Сервер для email-хостингу: власний поштовий сервер

Для надійного email-хостингу на власному поштовому сервері потрібен спеціалізований VPS з достатніми ресурсами, налаштована зв'язка MTA (наприклад, Postfix) та MDA (Dovecot), а також коректні DNS-записи (SPF, DKIM, DMARC) для забезпечення доставлення листів та боротьби зі спамом.

В епоху цифровізації, коли електронна пошта залишається наріжним каменем ділової та особистої комунікації, питання вибору відповідного рішення для email server hosting стає критично важливим. Багато компаній та приватних осіб досі покладаються на сторонні поштові сервіси, такі як Google Workspace або Microsoft 365. Однак такий підхід пов'язаний з певними компромісами щодо приватності, контролю та гнучкості. Саме тому все більше користувачів розглядають можливість розгортання власного поштового сервера на VPS.

Власний поштовий сервер пропонує безпрецедентний рівень контролю над усією інфраструктурою: від зберігання даних до налаштування фільтрів спаму та політик безпеки. Це особливо актуально для організацій, що працюють з конфіденційною інформацією, або для тих, хто прагне повної незалежності від великих корпорацій. Налаштування такого сервера, як правило, включає встановлення та конфігурацію агентів передачі пошти (MTA) на кшталт Postfix, агентів доставлення пошти (MDA) типу Dovecot, а також ретельну роботу з DNS-записами (SPF, DKIM, DMARC), які є запорукою успішного доставлення листів та захисту від підробок.

У цій статті ми детально розглянемо всі аспекти створення та управління власним поштовим сервером на базі VPS, від вибору оптимальних апаратних ресурсів до тонкощів налаштування програмного забезпечення та механізмів боротьби зі спамом. Ми також покажемо, як тарифи Valebyte можуть стати ідеальною основою для вашого mail server VPS.

Чому варто задуматися про власний поштовий сервер: переваги self-hosted email

Рішення розгорнути self hosted email сервер замість використання сторонніх провайдерів — це крок до повної автономії та контролю. У той час як хмарні поштові сервіси зручні, вони не завжди відповідають усім вимогам бізнесу або індивідуальних користувачів. Розглянемо ключові переваги власного поштового сервера.

Контроль, безпека та приватність

Головна перевага власного поштового сервера — це повний контроль. Ви самі вирішуєте, де зберігаються дані, хто має до них доступ і які політики безпеки застосовуються. Це критично важливо для компаній, що працюють з чутливою інформацією або підпадають під суворі регуляторні норми (GDPR, HIPAA тощо). Ви не залежите від змін у політиці конфіденційності сторонніх провайдерів і можете бути впевнені, що ваші дані не аналізуються для рекламних цілей.

• Повна власність даних: Усі ваші листи, контакти та метадані знаходяться на вашому сервері, під вашим управлінням.
• Індивідуальні налаштування безпеки: Ви можете впроваджувати власні правила фаєрволу, системи виявлення вторгнень, використовувати специфічні алгоритми шифрування та автентифікації, які можуть бути недоступні у стандартних провайдерів.
• Незалежність від третіх сторін: Відсутність залежності від збоїв або зміни політики сторонніх сервісів.

Гнучкість та масштабованість

Коли ви використовуєте власний поштовий сервер, можливості кастомізації практично безмежні. Ви можете інтегрувати його з іншими внутрішніми системами, налаштувати специфічні правила маршрутизації, використовувати власні фільтри спаму або антивірусні рішення, які ідеально підходять під ваші потреби. Це особливо корисно для компаній, що зростають, яким потрібні унікальні функції або висока масштабованість.

• Кастомізація: Встановлення будь-яких необхідних розширень, плагінів, веб-інтерфейсів (Roundcube, SOGo) та інтеграція з CRM, ERP або іншими бізнес-додатками.
• Масштабованість: У міру зростання вашої компанії ви можете легко збільшувати ресурси VPS (RAM, CPU, дисковий простір) або навіть мігрувати на потужніший виділений сервер без необхідності змінювати постачальника поштових послуг або переносити дані між різними платформами.
• Управління ресурсами: Точний контроль над тим, скільки ресурсів споживає ваш поштовий сервер, та можливість оптимізувати його продуктивність.

Економія в довгостроковій перспективі

Хоча початкові витрати на налаштування та підтримку власного поштового сервера можуть здатися вищими, ніж підписка на SaaS-рішення, у довгостроковій перспективі це часто виявляється вигіднішим, особливо для середніх та великих організацій. У міру збільшення кількості користувачів вартість підписки на сторонні сервіси зростає лінійно, тоді як вартість обслуговування власного VPS збільшується значно повільніше.

• Передбачувані витрати: Ви платите за VPS, а не за кожного користувача. Це дозволяє краще планувати бюджет.
• Економія на ліцензіях: Більшість компонентів власного поштового сервера (Postfix, Dovecot, SpamAssassin) є відкритим вихідним кодом і не вимагають ліцензійних відрахувань.
• Оптимізація: Можливість тонкого налаштування дозволяє ефективніше використовувати апаратні ресурси, знижуючи загальні експлуатаційні витрати.

Який VPS потрібен для email-хостингу: вибір Mail Server VPS

Вибір відповідного VPS — ключовий момент для стабільної та ефективної роботи вашого email server hosting. Від характеристик сервера залежать швидкість обробки пошти, обсяг збережених листів та загальна продуктивність системи. Важливо враховувати не лише апаратні ресурси, а й репутацію IP-адреси, а також тип віртуалізації.

