudo ufw reload

Поделюсь опытом, у меня после настройки SMTP-сервера почта не ходила именно из-за UFW. Только после  добавления правилаsudo ufw allow 25/tcp я смогла отправлять и принимать почту.

3. Применение конфигурации

После внесения изменений:

sudo postfix check
sudo systemctl restart postfix

Проверка статуса:

sudo systemctl status postfix

(выйти из просмотра - :q)

Если все хорошо, Postfix покажет статус Active: active, иначе идем в логи:

sudo tail -n 50 /var/log/mail.log

или

sudo tail -f /var/log/mail.log

(выйти из просмотра - Ctrl+C)

4. Создание пользователя

Наша работа по конфигурации почтового сервера подошла к следующему этапу — созданию пользователя. Если до этого момента мы настраивали только системные конфиги от имени root (как и положено в цивилизованном мире), то теперь пора перейти к реальному взаимодействию с почтовой системой, а для этого нам нужен пользователь, например, vasya.

Создаём пользователя в Linux:

sudo adduser vasya

Особое внимание стоит уделить паролю. Очень часто пользователи ставят что‑то вроде Vpupkin87, и кажется, что всё в порядке. Но если вы сидите на VPS с публичным статическим IP, такой пароль могут подобрать за несколько часов. Я, например, по наивности сделала слабый пароль и уже на второй день получила троян‑майнер, а вместе с ним — гневное письмо от хостера с требованием немедленно прекратить слать миллионы запросов, иначе мой сервер будет уничтожен.

Вывод: придумывайте пароль не короче 12–15 символов, состоящий из строчных и заглавных латинских букв, цифр и спецсимволов — и обязательно вперемешку!

Пример: UwFP7=5iC5TA.

Это не паранойя — это здравый смысл!

Примечание: на этом этапе вход по паролю можно пока оставить включённым. Но после того, как вы всё настроите и проверите, стоит настроить вход по SSH‑ключу — это безопаснее и удобнее. Здесь я не буду описывать эту настройку подробно, вы легко найдёте инструкцию сами. Просто помните: если отключить вход по паролю слишком рано, то некоторые утилиты, требующие ручного ввода пароля, станут недоступны.

5. Маппинг email-адресов

Если вы хотите, чтобы письма от root или vasya@localhost выглядели как vasya@pupkin.space, создайте файл /etc/postfix/generic:

root@pupkin.space         vasya@pupkin.space
vasya@localhost           vasya@pupkin.space

Затем:

sudo postmap /etc/postfix/generic
sudo postfix check
sudo systemctl restart postfix
sudo systemctl status postfix

6. Переход на Maildir

По умолчанию Postfix использует формат mbox, при котором все письма одного пользователя хранятся в одном большом файле /var/mail/vasya. Это неудобно. Лучше использовать формат Maildir, где каждое письмо — отдельный файл в директории ~/Maildir.

Чтобы переключиться:

В /etc/postfix/main.cf в любое место необходимо добавить строку:

home_mailbox = Maildir/

После этого перезапустите Postfix:

sudo postfix check
sudo systemctl restart postfix
sudo systemctl status postfix

Установите maildrop, чтобы создать директорию Maildir:

sudo apt install maildrop

Создайте структуру Maildir для нужного пользователя (например, vasya):

sudo -u vasya bash
maildirmake ~/Maildir
maildirmake ~/Maildir/.Sent
maildirmake ~/Maildir/.Drafts
chmod -R 700 ~/Maildir
exit

Теперь, когда вы отправите себе письмо, оно появится в ~/Maildir/new/.

На этом этапе базовая настройка SMTP‑сервера завершена. Остался последний штрих — подключение локального почтового клиента (mutt), чтобы можно было отправлять и читать письма прямо на сервере.

Mutt E-mail Client

Mutt — это лёгкий консольный почтовый клиент, идеально подходящий для серверов без графического интерфейса. Он не требует много ресурсов, работает в терминале и прекрасно справляется с базовыми задачами: чтение, отправка и организация почты.

Почему именно Mutt:

  • Подходит для системной почты и повседневной работы на сервере

  • Прост в установке и конфигурации

  • Позволяет лучше понять внутреннюю механику email

  • Поддерживает работу с Maildir и mbox, внешними MTA (Postfix, Sendmail и др.)

  • Гибко настраивается через .muttrc

1. Установка mutt

Устанавливаем mutt под рутом:

sudo apt install mutt

2. Конфигурация mutt

Создаем файл конфигурации .muttrc для пользователя vasya

sudo nano /home/vasya/.muttrc

В файл прописываем следующие настройки:

# Disable sorting
set sort=mailbox-order

# Set the desired default "from" address for both header From and envelope-from
set from="vasya@pupkin.space"
set envelope_from=yes
set use_domain=no

# Maildir
set mbox_type=Maildir
set folder="/home/vasya/Maildir"
set spoolfile="/home/vasya/Maildir"
set record="+.Sent"
set postponed="+.Drafts"

# Recognize these as own addresses for displaying +/T/C marks on messages, as
# well as for the reverse_name setting
alternates "vasya@pupkin.space"

# When replying to or forwarding a message sent to a recognized own address
# (see above), reuse the same full name and address that the message was
# addressed to as the new "from" address
set reverse_name=yes

# Maybe use ~/tmp instead of /tmp - useful when /tmp is on tmpfs, to not lose
# edits on power failure
set tmpdir="/home/vasya/tmp"

# Decode and/or decrypt messages when searching (much slower and prompts for
# passphrase on first encrypted message encountered)
set thorough_search="yes"

# Use this when "ispell" is actually the "aspell" wrapper (press "i" to invoke)
set ispell="ispell --mode=email"

# By default, Mutt adds the original sender's address to Subject on forwards,
# which we usually don't want
set forward_format="Fwd: %s"

# Don't display these headers by default (press "h" to display full headers)
ignore Delivered-To X-Delivery-ID X-Priority X-MSMail-Priority X-MimeOLE X-Spam-Checker-Version X-Spam-Level X-Spam-Status Precedence X-No-Archive List- DomainKey-Signature In-Reply-To User-Agent DKIM-Signature X-Google-Sender-Auth

# Highlight the obfuscated e-mail addresses in our RPM %changelogs, etc.
color body brightcyan default "<[-a-z_0-9.+]+[- ]at[- ][-a-z_0-9.]+>"

# If you're using a local SpamAssassin bayes database, you might want to bind a
# key, such as Shift-S on the index, to invoke sa-learn and mark messages as
# deleted.
#macro index S "| sa-learn --spam --no-sync --single\n<delete-message>" "spam learn"

# ...append /usr/share/doc/mutt-1.4*/gpg.rc to here
#source ~/.mutt/gpg

bind pager <up> previous-line
bind pager <down> next-line
bind index F flag-message
bind pager F flag-message
bind index x sync-mailbox

После редактирования достаточно сохранить и выйти.

Не забудьте под vasya создать директорию /tmp, иначе вы не сможете в mutt открывать письма.

sudo mkdir /home/vasya/tmp
sudo chown vasya:vasya /home/vasya/tmp
sudo chmod 700 /home/vasya/tmp

3. Использование mutt

После всего этого можно спокойно использовать mutt для просмотра и отправки писем. Чтобы в него войти, используйте команду:

mutt

Навигация и действия отображаются в верхнем меню. Почта будет храниться в ~/Maildir, а отправленные — в ~/Maildir/.Sent.

