Безопасная корпоративная почта: как развернуть свой почтовый сервер на Linux и защититься от спама

Электронная почта остается главным каналом деловых коммуникаций. Через нее проходят коммерческие предложения, счета, договоры и конфиденциальная переписка руководства. Однако в 2026 году доверять эти данные внешним облачным провайдерам становится все более рискованным и дорогостоящим решением. Постоянный рост стоимости подписок (особенно при расчете за каждого пользователя), риск внезапных блокировок из-за изменения политики платформ, а также сканирование содержимого писем алгоритмами для таргетирования рекламы вынуждают компании задумываться о цифровом суверенитете.

Развертывание собственного корпоративного почтового сервера на базе Linux — это оптимальный способ вернуть контроль над корпоративными данными, обеспечить их конфиденциальность и гибко адаптировать систему под уникальные требования безопасности. В этом подробном руководстве мы шаг за шагом разберем, как построить отказоустойчивый, защищенный почтовый сервер, правильно настроить криптографические подписи и защитить входящий трафик от лавины спама и фишинга.

Зачем компании собственный почтовый сервер в 2026 году?

Переход на собственные почтовые серверы — это не просто дань безопасности, а прагматичный экономический расчет. Облачные сервисы, такие как Google Workspace, Microsoft 365 или отечественные альтернативы вроде Яндекс 360, работают по модели подписки. Для компании со штатом в 150 сотрудников ежемесячные платежи становятся ощутимой статьей расходов. При этом собственный почтовый сервер требует лишь оплаты аренды виртуального (VPS) или физического сервера и разовых затрат на настройку. В долгосрочной перспективе это экономит миллионы рублей.

Помимо финансовой стороны, собственное решение дает бизнесу неоспоримые преимущества:

1. Абсолютный контроль над данными. Все письма, вложения и архивы хранятся на ваших дисках. Ни один внешний администратор или алгоритм анализа данных не имеет к ним доступа. Это критически важно для соблюдения законов о персональных данных (например, ФЗ-152 в РФ) и защиты коммерческой тайны.
2. Гибкие лимиты и конфигурация. Вы можете создавать неограниченное количество почтовых ящиков, настраивать любые псевдонимы (aliases), управлять размером вложений и устанавливать индивидуальные правила архивации переписки.
3. Безопасность SMTP-клиентов. Возможность настройки доступа к SMTP-серверу только через внутреннюю VPN-сеть компании, что полностью исключает атаки методом перебора паролей (brute force) из внешнего интернета.
4. Независимость от санкций. Внешние платформы могут заблокировать аккаунт организации без объяснения причин. Собственный сервер, размещенный в доверенном дата-центре, защищен от таких рисков.

Архитектура и основные компоненты почтовой системы

Современный почтовый сервер — это не единая монолитная программа, а модульная экосистема, состоящая из нескольких специализированных сервисов. Понимание их взаимодействия лежит в основе успешного администрирования.

Incoming Email -> [Port 25] -> Postfix (MTA) 
                                 |
                                 +--> (Milter Protocol) --> Rspamd (Spam Filter)
                                 |                             |--> Redis (Cache & Bayes DB)
                                 v
                              Dovecot (MDA via LMTP)
                                 |
                                 v
                              Maildir Storage (on SSD)
                                 ^
                                 |
User Client   <-- [Port 993] <-- Dovecot (IMAP Server)

Основу нашего стека составляют следующие компоненты:

• Postfix (MTA — Mail Transfer Agent): Отвечает за прием писем из внешнего мира и отправку исходящей почты по протоколу SMTP. Это быстрый, безопасный и легко настраиваемый сервер с многолетней историей.
• Dovecot (MDA — Mail Delivery Agent и IMAP-сервер): Принимает письма от Postfix и раскладывает их по папкам пользователей в формате Maildir. Также Dovecot обеспечивает доступ сотрудников к своим ящикам по защищенному протоколу IMAPS (порт 993).
• Rspamd: Интеллектуальная система фильтрации спама нового поколения. Она написана на C и Lua, благодаря чему работает в десятки раз быстрее классического SpamAssassin, потребляя минимум ресурсов. Rspamd интегрируется с Postfix через протокол Milter и выполняет проверку писем, а также подписывает исходящие сообщения ключом DKIM.
• Redis: Сверхбыстрая СУБД в оперативной памяти (in-memory database). Rspamd использует ее для хранения кэша, результатов байесовского обучения, серых списков и счетчиков ограничений частоты отправки (rate limits).
• Certbot (Let's Encrypt): Утилита для автоматического получения и продления бесплатных криптографических SSL/TLS-сертификатов, необходимых для шифрования почтового трафика.