Мінімальні та рекомендовані вимоги до Mail Server VPS

Вимоги до VPS для поштового сервера варіюються залежно від передбачуваного навантаження: кількості користувачів, обсягу пересиланих листів та частоти їх отримання/відправлення.

Мінімальні вимоги (для 1-10 користувачів, невеликий обсяг пошти):

• CPU: 1-2 vCPU (наприклад, Intel Xeon E3/E5 або AMD EPYC).
• RAM: 2 GB. Цього достатньо для Postfix, Dovecot та базових антиспам-фільтрів.
• Диск: 40-60 GB NVMe SSD. NVMe забезпечує високу швидкість читання/запису, що критично для баз даних та поштових черг.
• Пропускна здатність: 100 Mbps.

Рекомендовані вимоги (для 10-50 користувачів, середній обсяг пошти, розширені функції):

• CPU: 2-4 vCPU (чим вища частота, тим краще для однопотокових завдань).
• RAM: 4-8 GB. Дозволить комфортно працювати з більш агресивними антиспам-фільтрами, веб-інтерфейсами та великою кількістю одночасних підключень.
• Диск: 80-160 GB NVMe SSD. Враховуйте обсяг поштових скриньок та логування.
• Пропускна здатність: 1 Gbps.

Високонавантажені сценарії (50+ користувачів, дуже великий обсяг пошти):

• CPU: 4+ vCPU, бажано з високою тактовою частотою.
• RAM: 8-16+ GB.
• Диск: 200+ GB NVMe SSD, можливо, з RAID-масивом для відмовостійкості та продуктивності.
• Пропускна здатність: 1 Gbps або вище.

Важливе зауваження: Завжди вибирайте SSD, а ще краще NVMe-диски. Продуктивність дискової підсистеми критична для поштового сервера, оскільки постійно відбувається читання та запис великої кількості дрібних файлів (листів) та операцій з базами даних.

Важливість IP-репутації та зворотного DNS-запису (PTR)

Один з найважливіших факторів, що впливають на доставлення ваших листів, — це репутація IP-адреси, з якої відправляється пошта. Спам-фільтри поштових провайдерів (Gmail, Outlook, Mail.ru) дуже чутливі до цього параметра. Якщо IP-адреса раніше використовувалася для розсилки спаму, ваші листи, швидше за все, потраплятимуть у папку "Спам" або зовсім відхилятимуться.

• Чиста IP-адреса: При виборі VPS для email server hosting переконайтеся, що провайдер надає "чисті" IP-адреси, не занесені до чорних списків (RBLs). У Valebyte ми стежимо за репутацією наших IP-адрес.
• Зворотний DNS-запис (PTR): Для будь-якого поштового сервера обов'язково має бути налаштований зворотний DNS-запис (PTR-запис), який зіставляє IP-адресу з доменним ім'ям. Це дозволяє приймаючим поштовим серверам перевірити, що IP-адреса дійсно належить вашому домену. PTR-запис має відповідати імені хоста вашого поштового сервера (наприклад, mail.yourdomain.com). Зазвичай цей запис налаштовує хостинг-провайдер за вашим запитом.

KVM VPS проти OpenVZ для пошти

При виборі типу віртуалізації для вашого mail server VPS, KVM є кращим варіантом порівняно з OpenVZ.

• KVM (Kernel-based Virtual Machine): Надає повну апаратну віртуалізацію. Це означає, що ваш VPS працює як повноцінний фізичний сервер зі своїм власним ядром Linux. Це дає максимальну ізоляцію, стабільність та можливість використовувати будь-які модулі ядра або спеціалізоване ПЗ. Для поштового сервера KVM ідеальний, оскільки забезпечує передбачувану продуктивність та повний контроль над системними ресурсами.
• OpenVZ: Використовує контейнерну віртуалізацію, де всі VPS використовують одне й те саме ядро хост-системи. Це може призвести до "оверселінгу" ресурсів та нестабільної продуктивності при високому навантаженні на сусідніх VPS. Крім того, деякі специфічні налаштування ядра або файлової системи, необхідні для певних поштових компонентів або антиспам-рішень, можуть бути обмежені в OpenVZ.

Таким чином, для критично важливого сервісу, такого як поштовий сервер, KVM VPS є оптимальним вибором, забезпечуючи необхідну надійність, ізоляцію та продуктивність.

Базові компоненти поштового сервера: Postfix і Dovecot

Створення власного поштового сервера вимагає розуміння його основних компонентів. Ядром більшості сучасних Unix-подібних поштових систем є Postfix і Dovecot. Вони працюють у тандемі, забезпечуючи відправлення, отримання та зберігання електронної пошти.

Postfix: ваш агент передачі повідомлень (MTA)

Postfix — це агент передачі повідомлень (Mail Transfer Agent, MTA), який відповідає за маршрутизацію та доставлення електронної пошти. Його основне завдання — приймати листи від інших поштових серверів або від локальних клієнтів, а потім доставляти їх адресатам, або пересилаючи іншим MTA, або зберігаючи для локального доставлення. Postfix відомий своєю безпекою, продуктивністю та легкістю в налаштуванні порівняно зі старішими MTA, такими як Sendmail.

Ключові функції Postfix:

• Прийом пошти: Postfix слухає порт 25 (SMTP) для вхідних з'єднань від інших поштових серверів.
• Відправлення пошти: Postfix відправляє вихідні листи на інші поштові сервери, використовуючи DNS-записи MX для визначення одержувача.
• Локальне доставлення: Передає вхідні листи локальним агентам доставлення (MDA), таким як Dovecot, для збереження в поштових скриньках користувачів.
• Безпека: Підтримує TLS/SSL для шифрування з'єднань, а також різні механізми автентифікації (SASL).
• Фільтрація: Дозволяє інтегрувати антиспам- та антивірусні рішення.