4. Тестирование

Финальным шагом будет полноценное тестирование работы вашей почты — как входящей, так и исходящей. Если у вас есть друг, готовый помочь — отлично. Если нет, используйте личные почтовые ящики, например, Gmail, Mail.ru или Yandex. Чем больше комбинаций вы проверите, тем выше вероятность, что конфигурация действительно работает корректно.

От vasya:

  1. Заходим в mutt.

  2. Нажимаем m (новое письмо), указываем получателя и тему.

  3. Печатаем текст, затем ^X (если используете nano) и y, видим Mail Sent.

  4. Идем в директорию ~/Maildir/.Sent/cur и убеждаемся, что там появилось наше письмо.

  5. Убеждаемся, что письмо появилось у получателя на внешней почте.

Если что-то не сработало, идем в логи и ищем, по какой причине письмо не удалось доставить.

sudo tail -n 100 /var/log/mail.log

Для vasya:

  1. Заходим на какую-нибудь имеющуюся почту на Mail.ruGmail или Yandex.

  2. Отправляем письмо на vasya@pupkin.space.

  3. Заходим в mutt и видим письмо, можем его прочитать.

  4. Проверяем, что это письмо появилось в ~/Maildir/new.

Если письмо не пришло -> идем в логи.

Если оба направления работают — поздравляю, у вас функционирующий SMTP‑сервер, который способен как принимать, так и отправлять почту!!! Ура‑ура!!!

Заключение

В ходе этой инструкции мы развернули DNS‑сервер, полноценный SMTP‑сервер на собственном домене, создали локального пользователя, подключили почтовый клиент и протестировали приём и отправку писем. По сути, мы получили простую, но полностью рабочую альтернативу почтовым сервисам вроде Gmail, Yandex или Mail.ru — только теперь вся система под нашим полным контролем.

Этот результат — уже само по себе достижение. Даже в минимальной конфигурации почтовый сервер:

  • функционирует в реальном домене

  • обрабатывает письма локальных пользователей

  • удовлетворяет базовым требованиям безопасности (в частности, не является open relay)

  • прост в эксплуатации и открыт к дальнейшему развитию

И самое важное — теперь у вас есть собственный почтовый сервер. Вы не просто скопировали мои настройки, вы поняли, как всё устроено — от маршрутизации до хранения писем в формате Maildir.

Выбранная почтовая архитектура очень хорошо подходит для личного пользования, но она отнюдь неидеальна.

Что в перспективе можно улучшить:

  1. DKIM/DMARC. Для повышения доверия к вашей почте и защиты от подделки отправителей стоит настроить цифровую подпись DKIM и политику DMARC через конфигурацию DNS‑записей.

  2. TLS. SMTP‑сервер на данном этапе не использует шифрование при передаче писем. Рекомендуется подключить поддержку TLS через Let's Encrypt и certbot, чтобы обеспечить безопасность вашей почтовой переписки.

  3. IMAP-сервер. Сейчас вы читаете почту через mutt прямо на сервере. Чтобы подключать внешние почтовые клиенты и приложения, потребуется IMAP‑сервер (например, Dovecot), обеспечивающий синхронизацию писем.

  4. Спам-фильтры. Можно настроить спам‑фильтры, которые блокируют входящий трафик, исходя из ваших предпочтений.

Можно было бы также поговорить о переносе сервера с VPS на домашнюю машину, организации резервного питания, создании зеркала конфигурации и прочих мерах устойчивости — но это уже следующий уровень. А пока — ваш собственный почтовый сервер готов!!!

Надеюсь, статья была вам полезна. Спасибо, что дочитали до конца!

Удачи вам в самостоятельной работе с почтовой инфраструктурой и дальнейшем изучении сетевых технологий!

До новых встреч!

Подготовлено в соавторстве с ByteRider

Комментарии (74)


  1. theprokhor
    09.08.2025 11:35
    #28683936

    Ну сейчас в большей степени своя почта, как и свой почтовый клиент имеет смысл только для бизнеса, что мы и сделали. Ну или если заниматься email-рассылкой еще.


    1. pythagoreantree Автор
      09.08.2025 11:35
      #28683954

      Вообще говоря да, ну может не только бизнеса, а для формальных контактов. Хотя я с некоторыми из друзей общаюсь именно в формате IM+Email, если нужно отправить что-то, что IM загромождает. Если общаться много и оперативно, то очень удобно.


    1. BugM
      09.08.2025 11:35
      #28684142

      Даже для бизнеса он не имеет смысла. Покупается подписка у большого почтового провайдера по вкусу и все работает из коробки. И даже выходит заметно дешевле чем самостоятельная поддержка своего решения с решением проблем "А почему письмо не дошло?"


      1. kenomimi
        09.08.2025 11:35
        #28685438

        Во-первых, с яндексом уже многие так попали, когда ПдД стала просить 250+ рублей за ящик.

        Во-вторых, если вы занимаетесь мелкой куплей-продажей и представляете собой неуловимого Джо, то можно и гмайлом условным пользоваться. А так... Не секрет, что все почтовики, даже b2b, индексируют содержимое почты, копаются там рекламным роботом, и обучают на этих данных нейросети. Еще агрегированные/обезличеные данные продаются третьей стороне, о чем тоже открыто сообщается. Как превращать обезличку в персоналку, учить, думаю, не надо... И более того, у кого-то вообще видел в договоре (емнип, AOL), что на всё, что прошло через провайдера, оный получает неограниченые исключительные права. Кто вычитывает специализированными юристами договоры со всеми приложениями в десятки тысяч страниц на почтовый сервис? Угу, разве что крупные корпорации, остальным это слишком дорого и сложно, потому там местами открытая дичь. И накрывать переписку сторонним шифрованием пользователи не умеют, это удел редких шифропанков...

        Потому своя почта, мессенджер (xmpp/SfB/... - тысячи их), файлопомойка и ВКС - джельтельменский набор любого бизнесмена, кто делает что-то новое, работает с госсектором, или представляет иной интерес для конкурентов/бандитов/разведки. Да, дороговато, и требует своей ИБ, но таков мир сейчас - информация на вес золота...


        1. BugM
          09.08.2025 11:35
          #28685470

          250 рублей это минут 10 работы того сотрудника которому вы выдали это почту. Вы серьезно считаете это значимыми расходами? И если у Яндекса дорого, идите на Мейл. Там рублей 100 ящик стоит, насколько я помню. Если и 100 дорого есть и еще дешевле, но там второй эшелон будет уже.

          Бесплатного б2б софта и сервисов не бывает. Вроде это все и так знают?

          Остальное все просто городские легенды. Нет ничего такого.

          Потому своя почта, мессенджер (xmpp/SfB/... - тысячи их), файлопомойка и ВКС

          Нет, никто такой ерундой не занимается. Сидят в телеграмах, тимсах и прочих зумах с яндекс почтами. А данные хранят в облаке по вкусу. Конкретный софт может быть другим, но он всегда саас.

          Потому что надо своим бизнесом заниматься, а не пытаться сделать все непрофильное не сильно хуже профессионалов.