Подготовка инфраструктуры и настройка DNS-записей

Прежде чем приступать к установке ПО на Linux, необходимо подготовить фундамент — серверную инфраструктуру и DNS-зону домена. Ошибки на этом этапе гарантируют, что ваши письма будут блокироваться внешними серверами (Gmail, Mail.ru, Yandex) еще на подлете.

Выбор сервера и IP-адреса

Для сервера средней компании (до 200 пользователей) достаточно виртуальной машины (VPS) со следующими характеристиками:

• ОС: Debian 12 (Bookworm) или Ubuntu 24.04 LTS. Это наиболее стабильные дистрибутивы для почтовых служб.
• Ресурсы: 2–4 ядра CPU, 4 ГБ RAM (минимум 2 ГБ, так как Rspamd и антивирусные базы требуют свободной памяти).
• Диск: От 50 ГБ SSD/NVMe (зависит от объема переписки и установленных квот).

Критически важное требование: У сервера должен быть выделенный статический IPv4-адрес с «чистой» репутацией. Перед покупкой обязательно проверьте IP-адрес по публичным базам спам-листов (RBL), например, через MXToolbox. Если адрес находится в черных списках, просите хостинг-провайдера заменить его.

Настройка записей DNS

Перейдите в панель управления DNS вашего домена (например, company.ru) и добавьте следующие записи:

1. A-запись для почтового хоста:

Указывает на IP-адрес вашего сервера. ``text mail.company.ru. IN A 1.2.3.4 ``

1. MX-запись (Mail Exchanger):

Указывает, какой сервер отвечает за прием почты для вашего домена. ``text company.ru. IN MX 10 mail.company.ru. ``

1. PTR-запись (Reverse DNS / Обратная запись):

Связывает IP-адрес сервера с его доменным именем. Это важнейшая проверка подлинности. Если отправить письмо с IP 1.2.3.4, принимающий сервер выполнит обратный запрос и проверит, указывает ли PTR-запись для 1.2.3.4 на mail.company.ru. *Настройка PTR выполняется в панели управления хостинг-провайдера (VPS) или через их техподдержку. PTR должна строго соответствовать имени хоста (hostname) вашего почтового сервера.*

1. SPF-запись (Sender Policy Framework):

TXT-запись, определяющая список серверов, которым разрешено отправлять почту от имени вашего домена. ``text company.ru. IN TXT "v=spf1 mx ip4:1.2.3.4 -all" ` *Здесь mx разрешает отправку серверам из MX-записей, ip4:1.2.3.4 явно разрешает указанный IP, а -all (Fail) предписывает блокировать письма со всех остальных источников. Использование жесткого флага -all вместо мягкого ~all` является стандартом безопасной конфигурации.*

Установка и конфигурирование Postfix

Начнем настройку с установки почтового агента Postfix. Обновим списки пакетов и установим необходимые компоненты:

apt update
apt install postfix postfix-pcre mailutils -y

При установке появится интерактивное окно настройки. Выберите тип конфигурации Internet Site (Интернет-сайт), а в качестве системного почтового имени (System mail name) укажите ваш основной домен: company.ru.

Основной файл конфигурации Postfix находится по адресу /etc/postfix/main.cf. Заменим его содержимое на безопасную и оптимизированную конфигурацию. Но перед этим сделаем резервную копию:

cp /etc/postfix/main.cf /etc/postfix/main.cf.bak

Откроем /etc/postfix/main.cf и приведем его к следующему виду:

# Основные параметры идентификации
myhostname = mail.company.ru
mydomain = company.ru
myorigin = $mydomain
mydestination = localhost.$mydomain, localhost, $myhostname
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

# Лимиты и баннер
smtpd_banner = $myhostname ESMTP (Secure Mail Server)
biff = no
append_dot_mydomain = no
readme_directory = no
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all