# Імя хоста сервера
myhostname = mail.yourdomain.com

# Домени, для яких цей сервер приймає пошту
mydomain = yourdomain.com
mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost

# Мережі, яким дозволено релеїти пошту через ваш сервер
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

# Використання TLS для шифрування
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/mail.yourdomain.com.crt
smtpd_tls_key_file = /etc/ssl/private/mail.yourdomain.com.key

# Аутентифікація SASL
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination

# Локальне доставлення (передача Dovecot)
mailbox_command = /usr/lib/dovecot/deliver -c /etc/dovecot/conf.d/01-mail-stack-delivery.conf -a "$EXTENSION@"

Dovecot: сервер IMAP/POP3

Dovecot — це агент доставлення повідомлень (Mail Delivery Agent, MDA) та сервер IMAP/POP3, який дозволяє користувачам отримувати доступ до своєї пошти. Після того як Postfix прийняв лист, він передає його Dovecot, який зберігає його у відповідній поштовій скриньці. Користувачі потім підключаються до Dovecot через поштові клієнти (Outlook, Thunderbird, мобільні додатки) за протоколами IMAP або POP3 для читання та управління своїми листами.

Ключові функції Dovecot:

• Зберігання пошти: Управляє зберіганням листів у різних форматах (Maildir, mbox). Maildir є кращим, оскільки зберігає кожен лист в окремому файлі, що є надійнішим та продуктивнішим.
• Доступ за IMAP/POP3: Надає доступ до поштових скриньок за протоколами IMAP (Internet Message Access Protocol) та POP3 (Post Office Protocol 3). IMAP дозволяє синхронізувати пошту між кількома пристроями, POP3 зазвичай завантажує листи на один пристрій та видаляє з сервера.
• Аутентифікація: Підтримує різні методи автентифікації користувачів, включаючи PAM, бази даних (SQL), LDAP. Часто використовується для автентифікації користувачів Postfix через SASL.
• Безпека: Забезпечує захищені з'єднання через SSL/TLS для IMAPS (порт 993) та POP3S (порт 995), а також STARTTLS для IMAP (порт 143) та POP3 (порт 110).

# dovecot.conf
protocols = imap pop3 lmtp

# 10-mail.conf
mail_location = maildir:~/Maildir

# SSL/TLS
ssl = required
ssl_cert = </etc/ssl/certs/mail.yourdomain.com.crt
ssl_key = </etc/ssl/private/mail.yourdomain.com.key

# Аутентифікація
auth_mechanisms = plain login
!include auth-sql.conf.ext # Якщо використовуєте базу даних для користувачів

Спільна робота Postfix і Dovecot дозволяє створити повноцінний та надійний email server hosting на вашому VPS. Postfix займається зовнішньою комунікацією та передачею, а Dovecot — зберіганням та доступом користувачів.

База даних для користувачів та доменів (PostgreSQL/MariaDB)

Для більш гнучкого управління користувачами, доменами та їхніми паролями, особливо при роботі з кількома доменними іменами або великою кількістю облікових записів, рекомендується використовувати базу даних. Найбільш популярні варіанти — PostgreSQL або MariaDB (MySQL).

Переваги використання бази даних:

• Централізоване управління: Усі дані про користувачів (логіни, паролі, квоти) та домени зберігаються в одному місці.
• Простота адміністрування: За допомогою веб-інтерфейсів, таких як PostfixAdmin, можна легко додавати/видаляти користувачів, змінювати паролі, керувати аліасами та поштовими доменними іменами.
• Масштабованість: Легко додавати нові домени та тисячі користувачів без зміни конфігураційних файлів Postfix та Dovecot.

Схема взаємодії: Postfix і Dovecot звертаються до бази даних для перевірки автентичності користувачів та отримання інформації про поштові скриньки. PostfixAdmin (або аналогічний інструмент) використовується для управління цими даними через веб-інтерфейс.

Налаштування DNS: SPF, DKIM, DMARC – фундамент доставлення

Правильне налаштування DNS-записів критично важливе для успішного доставлення листів з вашого email server hosting. SPF, DKIM і DMARC — це стандарти автентифікації електронної пошти, які допомагають запобігти підробці відправника (спуфінг), знижують ризик потрапляння листів у спам та підвищують довіру до вашої пошти.

Усі ці записи додаються до DNS-зони вашого домену. Керувати ними можна через панель управління DNS вашого доменного реєстратора або хостинг-провайдера.

SPF (Sender Policy Framework)

SPF — це DNS TXT-запис, який вказує, яким IP-адресам (або хостам) дозволено відправляти пошту від імені вашого домену. Приймаючий поштовий сервер перевіряє SPF-запис відправника: якщо лист надійшов з IP-адреси, не вказаної в SPF-записі, він може бути позначений як спам або відхилений.

Приклад SPF-запису:

yourdomain.com. IN TXT "v=spf1 ip4:192.0.2.1 include:_spf.google.com ~all"

• v=spf1: Вказує версію SPF.
• ip4:192.0.2.1: Дозволяє відправлення пошти з IP-адреси 192.0.2.1 (замініть на IP вашого VPS).
• include:_spf.google.com: Якщо ви також використовуєте Google Workspace для частини пошти, ця директива включає їхні SPF-записи.
• ~all: М'яка відмова. Листи з інших IP прийматимуться, але можуть бути позначені як підозрілі.
  • -all: Сувора відмова. Листи з інших IP відхилятимуться. Рекомендується після ретельної перевірки.
  • ?all: Нейтрально. Не дає рекомендацій. Не рекомендується для продакшену.