          Любой нормальный бизнес покупает вообще все кроме своей основной деятельности. Софт и сервисы покупается в первую очередь. Оно непрофильное и критически важное.


  1. CBET_TbMbI
    09.08.2025 11:35
    #28684132

    По сути, мы получили простую, но полностью рабочую альтернативу почтовым сервисам вроде Gmail, Yandex или Mail.ru — только теперь вся система под нашим полным контролем.

    И под вашей полной ответственностью.

    Из своей практики, как обычного юзера, общественная почта намного стабильнее в работе (за исключением совсем уж умерающего/умершего Рамблера). А вот частные могут выдавать те или иные глюки в духе потери писем или "вон туда не уходят, но оттуда приходят".


    1. pythagoreantree Автор
      09.08.2025 11:35
      #28684284

      Возможно, я тут не скажу за всю Одессу. У меня лично за год эксплуатации ни одного письма не потерялось, с этим проблем вообще не было. А вот белый IP-адрес регулярно прозванивают, тут пришлось сервер немного обезопасить. И, конечно, пока есть зависимость от провайдера, ни в чем нельзя быть уверенным на 100%. Если же брать Postfix - стандартное решение, много кто использует, при правильной конфигурации он сбоить не будет. В моей схеме слабое место - это secondary-сервер. Когда и primary, и secondary на одной машине - это прям нехорошо, запрос может потеряться. Мне повезло, у меня у друга был DNS-сервер, но если такого замечательного друга нет, то можно попробовать сделать slave DNS-сервер регистратора, вполне может получиться. Это решение было бы намного лучше, но я этим не стала загромождать статью, итак много.


      1. HomeMan
        09.08.2025 11:35
        #28684514

        Вместо друга с DNS сервером можно использовать CloudFlare DNS.

        Даром.


        1. pythagoreantree Автор
          09.08.2025 11:35
          #28684636

          да, можно использовать бесплатные DNS. я отказалась, потому что хочу иметь минимальное количество корпоративных посредников, даже с VPS со временем хочу слезть, но кому-то такое решение подойдет.


      1. randomsimplenumber
        09.08.2025 11:35
        #28686314

        Когда и primary, и secondary на одной машине - это прям нехорошо

        Это прямо бессмысленно. Разве что это тренировочный стенд.


        1. pythagoreantree Автор
          09.08.2025 11:35
          #28686798

          Неправда, зависит от исходных данных. Если вы общаетесь с небольшой группой друзей, то вам обязательность доставки может быть и некритична. Не дошло письмо -> связались через IM -> выслали заново, и все например знают, что может не дойти. Если вы общаетесь с бизнес-партнерами, то нужны slave-сервера, я бы может даже не один сделала. Если с рекрутерами -> тоже желательно. Но будем честны с рекрутерами основная связь через IM идет. Так что тут да, это надо менять, но зависит от личной ситуации.


          1. randomsimplenumber
            09.08.2025 11:35
            #28686864

            Если ваши slave сервера находятся в одном дата-центре - это уже достаточно бесполезно. А если на одной машине.. Ну, если вашим бизнес партнёрам так легче - не возражаю;)


            1. pythagoreantree Автор
              09.08.2025 11:35
              #28686916

              почему на одной машине, не надо на одной машине, даже категорически запрещено. никакие оговорки и ограничения в моей статье не должны мешать здравому смыслу. проблем нет - нужен второй сервер - берете за жабры регистратора или арендуете еще vps или кооперируетесь с другими.


    1. geher
      09.08.2025 11:35
      #28684296

      совсем уж умирающего/умершего Рамблера

      Еще был безвременно и неожиданно почивший km.ru


    1. Iwanowsky
      09.08.2025 11:35
      #28694194

      Из своей практики, как обычного юзера, общественная почта намного стабильнее в работе (за исключением совсем уж умерающего/умершего Рамблера).

      Это где Рамблер умирает?! Жив еще и будет жить. Это куча др. почтовых сервисов померло (на многих из них у меня были ящики разной степени важности, в т.ч. те, в кот. очень редко заглядывал), но и много еще осталось.


  1. monowar
    09.08.2025 11:35
    #28684254

    Не далее как на этой неделе один крупный российский сервис на букву М, не буду называть его имени, сделал дружественный шаг, поставив перед выбором: ограничить корпоративную почту до 5 человек или перейти на платный тариф по индивидуальным расценкам. Срока дал неделю. Я, как законопослушный гражданин, связался с техподдержкой и попытался узнать сколько они хотят денег за некогда бесплатную услугу корпоративной почты. Обещали набрать и конечно же не набрали. Глянул расценки другого не менее известного сервиса на букву Я. И, мягко говоря, был несколько обескуражен расценками.

    На данный момент у меня около 720 человек, и число медленно, но уверенно ползет вверх. И платить шестизначные суммы в здравом уме никто не станет. Поэтому лихорадочно начал искать пути решения данной проблемы. Первой мыслью была поднять почтовый сервер, но, подумав, победил здравый смысл: ВСЯ ответственность как техническая так и юридическая, ляжет на мои хрупкие плечи, чего мне делать очень не хочется. Поэтому, зайдя на сайт своего хостера, обнаружил тарифный план Почта, предлагающий неограниченное количество почтовых ящиков и 10Гб дискового пространства. За 1000 рублей в год. В самый раз для реализации моих потребностей, минус, все возможные проблемы и подводные камни, которые будут всплывать денно и нощно 24 на 7.

    Вывод: для "потешить самолюбие" Васи Пупкина, наверное да. Но для поднять для чего-то более серьезного я бы 10 раз подумал.


    1. pythagoreantree Автор
      09.08.2025 11:35
      #28684328

      Именно так. Ваш комментарий как нельзя кстати. Когда я стала заниматься своим почтовым сервером, я как раз думала о том, что бесплатную почту чисто теоретически могут прикрыть, рано или поздно, и хорошо бы иметь свое. В условиях, когда то и дело вводят те или иные ограничения и на всем пытаются заработать, это уже довольно реалистичный вариант. И вы это подтвердили. Физических лиц пока не трогают, а вон за корпоративный сектор уже взялись. Та схема, которую предлагаю я, подходит только для личного пользования (для самого начала), но не подойдет для бизнеса. Для бизнеса нужна другая почтовая архитектура, мини-сеть, возможно, с распределением нагрузки. Это совсем другая задача в принципе. И, например, сотрудники точно не будут использовать mutt-клиент (за редким исключением), нужен IMAP-сервер. То есть эта задача на два порядка выше. Использование серверов хостера для компании будет более оправдано.


      1. outlingo
        09.08.2025 11:35
        #28684478

        Это совсем другая задача в принципе

        Нет, абсолютно и полностью

        нужен IMAP-сервер.

        dnf install dovecot ; systemctl start dovecot ; systemctl enable dovecot

        Но, поверьте, IMAP-сервер здесь самая малая проблема. А вот всякие аутентификации в LDAP/AD/Samba и прочие истории типа антиспама (и возможностей его дообучения!!!) будут куда более более критичны


        1. andreymal
          09.08.2025 11:35
          #28684528

          Примерно всё вышеупомянутое есть в Stalwart


        1. pythagoreantree Автор
          09.08.2025 11:35
          #28684644

          Верю. Посыл был в другом, что для корпоративной сети будет другая архитектура, другая конфигурация, другая нагрузка, куча всяких дополнительных настроек безопасности, и это совсем другая задача, более продвинутая.