# Доставка почты через Dovecot LMTP
virtual_transport = lmtp:unix:private/dovecot-lmtp

# Настройки шифрования TLS для входящих соединений (SMTP-приемник)
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.company.ru/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.company.ru/privkey.pem
smtpd_use_tls = yes
smtpd_tls_security_level = may
smtpd_tls_auth_only = yes
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aDSS, kECDHe, kECDHr, kDHd, kDHr

# Настройки TLS для исходящих соединений (SMTP-отправитель)
smtp_tls_security_level = may
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

# Авторизация пользователей через Dovecot SASL
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes

# Ограничения и правила фильтрации на уровне SMTP-сессии
smtpd_helo_required = yes
smtpd_helo_restrictions = 
    permit_mynetworks,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname

smtpd_sender_restrictions = 
    permit_mynetworks,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain

smtpd_recipient_restrictions = 
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination,
    reject_unauth_pipelining,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net

# Интеграция с Rspamd через протокол Milter
smtpd_milters = inet:127.0.0.1:11332
non_smtpd_milters = $smtpd_milters
milter_default_action = accept

Разбор важных параметров Postfix:

• virtual_transport = lmtp:unix:private/dovecot-lmtp: Postfix не будет сам записывать файлы писем на диск. Вместо этого он передает их Dovecot через быстрый локальный сокет LMTP.
• smtpd_tls_auth_only = yes: Запрещает передачу паролей авторизации в открытом виде. Клиент обязан инициировать шифрованное TLS-соединение перед отправкой учетных данных.
• reject_unauth_destination: Важнейшая директива безопасности. Она блокирует попытки внешних отправителей использовать ваш сервер как транзитный узел для рассылки спама другим адресатам (Open Relay).
• reject_rbl_client: Проверяет IP-адрес отправителя по спискам известных спамеров (Spamhaus, Spamcop) еще до приема тела письма, экономя трафик и ресурсы процессора.

Настройка Dovecot: хранение почты и авторизация

Dovecot отвечает за безопасную аутентификацию пользователей и обеспечивает работу с почтовыми ящиками. Установим Dovecot и необходимые плагины:

apt install dovecot-core dovecot-imapd dovecot-lmtpd dovecot-pop3d -y

Конфигурационные файлы Dovecot по умолчанию разделены на несколько файлов в каталоге /etc/dovecot/conf.d/. Это удобно для администрирования. Отредактируем ключевые файлы.

Основной конфигурационный файл /etc/dovecot/dovecot.conf

Убедитесь, что включены необходимые протоколы:

protocols = imap pop3 lmtp

Конфигурация хранилища почты /etc/dovecot/conf.d/10-mail.conf

Мы будем использовать современный формат Maildir, где каждое письмо хранится в виде отдельного файла на диске. Это значительно ускоряет работу с ящиками большого объема и упрощает резервное копирование по сравнению с устаревшим форматом Mbox.

mail_location = maildir:~/Maildir
mail_privileged_group = mail

Настройка авторизации /etc/dovecot/conf.d/10-auth.conf

Отключим передачу паролей без шифрования и настроим механизмы аутентификации:

disable_plaintext_auth = yes
auth_mechanisms = plain login

*Для простоты в этом руководстве мы используем системных пользователей Linux (pam). Для крупных инфраструктур рекомендуется использовать интеграцию с базой данных PostgreSQL/MySQL или каталогом Active Directory/LDAP.*

Настройка сокетов и процессов /etc/dovecot/conf.d/10-master.conf

Настроим интеграцию с Postfix. Создадим сокет для авторизации SASL и настроим LMTP-сервер:

service lmtp {
  unix_listener private/dovecot-lmtp {
    mode = 0660
    user = postfix
    group = postfix
  }
}

service auth {
  unix_listener private/auth {
    mode = 0660
    user = postfix
    group = postfix
  }
}

Настройка SSL/TLS в /etc/dovecot/conf.d/10-ssl.conf

Включим обязательное шифрование и укажем пути к SSL-сертификатам Let's Encrypt:

ssl = required
ssl_cert = </etc/letsencrypt/live/mail.company.ru/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.company.ru/privkey.pem
ssl_min_protocol = TLSv1.2
ssl_cipher_list = ALL:!kAnull:!ADH:!DES:!3DES:!EXPORT:!RC4:!aNULL:!eNULL:!SSLv2:!SSLv3:!MD5:!PSK
ssl_prefer_server_ciphers = yes

Криптография и подлинность писем: SPF, DKIM и DMARC

Чтобы ваши письма гарантированно доставлялись внешним адресатам и не попадали в папку «Спам», необходимо подтвердить право вашего сервера отправлять почту от имени домена. Для этого используется триада стандартов: SPF, DKIM и DMARC.