Важливо: Переконайтеся, що в SPF-записі вказані всі IP-адреси, з яких ваш домен може відправляти пошту (ваш VPS, сторонні сервіси розсилок тощо).

DKIM (DomainKeys Identified Mail)

DKIM — це метод автентифікації, який дозволяє приймаючому серверу перевірити, що лист був відправлений власником домену і не був змінений у процесі передачі. Це досягається шляхом додавання цифрового підпису до заголовка листа. Підпис генерується з використанням приватного ключа на вашому поштовому сервері, а публічний ключ публікується в DNS TXT-записі вашого домену.

Приклад DKIM-запису:

default._domainkey.yourdomain.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDz+..."

• default._domainkey: Це селектор DKIM. Ви можете використовувати будь-який селектор (наприклад, mail, 2023).
• v=DKIM1: Версія DKIM.
• k=rsa: Алгоритм шифрування.
• p=...: Ваш публічний DKIM-ключ. Цей ключ генерується на вашому поштовому сервері (наприклад, за допомогою утиліти opendkim-genkey або PostfixAdmin).

Процес роботи DKIM:

1. Ваш поштовий сервер підписує вихідні листи приватним ключем.
2. Приймаючий сервер шукає публічний ключ у DNS-записі вашого домену.
3. Використовуючи публічний ключ, приймаючий сервер перевіряє підпис листа. Якщо підпис збігається, лист вважається справжнім.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC — це політика, яка об'єднує SPF і DKIM, надаючи інструкцію приймаючим поштовим серверам, що робити з листами, які не пройшли перевірку SPF або DKIM. Також DMARC дозволяє отримувати звіти про спроби підробки вашого домену.

Приклад DMARC-запису:

_dmarc.yourdomain.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

• v=DMARC1: Версія DMARC.
• p=quarantine: Політика для листів, що не пройшли перевірку.
  • none: Лише моніторинг (отримання звітів, але без застосування дій). Рекомендується на початковому етапі.
  • quarantine: Помістити лист у спам.
  • reject: Відхилити лист. Рекомендується після впевненості у коректності SPF/DKIM.
• rua=mailto:[email protected]: Адреса для отримання агрегованих звітів (щоденно).
• ruf=mailto:[email protected]: Адреса для отримання криміналістичних звітів (про кожен збій).
• fo=1: Відправляти звіти, якщо хоча б одна з перевірок (SPF або DKIM) не пройшла.

Рекомендація: Починайте з p=none, збирайте звіти, аналізуйте їх, переконайтеся, що всі легітимні листи проходять SPF/DKIM, і тільки потім переходьте до p=quarantine, а потім до p=reject.

Запис MX та A/AAAA

Крім SPF, DKIM і DMARC, для роботи поштового сервера необхідні базові DNS-записи:

• MX (Mail Exchanger) запис: Вказує на поштовий сервер, який відповідає за прийом пошти для вашого домену.

  
  yourdomain.com. IN MX 10 mail.yourdomain.com.
          

  10 — це пріоритет. Чим менше число, тим вищий пріоритет.
• A/AAAA запис: Зіставляє доменне ім'я (або піддомен) з IP-адресою вашого VPS.

  
  mail.yourdomain.com. IN A 192.0.2.1
          

  Якщо у вас є IPv6-адреса, додайте AAAA-запис:

  
  mail.yourdomain.com. IN AAAA 2001:db8::1
          

Правильне налаштування цих DNS-записів — це гарантія того, що ваш власний поштовий сервер буде надійно доставляти листи і не буде сприйматися як джерело спаму.

Боротьба зі спамом та безпека вашого поштового сервера

Один з найбільших викликів при експлуатації email server hosting — це боротьба зі спамом та забезпечення його безпеки. Без адекватних заходів ваш сервер швидко перетвориться на розсадник небажаної пошти або стане жертвою атак. Ефективний захист вимагає багаторівневого підходу.

Інструменти фільтрації спаму (SpamAssassin, RBLs)

Спам-фільтрація — це безперервний процес, що вимагає постійного налаштування та оновлення. Ось основні інструменти:

• SpamAssassin: Це потужний, гнучкий та розширюваний фреймворк для фільтрації спаму. Він використовує широкий набір правил та технік для ідентифікації спаму, включаючи:
  • Евристичний аналіз: Перевіряє заголовки та тіло листа на наявність спам-характеристик.
  • Бали: Присвоює "спам-бали" кожному листу, і якщо сума балів перевищує поріг, лист позначається як спам.
  • Мережеві тести: Перевіряє IP-адресу відправника за різними чорними списками (RBLs).
  • Байєсівський фільтр: Навчається на основі вашої особистої пошти, щоб краще відрізняти спам від легітимних листів.
  SpamAssassin легко інтегрується з Postfix та Dovecot.

  
  # Установка SpamAssassin (приклад для Debian/Ubuntu)
  sudo apt update
  sudo apt install spamassassin spamc
  
  # Запуск служби
  sudo systemctl enable spamassassin
  sudo systemctl start spamassassin
          

• RBLs (Real-time Blackhole Lists): Це загальнодоступні бази даних IP-адрес, які були помічені в розсилці спаму. Ваш поштовий сервер може запитувати ці списки при отриманні вхідних листів. Якщо IP-адреса відправника знаходиться в RBL, лист може бути відхилений або позначений як спам. Популярні RBL включають Spamhaus SBL/XBL, SORBS, CBL.