  1. softaria
    09.08.2025 11:35
    #28684302

    Можно немного попроще. Например, взять https://github.com/docker-mailserver/docker-mailserver который содержит и postfix и dovecot и кое что еще типа антивируса, антиспама и fail2ban а запускается простым docker compose. Сделал так недавно. Нравится.


    1. Pavel7
      09.08.2025 11:35
      #28685034

      Или https://github.com/mailcow/mailcow-dockerized

      Весь стандартный почтовый набор, OpenID аутентификация, поддержка Exchange ActiveSync с календарями и задачами, SOGo с его неплохим веб-интерфейсом - в целом, вполне подходит не только для персонального использования, но и для небольших контор.


      1. softaria
        09.08.2025 11:35
        #28685126

        Да. docker-mailserver немного меньше памяти хочет в минимальной установке. А так - они очень похожи.


      1. kenomimi
        09.08.2025 11:35
        #28685450

        Да, mailcow хороший набор. Правда ставить строго в виртуалку и при обновленнии обязательно снапшотить - поделие очень падучее на обновах. Ну и наружу веб-морды не выставлять (наверняка дырявы), в большом интернете использовать почтовые клиенты.

        Для поддержки dns есть Technitium - у него удобная продуманная веб-морда и встает в докер. На ненагруженных кейсах штука прямо восторг какая крутая. Плюс в ней же есть встроеный dns-адблок, который режет рекламные и трекинговые домены.


  1. Uolis
    09.08.2025 11:35
    #28684450

    Через какое то время вы обнаруживаете что занесены в спамлист везде где можно, и гмайл вас не принимает, майл шлёт нафг, а яндекс вообще не знает. И всё чего вы можете там добиться это общение с тамошними чатгпт, то есть 0. Соблюдаете все дким и прочие сокращения из 3-4 букв, но...

    На мой взгляд частная почта убита корпорациями, и стоит про неё уже забыть. ИМХО.


    1. andreymal
      09.08.2025 11:35
      #28684546

      С моим личным почтовым сервером, активно рассылающим уведомления все подряд, уже лет восемь всё хорошо, что я делаю не так?


      1. Uolis
        09.08.2025 11:35
        #28684594

        Всё так. Но если случится (а я наблюдал это много раз у разных людей и компаний), то всё внезапно станет не так.


        1. pythagoreantree Автор
          09.08.2025 11:35
          #28684650

          Если сервер станет open relay - кранты! это может быть из-за ошибок конфигурации. Просто так mail.ru/gmail отпинывать не будет.


  1. WinLin2
    09.08.2025 11:35
    #28684846

    На букву Я давно платный, может несколько лет. Сейчас в список писем вставляет рекламные баннеры, замаскированные под письма, ранее это было только вверху экрана.


    1. johnsqurrel
      09.08.2025 11:35
      #28690494

      лично я давно забил на веб-интерфейс Я-почты, капча достала. к сожалению не полностью - сортировка и черно-белые списки приходится настраивать там. причем не в lite версии а в полной, с мегабайтами жрущих джаваскриптов.

      для десктопов thunderbird + IMAPS. аналога для смартфонов не знаю. фирменное приложение Я-почты не вариант.


  1. ThingCrimson
    09.08.2025 11:35
    #28685364

    Postfix и Mutt это, конечно, зачётно и олдскульно (сам использую, только ещё плюс OpenDKIM). Но зачем самому себе DNS быть (да ещё и с вариантом primary и secondary в одно место)?

    Давным-давно, когда у меня (и всякого, кто захотел и сумел) были свои NIC-handle в RIPE и/или LIR, и я мог сам для себя запросить делегирование домена — в собственном DNS был смысл (и то, я извращался с djbdns, ибо к BIND доверия мало). Но сейчас вроде всюду делегирование только через регистраторов, за деньги, и в пакете услуг регистрации прилагается DNS — что мы выгрываем, поднимая свой?


    1. pythagoreantree Автор
      09.08.2025 11:35
      #28686856

      Если коротко отвечать на этот вопрос - контроль и расширяемость. Я сама могу определять набор DNS-записей и их время жизни, добавлять свои кастомные настройки, у регистратора может что-то поменяться, не надо будет потом эти проблемы решать, я могу начать играться с конфигурацией, пробовать разные почтовые схемы, пробовать geo-DNS, сделать себе поддомены под разные нужды и тд. В общем, что хочу, то и ворочу :) Если просто делать тупо почту простенькую, то можно и не париться. А если исходить из посыла "хочу вырвать контроль за своей информацией у других", то чем меньше посредников, тем лучше. Тем более в процессе ты дообучаешься и у тебя становится больше возможностей для личного творчества. Ну у меня так, по крайней мере.


      1. AlexandreFrolov
        09.08.2025 11:35
        #28686934

        Тоже начинал со своих серверов DNS)
        Но с точки зрения защищенности от ДДОС в итоге я выбрал DNS-серверы Селектела и Филанко. В Селектеле можно настраивать TTL. Эти серверы DNS работают достаточно надежно и даются бесплатно всем, кто размещает или арендует физические серверы.


        1. pythagoreantree Автор
          09.08.2025 11:35
          #28687490

          Спасибо за информацию, я не задумывалась об этой альтернативе, но она может пригодиться.


      1. ThingCrimson
        09.08.2025 11:35
        #28686962

        Понятно! Сам держу некоторые сервисы просто «для поддержания формы», чтоб не расслабляться. Так-то у того же GoDaddy никаких ограничений полёта фантазии не видел, ну а то, что они постоянно меняют веб-интерфейс в сторону усложнения и ухудшения — такие сейчас тенденции.

        Но в статье для условно начинающих наверно стОило бы отметить, что вот эта часть — опциональна, и может быть заменена прописыванием записей MX, SPF, _domainkey, _dmarc у регистратора домена. Всё-таки выставлять в дикий злой интернет только 25/tcp с надёжным Postfix это одно; а ещё добавлять 53/udp и 53/tcp с BIND (пусть даже и 9, я-то начинал с 4) — более рисковано.


        1. pythagoreantree Автор
          09.08.2025 11:35
          #28687500

          Да, я с вами согласна. Возможно, для первого захода лучше бы было использовать сторонние DNS, потому что непосредственно к почте DNS не относится. Как вы говорите, он опционален (имеется в виду самостоятельный вариант). Это облегчило бы задачу.


  1. shurutov
    09.08.2025 11:35
    #28685386

    Использовать один сервер свой, а в качестве второго — сервер регистратора.

    Я именно так и сделал. Услуга "Secondary DNS" в списке штатных услуг была и есть. Связался с тех. поддержкой, быстро-быстро в конфиг бинда нужное прописал, и полетели.

    Этот вариант я не рекомендую: регистраторы неохотно работают с внешними серверами, что может привести к дополнительным трудностям.

    очень странные какие-то регистраторы. Другое дело, что необходимо уточнять, с каких хостов будут приходить запросы синхронизации зон, чтобы включить эти хосты в разрешённые для трансфера.