  
  # Приклад налаштування RBL в Postfix (в main.cf)
  smtpd_recipient_restrictions =
      ...
      reject_rbl_client zen.spamhaus.org,
      reject_rbl_client bl.spamcop.net,
      ...
          

• Greylisting: Техніка, при якій поштовий сервер тимчасово відхиляє листи від невідомих відправників, запитуючи повторну спробу. Легітимні поштові сервери зазвичай повторюють відправлення через кілька хвилин, тоді як більшість спам-ботів не витрачають на це ресурси. Це ефективний спосіб відсіяти значну частину спаму.
• DCC (Distributed Checksum Clearinghouse): Розподілена система, яка допомагає ідентифікувати масові розсилки спаму, порівнюючи контрольні суми листів.
• Razor / Pyzor: Системи, які повідомляють про спам та обмінюються інформацією про нього в режимі реального часу.

Захист від брутфорсу та DDoS (Fail2Ban, Firewall)

Ваш mail server VPS постійно піддається спробам підбору паролів (брутфорс) та DDoS-атакам. Захист від них критично важливий:

• Fail2Ban: Це потужний інструмент для захисту від брутфорсу. Він сканує логи сервера (Postfix, Dovecot, SSH) на предмет повторюваних невдалих спроб входу та автоматично блокує IP-адреси зловмисників на певний час за допомогою фаєрволу (iptables/nftables).

  
  # Установка Fail2Ban
  sudo apt install fail2ban
  
  # Приклад jail для Postfix/Dovecot (в /etc/fail2ban/jail.local)
  [postfix]
  enabled = true
  port = smtp,ssmtp,submission
  logpath = /var/log/mail.log
  maxretry = 3
  bantime = 3600
  
  [dovecot]
  enabled = true
  port = pop3,pop3s,imap,imaps
  logpath = /var/log/mail.log
  maxretry = 3
  bantime = 3600
          

• Firewall (UFW/iptables/nftables): Налаштуйте фаєрвол для обмеження доступу до вашого сервера. Дозвольте лише необхідні порти:
  • 25 (SMTP): Для вхідної та вихідної пошти (TLS STARTTLS).
  • 587 (Submission): Для відправлення пошти автентифікованими клієнтами (TLS STARTTLS).
  • 465 (SMTPS): Альтернативний порт для відправлення пошти (TLS/SSL).
  • 143 (IMAP): Для отримання пошти (TLS STARTTLS).
  • 993 (IMAPS): Для отримання пошти (TLS/SSL).
  • 110 (POP3): Для отримання пошти (TLS STARTTLS).
  • 995 (POP3S): Для отримання пошти (TLS/SSL).
  • 22 (SSH): Лише для адміністративного доступу, бажано обмежити за IP або використовувати ключі.

  
  # Приклад налаштування UFW
  sudo ufw allow 22/tcp # SSH
  sudo ufw allow 25/tcp # SMTP
  sudo ufw allow 587/tcp # Submission
  sudo ufw allow 465/tcp # SMTPS
  sudo ufw allow 143/tcp # IMAP
  sudo ufw allow 993/tcp # IMAPS
  sudo ufw enable
          

• Rate Limiting: Обмеження кількості з'єднань або листів за одиницю часу від однієї IP-адреси. Це допомагає пом'якшити DDoS-атаки та запобігти масовим розсилками через скомпрометовані облікові записи.

SSL/TLS для шифрування трафіку

Шифрування — це фундаментальний аспект безпеки поштового сервера. Усі з'єднання між поштовими клієнтами та сервером, а також між поштовими серверами, повинні бути зашифровані з використанням SSL/TLS.

• Сертифікати Let's Encrypt: Отримайте безкоштовні SSL/TLS-сертифікати за допомогою Certbot. Вони легко встановлюються та автоматично оновлюються, забезпечуючи шифрування для Postfix та Dovecot.

  
  # Установка Certbot (приклад для Apache/Nginx, але можна використовувати standalone)
  sudo apt install certbot
  
  # Отримання сертифіката для домену mail.yourdomain.com
  sudo certbot certonly --standalone -d mail.yourdomain.com --pre-hook "sudo systemctl stop postfix" --post-hook "sudo systemctl start postfix"
          

• Налаштування Postfix та Dovecot: Вкажіть шляхи до отриманих сертифікатів та ключів у конфігураційних файлах Postfix (smtpd_tls_cert_file, smtpd_tls_key_file) та Dovecot (ssl_cert, ssl_key). Переконайтеся, що для всіх служб (SMTP, SMTPS, Submission, IMAP, IMAPS, POP3, POP3S) увімкнено обов'язкове шифрування (smtpd_tls_security_level = may або encrypt для Postfix, ssl = required для Dovecot).

Комплексний підхід до боротьби зі спамом та забезпечення безпеки дозволить вашому власному поштовому серверу працювати надійно та ефективно, захищаючи ваших користувачів від небажаної пошти та шкідливих атак.

Покрокова установка та налаштування Postfix і Dovecot на Ubuntu

Розгортання власного поштового сервера на VPS вимагає послідовного налаштування кількох компонентів. Ми розглянемо встановлення та базову конфігурацію Postfix, Dovecot і MySQL/MariaDB на Ubuntu 22.04 LTS. Цей процес дозволить вам отримати функціональний postfix server.