    1. pythagoreantree Автор
      09.08.2025 11:35
      #28686858

      Мне пришлось немного помучаться, но согласна, что в общем случае мое утверждение неверно.


  1. Lev3250
    09.08.2025 11:35
    #28685536

    Без 25го порта почта не может быть получена. Отправлять не мешает


    1. andreymal
      09.08.2025 11:35
      #28685588

      Штука в том, что некоторые хостинги блокируют 25 порт именно на отправку


      1. select26
        09.08.2025 11:35
        #28686670

        Так а на прием и блокировать смысла нет. Блокируют же РАССЫЛКУ СПАМа, а не прием.


  1. empenoso
    09.08.2025 11:35
    #28685966

    А с приходящим потом спамом как бороться?


  1. Kiborg777
    09.08.2025 11:35
    #28686030

    Сама по себе статья ценная - есть ситуации, когда собственный почтовый сервер необходим. Но проблема в том, что таких ситуаций очень мало. Для малого бизнеса можно взять почту от хостера если уж на то пошло, хотя обычно такая почта - так себе.

    Для серьезного бизнеса - тут уже Yandex/Mail.ru/Microsoft/Google

    Кстати, Майкрософт и Гугл не сканируют почту на бизнес-аккаунтах для показа рекламы. Антивирус, естественно, сканирует содержимое почты.

    Если вы частное лицо, то на знаю, как в РФ с Яндексом/mail.ru, но Майкрософт для американских пользователей предоставляет очень дешевые личные и семейные планы. В некоторых случаях их можно использовать и для малого бизнеса. Почта не сканируется в платных планах,

    Дальше, я как частное лицо пользуюсь Гуглом для основной почты (плюс привязка к смарфону), но у меня есть отдельный платный почтовый ящик на отдельном сервисе, который используется для конфиденциальной перепеиски. Такое бывает редко, он бывает и я плачу за этот сервис (кажется, $25 в год).

    Кроме этого, за $10 в год я могу прикрутить неограниченное колличество доменов и определить неограниченние колличество почтовых ящиков на purelymail.com

    Очень удобно, если по какой-то причине надо срочно создать почтовый ящик.

    Все эти преимущества перевешивают (в том числе и финаннсово) затраты, связанные с поддержкой собственного почтового сервера: бэкапы, обновления, проблемы с безобастностью/дыры безопасности в десятках пакетов, которые используются на сервере, попадания в спам-листы и т.д.. Игра не стоит свеч (по собственному опыту, у меня был сервер). Риск превышает преимущества (и я не говорю о деньгах).

    Тем не менее, я понимаю, что в российских реалиях есть ситуации, когда собственный почтовый сервер абсолютно необходим.


    1. select26
      09.08.2025 11:35
      #28686698

      Сама по себе статья ценная

      Статья имеет нулевую ценность, т.к. по опубликованной инструкции не получить полноценный почтовый сервер.

      Игра не стоит свеч (по собственному опыту, у меня был сервер). Риск превышает преимущества (и я не говорю о деньгах).

      Не знаю о каких свечах и опыте вы говорите, но если у вас сотни или тысячи клиентов и есть риски, которые вы хотите контролировать, то другого варианта, кроме своего сервера просто не остается.

      Даже у меня на семейном почтовом домене с полутора десятками записей есть резон держать свой почтовый сервер. И я контролирую всю свою почту - для меня это тоже аргумент.


      1. Kiborg777
        09.08.2025 11:35
        #28687194

        Не знаю о каких свечах и опыте вы говорите, но если у вас сотни или тысячи клиентов и есть риски, которые вы хотите контролировать, то другого варианта, кроме своего сервера просто не остается.

        Смотря кто у вас потенциальный провайдер сервиса (email). Как-раз если у вас сотни или тысячи клиентов, а вы сами - небольшой или даже средний не-IT бизнес, то лучше иметь дело с полноценным email хостингом, чем держать собственный сервер с необходимостью поддержки, бэкапа, обновлений и заплаток.

        Для email-a на собственном сервере нужны очень веские причины и очень специфические требования.

        Наша компания (несколько сотен человек) долгое время держала email на своих серверах, но в итоге заключила достаточно выгодное соглашение с Майкрософтом и мигрировала на майкросовтовские решения.

        Компания жены (не IT) из где-то 30 человек попыталась держать собственный сервер, но достаточно быстро поняла, что игра не стоит свечь и решила использовать email "аs a service". Их хостинг-провайдер предлагает email сервис на основе Майкрософта.

        На своих серверах могут держать корпоративную почту только гиганты типа Амазона, Гугла/Майкрософт (ну, это понятно), IBM и т.д.

        А уж если мы говорим об индивидуальном или семейном аккаунте, то держать ради этого сервер - ну, я не очень понимаю сценарий, при котором этом может потребоваться (за исключением, возможно, снижения рисков, связанных с политической ситуацией и блокировками интернета). Это не значит, что надо использовать бесплатные решения со сканированием почты Гуглом для рекламы, но обычная платная почта вполне подходит для этого. От того же Гугла и Майкрософта, кстати, тоже подходит.

        Риск того, что ваш собственный сервер хакнут или вы потеряете бэкап или потратите дни на восстановление сервиса после сбоя гораздо выше рисков, связанных с использованием стороннего email сервиса у надежного email провайдера.


        1. andreymal
          09.08.2025 11:35
          #28687382

          ваш собственный сервер хакнут или вы потеряете бэкап или потратите дни на восстановление сервиса после сбоя

          Это возможно только если админ сервера вообще не понимает что делает

          держать собственный сервер с необходимостью поддержки, бэкапа, обновлений и заплаток

          А что в этом трудного? Один раз настроил и забыл (ну разве что периодически делать apt upgrade и поглядывать что бэкапы не пустые, но это мелочь)


        1. select26
          09.08.2025 11:35
          #28687516

          Вы все верно говорите. Но только почта эта не ваша. И вы не контролируете ее целостность и надежность. И только надеетесь на то, что ваш оператор делает копии. Ведь делает же ? ))

          И что будет если копии не окажется? Вам сделают скидку на следующий месяц?

          А еще бывает, что регулятор не позволяет выносить почту за пределы защищенного контура.

          Иногда нужно ХРАНИТЬ всю отправленную почту.

          Иногда - контролировать или маршрутизировать.

          Во всех этих случаях провайдер услуг либо их не предоставит, либо цена будет неприемлемой.


    1. wwq_deezer
      09.08.2025 11:35
      #28686750

      Как обычно, комментарии полезнее самой статьи. Спасибо за полезную ссылку. Плюсик не могу. Нечем.


    1. pythagoreantree Автор
      09.08.2025 11:35
      #28686960

      Спасибо за ваш комментарий, мне он очень полезен, но да, мы живем с вами немножко в разных реалиях. Первое, что надо разделить - это почта для себя и для бизнеса. Можно сделать универсальное решение, но в общем случае объемы разные, а значит и решения будут разные. Моя схема для бизнеса не подойдет. Если бы я делала для своего бизнеса, я бы сделала по-другому.
      По поводу личного пользования, сразу оговорюсь, я не против корпораций, вернее не имею четкой негативной позиции (что угодно только не эти гадские корпорации, они нас читают, рекламу подсовывают угнетают, заставляют платить и так далее). Со временем я стала понимать, что централизованные сервисы имеют свои преимущества, ставят определенные сложные технические задачи и при определенных условиях могут быть очень удобными и полезными, ну если не зарываются. Тем не менее, я уже довольно устала от новостей, что вот какой-то сервис ушел из России, ой вот сейчас Гугл нас заблочит, ой вот нет Гугл хороший, сейчас с внутренней стороны мне Gmail перекроют, ой вот сейчас мы откажемся от Гугла и напишем свой какой-то сервис отличный, для всех. И вот на фоне этих заявлений я понимаю, что даже если какой-нибудь Билл Гейтс "хороший" и только о России думает, как те два депутата из нашей Раши, я как обычный пользователь могу попасть тупо в какой-то политический замес, где на меня будут наложены определенные ограничения, что мне совсем не нравится. И зачем мне Билл Гейтс, если я могу сама. Почтовый сервер - это сейчас не особо популярная тема в личном сегменте, но это прям базовое элементарное средство связи, созданное еще во времена динозавров в Силиконовой долине. Протоколы - простые. Хорошее поле, чтобы начать. Опять же, судя по комментариям, есть явный запрос для бизнес-сегмента, а значит есть куда эту тему развивать. И как бы, если например смотреть по временным затратам, первую почту я делала относительно долго, пришлось покопаться, вторую по инструкции выше я делала полдня (самое большое время заняло делегирование зоны), а значит это просто! Поддержка не занимает у меня много времени. Хороший пароль, ssh, fail2ban и хостер со своим мониторингом. Спам есть, но его мало! Я считаю, это очень хорошее начало.


      1. Kiborg777
        09.08.2025 11:35
        #28687218

         Тем не менее, я уже довольно устала от новостей, что вот какой-то сервис ушел из России, ой вот сейчас Гугл нас заблочит, ой вот нет Гугл хороший, сейчас с внутренней стороны мне Gmail перекроют, ой вот сейчас мы откажемся от Гугла и напишем свой какой-то сервис отличный, для всех.

        Именно это я и имел ввиду, когда написал, что все-же есть валидные сценарии для собственного сервера.

        Тем не менее, допустим, ваш VPS в условном Забугорстане. Внезапно РКН объявляет о деградации забугорстанских серверов и все, пропала ваша почта. У вас, возможно, доступ останется (используя трехбуквенные решения), но ваши клиенты не смогут вам больше писать.

        Или компания Zabugorstan Hosting Solution решит "отказать в сервисе" гражданам РФ.

        Значит вам нужен сервер внутри РФ, так ведь? Но в этом случае, чем такой сервер будет лучше email сервиса от российской компании (таких много), предоставляющих услуги email-a (за деньги) корпоративным и частным клиентам. Тот же Яндекс, в конце концов. Нормальная у них почта и я сомневаюсь, что они читают ваши email-ы (доступ спецслужб - отдельный разговор, но ведь если у вас VPS в РФ, то те же спецслужбы имеют к нему доступ по российскому законодательству).


        1. select26
          09.08.2025 11:35
          #28687554

          Яндекс, в конце концов. Нормальная у них почта и я сомневаюсь, что они читают ваши email-ы

          А это неважно, что вы сомневаетесь. А у меня есть опыт использования почты Яндекс. Которую, кстати, обещали "бесплатно навсегда". И опыт вщаимодействия с техпической поддержкой российских провайдеров Email. Про закидоны с фильтрацией mail.ru вам любой админ расскажет историй.

          И пришлось мигрировать не раз.

          С полгода назад прямо повалили клиенты Яндекса на перенос почты на частные серверы.

          Свой сервер на 100 клиентов стоит в районе $20-25. Админ - еще 50-100. И это ВАША почта, вы видите все SMTP логи, можете хранить на личном USB диске копию всей почты. Хоть ежедневную.

          Любой каприз - все в ваших руках.


        1. pythagoreantree Автор
          09.08.2025 11:35
          #28687574

          Я немного не понимаю, какой конкретно случай вы описываете. Если мы говорим о бизнесе, то один случай, если о частной личной почте - другой. У вас по опыту оно все вместе, но по сути это разные ситуации. Бизнес живет в более сложном правовом и общественном поле, там идут акценты на другие вещи, на скорость, на связи, на отказоустойчивость, на надежность. Если делать решение для бизнеса, которое к тому же общается с зарубежными партнерами (из РФ), то это может быть просто жесть какая-то, потому что учитывать все правовые случаи и "политический ветер" может быть просто нереально. Еще локальное решение куда ни шло, можно придумать для небольших компаний, и то, если посчитать деньги, то может оказаться, что действительно намного выгоднее сидеть на имеющихся решениях.
          Если же мы рассматриваем вариант "для личного и семейного пользования", тут проще. Тут речь может вообще не идти о том, что необходимо иметь заграничный VPS, а о том, что можно не дать играть с собой в "кошки-мышки". Вот я использую какой-то сервис, у меня там все связи, я привыкла, мне хорошо и удобно, и тут кто-то приходит и говорит "все, ты им больше пользоваться не можешь, он плохой, а вот тебе мой хороший", и альтернативы нет. Я, допустим, захожу в "хороший", а там все криво косо неудобно и не из-за моей привычки, а из-за того что написано тяп-ляп по принципу "и так сойдет". Вот конкретно эту задачу можно решить, зависимость от VPS можно решить, проблемы доступа к зарубежными ресурсам можно решить, если нужно (и не только всяким ютюбам, так-то с той стороны заблокировали и много чего немассового и полезного). Но это на личном уровне, и да, на это нужен определенный скилл. Мне лично от этого только лучше, я изначально программист, и когда я решаю какие-то сисадминские задачи, я от этого только расту. При этом да, есть задачи, которые в нынешних реалиях будет решить просто невозможно, но сидеть сложа руки и потреблять все, что дают, я тоже не готова.


          1. Kiborg777
            09.08.2025 11:35
            #28689906

            Вы лично занимались поддержкой почтового сервра "на всю катушку"? Включая бэкапы и обновления? Включая разборки со спам-листами? Чем ваше решение лучше email-a от вашего хостинг провайдера? VPS ведь тоже не у вас в спальне стоит. С точки зрения надежности, нормальный провайдер электронной почты будет гарантированно лучше. С точки зрения "хочу все иметь у себя" - накроется ваш VPS сервер и получите "ой, извините". И в том и в другом случае, email-ы не хранятся у вас на диске. Кстати, хранение на локальный диск легко организовать в обоих случаях, но тогда какой вообще смысл содержать отдельный VPS сервер?

            У меня ни разу не терялась почта на бесплатном Gmail-e, на платном Outlook.com и на платной почте от хостинг провайдеров. У жены ни разу не терялась почта от Office365 (пакет для малого бизнеса) за последние 7 лет, когда ее контора стало использовать Office365 (сейчас у него другое название).

            Кратковременные сбои были, но всё восстанавливалось.