Підготовка системи та встановлення необхідних пакетів

Перед початком переконайтеся, що ваш VPS оновлений і у вас є доступ по SSH з правами root або користувача з sudo.

1. Оновлення системи:

   
   sudo apt update
   sudo apt upgrade -y
           

2. Встановлення залежностей:

   
   sudo apt install -y postfix dovecot-core dovecot-imapd dovecot-pop3d dovecot-lmtpd mariadb-server postfix-mysql dovecot-mysql opendkim opendkim-tools mailutils certbot
           

   Під час встановлення Postfix вам буде запропоновано вибрати тип конфігурації:
   • Виберіть "Internet Site".
   • "System mail name": Введіть ваш домен (наприклад, yourdomain.com).
3. Налаштування імені хоста та PTR-запису: Встановіть повне доменне ім'я (FQDN) для вашого сервера. Воно повинно відповідати PTR-запису, який ви запросили у вашого провайдера (наприклад, mail.yourdomain.com).

   
   sudo hostnamectl set-hostname mail.yourdomain.com
           

   Перевірте /etc/hosts:

   
   127.0.0.1       localhost
   127.0.1.1       mail.yourdomain.com mail
   your_vps_ip     mail.yourdomain.com mail
           

4. Створення бази даних для PostfixAdmin (користувачів та доменів):

   
   sudo mysql_secure_installation
           

   (Дотримуйтесь інструкцій: встановити пароль root, видалити анонімних користувачів, заборонити віддалений вхід root, видалити тестову БД).

   
   sudo mysql -u root -p
           

   Всередині MySQL:

   
   CREATE DATABASE postfixadmin;
   CREATE USER 'postfixadmin'@'localhost' IDENTIFIED BY 'your_db_password';
   GRANT ALL PRIVILEGES ON postfixadmin.* TO 'postfixadmin'@'localhost';
   FLUSH PRIVILEGES;
   EXIT;
           

   Запам'ятайте your_db_password.
5. Отримання SSL/TLS сертифіката: Використовуємо Certbot для Let's Encrypt.

   
   sudo certbot certonly --standalone -d mail.yourdomain.com --pre-hook "sudo systemctl stop postfix" --post-hook "sudo systemctl start postfix"
           

   Дотримуйтесь інструкцій. Сертифікати будуть у /etc/letsencrypt/live/mail.yourdomain.com/.

Конфігурація Postfix

Відредагуйте основний конфігураційний файл Postfix: /etc/postfix/main.cf.

# Загальні налаштування
myhostname = mail.yourdomain.com
mydomain = yourdomain.com
myorigin = $mydomain
inet_interfaces = all
inet_protocols = all

# Домени, для яких цей сервер приймає пошту
mydestination = $myhostname, localhost.$mydomain, localhost
virtual_alias_domains = $mydomain
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-domains-maps.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_transport = lmtp:unix:private/dovecot-lmtp

# Мережі, яким дозволено релеїти пошту
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

# Налаштування TLS
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.yourdomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.yourdomain.com/privkey.pem
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_security_level = may
smtp_tls_security_level = may

# Аутентифікація SASL через Dovecot
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes # Для старих клієнтів
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination

# Налаштування для DKIM (див. нижче)
milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = inet:127.0.0.1:8891

Створіть файли конфігурації для MySQL (/etc/postfix/mysql-virtual-*.cf), використовуючи дані вашої БД:

# /etc/postfix/mysql-virtual-alias-maps.cf
user = postfixadmin
password = your_db_password
hosts = 127.0.0.1
dbname = postfixadmin
query = SELECT goto FROM alias WHERE address='%s' AND active = '1'

# /etc/postfix/mysql-virtual-domains-maps.cf
user = postfixadmin
password = your_db_password
hosts = 127.0.0.1
dbname = postfixadmin
query = SELECT domain FROM domain WHERE domain='%s' AND active = '1'

# /etc/postfix/mysql-virtual-mailbox-maps.cf
user = postfixadmin
password = your_db_password
hosts = 127.0.0.1
dbname = postfixadmin
query = SELECT maildir FROM mailbox WHERE username = '%s' AND active = '1'

Переконайтеся, що ці файли доступні лише Postfix:

sudo chmod 640 /etc/postfix/mysql-virtual-*.cf
sudo chown root:postfix /etc/postfix/mysql-virtual-*.cf

Конфігурація Dovecot

Відредагуйте /etc/dovecot/dovecot.conf:

protocols = imap pop3 lmtp
listen = *, ::

Відредагуйте /etc/dovecot/conf.d/10-mail.conf:

mail_location = maildir:~/Maildir
mail_privileged_group = mail

Відредагуйте /etc/dovecot/conf.d/10-auth.conf:

disable_plaintext_auth = yes
auth_mechanisms = plain login
!include auth-sql.conf.ext

Відредагуйте /etc/dovecot/conf.d/10-master.conf:

# У секції service lmtp
unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
}

# У секції service auth
unix_listener /var/spool/postfix/private/auth {
    mode = 0660
    user = postfix
    group = postfix
}

Відредагуйте /etc/dovecot/conf.d/10-ssl.conf:

ssl = required
ssl_cert = </etc/letsencrypt/live/mail.yourdomain.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.yourdomain.com/privkey.pem

Створіть файл /etc/dovecot/conf.d/auth-sql.conf.ext:

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}

Створіть файл /etc/dovecot/dovecot-sql.conf.ext:

driver = mysql
connect = host=127.0.0.1 dbname=postfixadmin user=postfixadmin password=your_db_password
default_pass_scheme = CRAM-MD5 # Або SHA512-CRYPT, якщо PostfixAdmin налаштований на це
password_query = SELECT username as user, password FROM mailbox WHERE username = '%u' AND active = '1'
user_query = SELECT maildir, 2000 AS uid, 2000 AS gid FROM mailbox WHERE username = '%u' AND active = '1'

Переконайтеся, що dovecot-sql.conf.ext доступний лише Dovecot:

sudo chmod 640 /etc/dovecot/dovecot-sql.conf.ext
sudo chown root:dovecot /etc/dovecot/dovecot-sql.conf.ext

Налаштування OpenDKIM

Відредагуйте /etc/opendkim.conf:

AutoRestart             Yes
AutoRestartRate         10/1M
Canonicalization        relaxed/simple
Mode                    sv
SubDomains              No
ADSPDiscard             No
Selector                default # Можна змінити, якщо використовуєте кілька
Socket                  inet:8891@localhost
KeyFile                 /etc/opendkim/keys/yourdomain.com/default.private # Буде створено
PidFile                 /var/run/opendkim/opendkim.pid
TrustAnchorFile         /usr/share/certs/ca-certificates.crt
UserID                  opendkim:opendkim
UMask                   002
OversignHeaders         From

# Створіть цей файл
KeyTable                /etc/opendkim/KeyTable
SigningTable            /etc/opendkim/SigningTable
ExternalIgnoreList      /etc/opendkim/TrustedHosts
InternalHosts           /etc/opendkim/TrustedHosts

Відредагуйте /etc/default/opendkim:

SOCKET="inet:8891@localhost"

Створіть DKIM-ключі:

sudo mkdir -p /etc/opendkim/keys/yourdomain.com
sudo opendkim-genkey -D /etc/opendkim/keys/yourdomain.com/ -d yourdomain.com -s default
sudo chown -R opendkim:opendkim /etc/opendkim/keys
sudo chmod -R 700 /etc/opendkim/keys

Вміст публічного ключа з /etc/opendkim/keys/yourdomain.com/default.txt потрібно буде додати до DNS TXT-запису вашого домену.

Створіть /etc/opendkim/KeyTable:

default._domainkey.yourdomain.com yourdomain.com:default:/etc/opendkim/keys/yourdomain.com/default.private

Створіть /etc/opendkim/SigningTable:

*@yourdomain.com default._domainkey.yourdomain.com

Створіть /etc/opendkim/TrustedHosts:

127.0.0.1
localhost
192.168.0.1/24 # Ваша локальна мережа, якщо є
mail.yourdomain.com
yourdomain.com

Перезапуск служб та тестування

Після всіх змін перезапустіть служби:

sudo systemctl restart postfix dovecot opendkim
sudo systemctl enable postfix dovecot opendkim

Перевірте логи на наявність помилок:

sudo tail -f /var/log/mail.log

Тепер ваш email server hosting готовий до прийому та відправлення пошти. Вам залишилося встановити PostfixAdmin для зручного управління користувачами та доменами через веб-інтерфейс.

Тарифи Valebyte для email server hosting: підбір оптимального VPS

Вибір відповідного VPS — це інвестиція в надійність та продуктивність вашого email server hosting. Valebyte пропонує широкий спектр тарифів, які можуть бути адаптовані під будь-які потреби, від невеликого особистого поштового сервера до корпоративного рішення з сотнями користувачів. Усі наші VPS базуються на KVM віртуалізації з NVMe SSD дисками, що гарантує високу продуктивність та стабільність.

Рекомендації щодо вибору VPS для різних навантажень

Щоб допомогти вам вибрати оптимальний mail server VPS, ми розділили рекомендації за навантаженням:

1. Для особистого використання або малого бізнесу (1-10 користувачів):

   Якщо ви плануєте використовувати поштовий сервер для себе або невеликої команди, не очікуючи величезних обсягів трафіку, вам підійдуть базові тарифи. Основна вимога — стабільний IP та достатній обсяг диска для зберігання листів.

   • CPU: 1-2 vCPU
   • RAM: 2 GB
   • Диск: 40-60 GB NVMe SSD
   • Пропускна здатність: 100 Mbps
2. Для середнього бізнесу (10-50 користувачів):

   Середні компанії з активним поштовим обміном потребуватимуть більше ресурсів для обробки вхідних/вихідних листів, роботи антиспам-фільтрів та одночасних підключень клієнтів.

   • CPU: 2-4 vCPU
   • RAM: 4-8 GB
   • Диск: 80-160 GB NVMe SSD
   • Пропускна здатність: 1 Gbps
3. Для великих компаній та провайдерів (50+ користувачів):

   Для високонавантажених поштових систем, де важлива кожна мілісекунда і потрібна обробка тисяч листів на годину, необхідні серйозні ресурси та можливість масштабування.