            Мало того, я лично не замечал проблем с надежностью почты даже у компаний на буквы Я и М. У них есть другие проблемы, которые делают для меня невозможным пользоваться их сервисом на постоянной основе (в основном из-за того, что я не живу в РФ плюс особенности российского законодательства плюс принуждение к использованию ВК плюс периодическая необходимость верифицироваться через СМС), но почта с 2000 года или когда там появилась компания на букву М у меня до сих пор хранится (за исключением того, что я сам стер, естественно). Реклама - да (хотя, что, они суют рекламу даже в платную версию?), дикие вещи с логином через ВК - да, но их корпоративная почта (у меня до сих пор остался бесплатный пакет на 5 почтовых ящиков, к которому прикручен однодолларовый цифровой домен в зоне xyz) работает, визуально и "по ощущниям" вполне стабильно и в ней нет большинства "заскоков" бесплатного варианта. Это же относится и к компании на букву Я.

            Если мы не говорим и реальных, но достаточно маргинальных сценариях (проблемы политического характера, юридические требования и т.д.), то поддерживать почтовый сервер самому - это, перефразируя известный анекдот, "мне не надо держать дома корову, чтобы съесть на завтрак сосику".

            Даже в случае "действий, направленных на ликвидацию последствий, связанных с нарушеним коммуникаций из-за политических рисков" (вы поняли), чем ваше решение лучше пакета почты на условном GoDaddy (если мы говорим о нероссийской локации сервера)? А если о российской, то то же самое - чем почта от хостера или провайдеров корпоративной почты хуже собственного VPS?
            Я не рассматриваю пока вариант "держим сервер дома".

            Основное требование к почте - надежность и высокий uptime. Вы на своем сервере можете гарантировать такие же параметры надежности, как решения от хостеров или провайдеров почты (в пределах вашей досягаемости, естественно. Если вы живете в РФ, то нет смысла смотреть на Gmail)? Если нет, то держать свой сервер, как мне кажется, не имеет смысла.


            1. pythagoreantree Автор
              09.08.2025 11:35
              #28690916

              Если я правильно поняла ваш основной вопрос и посыл, то вы говорите о том, что почта от хостеров и корпораций будет намного надежнее, чем личный почтовый сервер, а если так, то зачем он нужен?
              Скажу вам так, если в качестве критерия брать надежность, то личный почтовый сервер уступает, некритично, но уступает. Но давайте посмотрим на это с другой стороны, вот есть, допустим, компания, которая шьет футболки размера S, M, L. Это большая корпорация, ее менеджеры собрались, все рассчитали, они знают средние размеры каждого человека и вот на эти усредненные размеры шьют. И находятся тысячи людей, которые покупают футболки от этого бренда и им эти футболки отлично подходят, и они такие "зачем нужны швейные мастерские, когда вот тут в магазине можно купить то, что нужно и гораздо дешевле". Но есть небольшой процент нестандартных людей, которым эта размерная сетка абсолютно не подходит, потому что они не вписываются в усредненные параметры. Они могут попробовать купить футболку в другом магазине и тоже не впишутся. Да, может в третьем найдут то, что надо, но будет четко видна тенденция, что массовый рынок им не подходит, а вот если они снимут мерки и отнесут их в мастерскую или на основе них сделают сами, эта футболка в их тело впишется идеально.
              Это всего лишь аналогия, но она хорошо показывает тенденцию. Я могу использовать "массовую" электронную почту, это будет иметь свои удобства, но может мне на 100% не подходить. Или же я могу потратить время и силы, но создать решение, которое будет абсолютно "под меня". Это trade-off, каждый выбирает для себя, что ему надо. Но я, конечно, за второй вариант конкретно потому, что он более индивидуален, он учитывает личные особенности каждого человека, ориентирован на его удобства и особенности конкретно его коммуникации. Мы так жить не привыкли, мы привыкли не творить, а пользоваться. К тому же, бизнесменам, а вы, я так понимаю, имеете свой бизнес, такой посыл вообще не понравится, потому что тогда получается есть вещи, которые можно сделать без них, конкуренция! Но есть процессы, которые не остановить. Вот я, например, программист, вот уже появились AI-агенты. Если они окажутся успешны, они меня вытеснят. Вот раньше мы слушали музыку в плеере, а сейчас у всех мобильные телефоны. И так далее. Много чего меняется. Моя личная задача делать так как лично мне хорошо и удобно. В остальном каждый выбирает для себя и отвечает за себя.
              Что же касается технической части, что вот много возни, сервер будет падать, письма не будут доставляться, злобные спаммеры взломают, блок-листы соберешь, почта пропадет - это риски. Опыт показал, что они безусловно присутствуют, но они некритичны, это не тушение пожаров каждый день. Это периодические проблемы, которые надо решать, которые даже интересно решать, а если я что-то упустила, то сама виновата - буду умнее, меня это развивает. Поэтому да, моя почта для меня гораздо лучше и привлекательнее, чем Mail, Google, Yandex, Outlook и все остальные.


              1. AlexandreFrolov
                09.08.2025 11:35
                #28691212

                Реально у меня есть ящики во всех основных сервисах публичной почты, однако для личных писем и для работы использую свой сервер на Zimbra)


  1. AlexandreFrolov
    09.08.2025 11:35
    #28686082

    Очень давно держу свои собственные почтовые серверы, для своего бизнеса и для себя. В последнее время пользуюсь бесплатным Zimbra - там есть все необходимое, включая удобный Web-интерфейс администрирования и Web-интерейс клиента для получения почты.

    Установка Zimbra достаточно проста. Работает все очень надежно, делаются бекапы виртуальных машин, работающих на Proxmox.

    Для развертывания собственного почтового сервера нужны виртуалки, навыки системного администрирования, а также понимание того, как настраивать записи DNS и сам сервер, чтобы почта не попадала в спам. Не все легко, но настроить можно, и для разовой настройки можно привлечь стороннего системного администратора.

    Когда моя компания предоставляла услуги электронной почты, я получал лицензию и сдавал узел связи. Вот это действительно затратно и сложно. Но если вы делаете почтовик для себя или свей компании, не предоставляете почту как услугу, лицензия и узел связи не нужны.

    Преимущества собственных серверов, особенно для бизнеса, понятны. Это предсказуемость затрат, возможность выполнять рассылки без ограничений сторонних сервисов, настройка собственных правил фильтрации и так далее.

    Из недостатков вижу необходимость привлечения системного администратора для начальной установки и настройки, а также для обслуживания. Если в вашей компании уже есть системный администратор, то он сможет выполнять такую работу. Если нет - легко найти исполнителя.


    1. ThingCrimson
      09.08.2025 11:35
      #28686664

      Zimbra был очень хороший вариант для малого бизнеса. К сожалению, последняя бесплатная версия 8.8.15 снята с поддержки в декабре 2024, а версия 10 уже не имеет опции FOSS (использование без покупки лицензий). Так что приходится веб-интерфейс прикрывать подобием WAF на nginx, пока не придумаем куда мигрировать.

      Но если в требованиях нет обязательного наличия web mail, то всё становится сильно проще (Postfix + OpenDKIM + SpamAssasin /Rspamd + Dovecot например).


  1. Abyss777
    09.08.2025 11:35
    #28686148

    Еще стоит уделить внимание выбору провайдера VPS.

    Например вся подсеть FirstVDS заблокирована на прием почты в Электронном правительстве Свердловской области. https://dnsbl.egov66.ru/


    1. AlexandreFrolov
      09.08.2025 11:35
      #28686178

      Это да. В Селектел одно время собрались блокировать 25 порт, но хорошо что передумали. В Филанко и Рег.ру вроде пока не блокируют, но лучше уточнить заранее. Возможно будет достаточно отправить запрос на разблокировку.


  1. Speccyfan
    09.08.2025 11:35
    #28686190

    Ubuntu 20.04 End of life, зачем брать такую древность? Docecot (IMAP) сразу нужно реализовывать, да и DKIM тоже, иначе это поделка из шишек и желудей, а вот в перспективе нужно добавить IPv6 и ClamAV или другой антивирь. Еще неплохо бы провести исследование на тему календарей и возможности бронирования переговорок, может уже появился такой функционал в открытых продуктах?


    1. pythagoreantree Автор
      09.08.2025 11:35
      #28687578

      Да, вы правы, сейчас пока решение довольно сырое и его еще дорабатывать и дорабатывать. Поделюсь тем, что у меня получится, в следующих статьях.


  1. KonstantinTokar
    09.08.2025 11:35
    #28686260

    Самые интересные действия спрятаны в последних четырёх пунктах. Кто будет разбираться со спамом, вирусами, сертификатом от потенциально непризнаваемого госорганами центра сертификации, кто будет готов быстро разбираться с попаданием во всякие блок-листы (например вся подсетка вашего провайдера)? Ну и пресловутые персональные данные... Определённую проблему представляет почтовый клиент на сотовом телефоне.


    1. AlexandreFrolov
      09.08.2025 11:35
      #28686298

      У нас разбирался я. С попаданием в блок-листы ситуация может быть не простая. В сложных случаях, когда дата-центр не может удалить свою подсеть из блок-листа, переносил виртуалки с почтовыми серверами в другую подсеть или к другому провайдеру.

      Борьбу со спамом и вирусами тоже может настроить системный администратор. И да, можно использовать, по крайней мере в Андроиде, штатный почтовый клиент.


      1. select26
        09.08.2025 11:35
        #28686724

        когда дата-центр не может удалить свою подсеть из блок-листа, переносил виртуалки с почтовыми серверами в другую подсеть или к другому провайдеру.

        Зачем? Достаточно создать почтовый релей с минимальными ресурсами (1 CPU, 0.5GB RAM) и добавит его IP в SPF.

        Или воспользоваться платным relay сервисом. Если не делать массовые рассылки, то его стоимость будет реальные копейки.

        Вообще, разделять smtp входящий и исходящий - хорошая и эффективная практика.


    1. pythagoreantree Автор
      09.08.2025 11:35
      #28687586

      Меня уже даже интригует =) Обязательно поделюсь своими результатами.


  1. checkpoint
    09.08.2025 11:35
    #28687200

    Все замечательно, но без настройки DKIM все письма от Вашего сервера будут слиты в /dev/null. DKIM на сегодняшний день является нимимальным уровнем защиты от спама применяемого поголовно всеми почтовыми агрераторами. Также не плозо было бы настроить SASL авторизацию, чтобы через Ваш SMTP сервер на распространяли спам. Иначе попадание в блэклисты обеспечено в ближайшие же сутки.


    1. pythagoreantree Автор
      09.08.2025 11:35
      #28687594

      Ну вот у меня совсем другой опыт. Живу без этого уже давно и блэклисты не собрала. Но по комментариям вижу, что у других такая проблема есть. Дело может быть в настройках SMTP-сервера, надо разбираться.


      1. checkpoint
        09.08.2025 11:35
        #28688422

        Если Вы имеете доступ к своему SMTP только из локальной сети (с фэйковых IP), то достаточно простой настройки доступа по IP адресам. Но если Вы хотите пользоваться свои SMTP сервером будучи в разъездах или просто из другого места (или с мобильного интернета), то нужна авторизация.

        Я использую следующую связку:

        1. Bind9 (DNS)

        2. Sendmail + OpenDKIM + SASL + spamassassin (SMTP транспорт)

        3. Dovecot (IMAP4)

        4. Roundcube (Webmail)

        Всё это на машинке под FreeBSD.

        Из опыта. Раз в пол года с почтовым сервером обязательно что-то случается: либо версия OpenSSL обновится до несовместимой, либо Google в очередной раз гайки подзакрутит (SPF, DKIM), либо спамеры дырку обнаружат и как давай релеить трафик, либо спаммеры придумают очередной способ как просочиться через Spamassassin. Короче, за почтовым сервером надо постоянно следить и подкручивать в разных местах. Подход "настроил и работает годами" здесь не работает.

        Да. Обнаружил, что для Андроида сейчас нет ни одного почтового клиента который бы а) не сливал ваши данные куда-нибудь, б) мог бы работать с почтой только на сервере, не выкачивая её на телефон. Пора писать своего клиента.


        1. andreymal
          09.08.2025 11:35
          #28688606

          либо версия OpenSSL обновится до несовместимой

          Это FreeBSD такой кривой, что ли? На нормальных Linux-дистрибутивах (хоть те же дебиан с редхатом) такой проблемы принципиально не существует

          Google в очередной раз гайки подзакрутит (SPF, DKIM)

          Тех, кто изначально нормально настроил почтовый сервер, это никак не коснулось

          либо спамеры дырку обнаружат и как давай релеить трафик

          У тех, кто изначально нормально настроил почтовый сервер, это невозможно

          Подход "настроил и работает годами" здесь не работает.

          Работает, если руки из правильного места растут (я в соседнем комментарии уже упоминал личный почтовый сервер, который восемь лет работает без проблем — похоже, завистники минусуют)


  1. Uint32
    09.08.2025 11:35
    #28687366

    А есть ли у кого опыт эксплуатации https://github.com/foxcpp/maddy ?


    1. KonstantinTokar
      09.08.2025 11:35
      #28687990

      У него же imap в бете. Чисто для экспериментов.


  1. mihailasd
    09.08.2025 11:35
    #28687588

    SPF-запись также следует оптимизировать, так как она напрямую влияет на уровень доверия к вашему почтовому серверу.


  1. Vorchun
    09.08.2025 11:35
    #28692348

    После раздумий поставили ISPanel и там есть почта и веб клиент. Это просто. Сложно - добиться того, чтобы почтовые сервера тебе доверяли и не отправляли корп почту в спам ) Ибо почта идет с выделенного сервера провайдера, а адреса провайдера могут попасть в черные списки. Выходить оттуда грустно.


  1. digrobot
    09.08.2025 11:35
    #28692412

    Если честно, у меня не так уж много аргументов, чтобы вас убедить

    Мне кажется, стоит не забывать, что почта на бесплатном почтовом сервисе - не ваша почта. Сервис может внезапно попросить привязать номер телефона, сделать селфи для подтверждения возраста, показать паспорт, справку из собеса, подключить Госуслуги, установить мессенджер Мах. Может случиться ситуация вроде: "Мы обнаружили подозрительную активность и ваш аккаунт заблокирован. Введите номер телефона для восстановления пароля. Извините, мы не можем отправить СМС на этот номер, всего хорошего". И ничего не сделать в таких случаях.