   • CPU: 4+ vCPU (з високою тактовою частотою)
   • RAM: 8-16+ GB
   • Диск: 200+ GB NVMe SSD (можливо, з можливістю розширення або зовнішнім сховищем)
   • Пропускна здатність: 1 Gbps або вище

Порівняння тарифів Valebyte для email server hosting

Ми пропонуємо кілька конфігурацій, що ідеально підходять для розгортання власного поштового сервера. Нижче представлена таблиця з прикладами тарифів Valebyte та їх застосовністю для різних сценаріїв:

Тариф Valebyte	vCPU	RAM	NVMe SSD	Пропускна здатність	Ціна (орієнтовно)	Рекомендується для
Entry Mail (VPS-1)	1	2 GB	40 GB	100 Mbps	від $8/міс	Особистий поштовий сервер, малий бізнес (до 10 користувачів)
Standard Mail (VPS-2)	2	4 GB	80 GB	1 Gbps	від $16/міс	Середній бізнес (10-30 користувачів), активний обмін поштою
Pro Mail (VPS-3)	4	8 GB	160 GB	1 Gbps	від $32/міс	Зростаючий бізнес (30-50 користувачів), інтенсивне використання антиспам-фільтрів
Enterprise Mail (VPS-4)	6	16 GB	320 GB	1 Gbps	від $64/міс	Великі компанії (50+ користувачів), високі вимоги до продуктивності та сховища

Важливі зауваження при виборі VPS від Valebyte:

• KVM Віртуалізація: Усі наші VPS використовують KVM, що забезпечує повну ізоляцію ресурсів та гарантовану продуктивність для вашого mail server VPS.
• NVMe SSD: Використання NVMe дисків значно прискорює операції читання/запису, що критично важливо для продуктивності поштових систем, особливо при роботі з великими обсягами листів та базами даних.
• Чиста IP-адреса: Ми надаємо IP-адреси з хорошою репутацією, що є ключовим фактором для успішного доставлення ваших листів.
• Підтримка PTR-записів: Ви можете легко налаштувати PTR-запис для вашого IP-адреси через нашу панель управління або звернувшись до підтримки.
• Географічне розташування: Вибирайте локацію сервера, яка ближче до вашої основної аудиторії, щоб мінімізувати затримки.

Ми рекомендуємо почати з тарифу, що відповідає вашим поточним потребам, і за необхідності легко масштабувати ресурси, переходячи на більш потужні плани Valebyte.

Часто задавані питання про власний поштовий сервер

Розгортання власного поштового сервера може викликати низку питань. Тут ми відповімо на найпоширеніші з них, щоб прояснити деякі аспекти.

Чи потрібна виділена IP-адреса для email-хостингу?

Так, для email server hosting критично важливо мати виділену IP-адресу. Використання спільної IP-адреси, яку ділять кілька користувачів, пов'язане з високим ризиком: якщо один із сусідів по IP розсилатиме спам, репутація всієї IP-адреси постраждає, і ваші листи також можуть потрапляти в спам або блокуватися. Виділена IP-адреса дає вам повний контроль над її репутацією.

Скільки часу займає налаштування власного поштового сервера?

Час налаштування сильно варіюється. Базова установка Postfix і Dovecot на VPS з Ubuntu може зайняти від 2 до 4 годин для досвідченого сисадміна. Однак повне налаштування, що включає SPF, DKIM, DMARC, антиспам-фільтри (SpamAssassin), Fail2Ban, SSL-сертифікати та веб-інтерфейс для управління (PostfixAdmin), може зайняти від одного до кількох днів. Це вимагає уважності та розуміння кожного компонента.

Чи можна використовувати власний поштовий сервер для масових розсилок?

Технічно можна, але це вкрай не рекомендується. Більшість поштових провайдерів дуже суворо ставляться до масових розсилок зі звичайних поштових серверів. Ваша IP-адреса швидко потрапить до чорних списків, що негативно позначиться на доставленні всієї вашої пошти, включаючи звичайні ділові листи. Для масових розсилок краще використовувати спеціалізовані сервіси, такі як Mailgun, SendGrid або Amazon SES, які мають налагоджену інфраструктуру та репутацію для таких завдань.

Який обсяг диска потрібен для поштового сервера?

Обсяг диска залежить від кількості користувачів та середнього розміру їхніх поштових скриньок. Для 10 користувачів, кожен з яких зберігає 5-10 GB пошти, знадобиться 50-100 GB. Додайте до цього обсяг для операційної системи, логів та тимчасових файлів (10-20 GB). Завжди беріть із запасом. Якщо ви плануєте зберігати великі вкладення або архіви, вибирайте більший обсяг або розгляньте можливість використання зовнішнього сховища.

Чи потрібні спеціальні знання для управління власним поштовим сервером?

Так, управління власним поштовим сервером вимагає глибоких технічних знань у галузі Linux-адміністрування, роботи з DNS, мережевих протоколів (SMTP, IMAP, POP3), а також розуміння принципів безпеки та боротьби зі спамом. Це не завдання для новачка. Якщо у вас немає таких знань, розгляньте варіант Managed VPS або зверніться до фахівців.

Що таке PostfixAdmin і навіщо він потрібен?

PostfixAdmin — це веб-інтерфейс для управління віртуальними поштовими доменами, обліковими записами, аліасами та списками розсилки, які зберігаються в базі даних (MySQL/MariaDB). Він значно спрощує адміністрування поштового сервера, дозволяючи не редагувати конфігураційні файли вручну при додаванні нового користувача або домену. Це дуже зручний інструмент для управління вашим email server hosting.

Висновки

Власний поштовий сервер на VPS — це потужне рішення для тих, хто шукає максимальний контроль, безпеку та гнучкість в управлінні електронною поштою. Хоча налаштування вимагає технічних знань та часу, переваги у вигляді приватності даних, повної кастомізації та довгострокової економії виправдовують ці зусилля. Вибір оптимального mail server VPS від Valebyte з KVM віртуалізацією та NVMe дисками, у поєднанні з ретельним налаштуванням Postfix, Dovecot та DNS-записів, дозволить вам створити надійну та ефективну поштову інфраструктуру.