Настройку SPF мы выполнили на этапе подготовки DNS. Перейдем к настройке DKIM (DomainKeys Identified Mail). DKIM добавляет к каждому исходящему письму невидимую цифровую подпись, которая подтверждает, что письмо отправлено именно с вашего домена и его содержимое не было изменено при транспортировке.

В нашем стеке за генерацию и подписание писем отвечает Rspamd. Сгенерируем ключи DKIM с помощью встроенной утилиты Rspamd:

mkdir -p /var/lib/rspamd/dkim/
rspamd-genkey -d company.ru -s mail -k /var/lib/rspamd/dkim/company.ru.key > /var/lib/rspamd/dkim/company.ru.txt

*Параметр -d указывает домен, а -s mail — селектор (идентификатор подписи). Селектор может быть любым, но обычно используют mail или default.*

Сменим владельца директории с ключами, чтобы Rspamd имел к ним доступ:

chown -R _rspamd:_rspamd /var/lib/rspamd/dkim/
chmod 400 /var/lib/rspamd/dkim/*.key

В файле /var/lib/rspamd/dkim/company.ru.txt находится публичная часть ключа, которую нужно добавить в DNS-панель вашего домена в виде TXT-записи. Выглядеть она будет следующим образом:

mail._domainkey.company.ru.  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."

Настроим Rspamd для автоматического подписания исходящих писем. Создадим файл /etc/rspamd/local.d/dkim_signing.conf:

# /etc/rspamd/local.d/dkim_signing.conf
allow_username = true;
auth_only = true;
use_esld = false;

path = "/var/lib/rspamd/dkim/$domain.$selector.key";
selector = "mail";

Настройка DMARC (Domain-based Message Authentication)

DMARC указывает принимающим серверам, что делать с письмами, которые не прошли проверку SPF или DKIM. Также он позволяет владельцу домена получать отчеты о попытках отправки писем от имени его бренда.

Добавьте в DNS вашего домена TXT-запись:

_dmarc.company.ru.  IN  TXT  "v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-reports@company.ru"

*Разбор параметров:*

• p=quarantine: Политика обработки писем. Если письмо не прошло валидацию, принимающий сервер должен отправить его в папку «Спам» (quarantine). Со временем, когда вы убедитесь в стабильности отправки, смените этот флаг на p=reject (полная блокировка фальшивых писем).
• pct=100: Применять политику к 100% писем.
• rua=mailto:...: Адрес электронной почты, на который крупные почтовые провайдеры (Google, Mail.ru) будут отправлять посуточные агрегированные отчеты в формате XML.

Интеллектуальная защита от спама с помощью Rspamd

Rspamd является одним из лучших инструментов для борьбы с нежелательной почтой. Он проводит комплексный многоуровневый анализ каждого сообщения, присваивая ему баллы (score). Чем выше балл, тем больше вероятность того, что письмо является спамом.

Установим Rspamd и кэш-сервер Redis:

apt install redis-server rspamd -y

Запустим и добавим службы в автозапуск:

systemctl enable --now redis-server
systemctl enable --now rspamd

Настройка интеграции Rspamd и Redis

Создадим файл конфигурации для подключения Rspamd к Redis /etc/rspamd/local.d/redis.conf:

servers = "127.0.0.1:6379";

Стратегии фильтрации спама в Rspamd:

1. Серые списки (Greylisting): Метод основан на особенностях поведения спам-ботов. При получении письма от неизвестного отправителя сервер возвращает временную ошибку SMTP «попробуйте позже». Легитимный почтовый сервер повторит попытку отправки через 5–10 минут, а спам-бот, рассылающий миллионы писем по базе, проигнорирует отказ и пойдет дальше. В Rspamd этот модуль работает автоматически, запоминая успешные триады (IP, отправитель, получатель) в Redis, чтобы не задерживать повторные письма.
2. Байесовский классификатор (Bayes Filter): Статистический анализ текста. Система учится разделять слова и фразы, характерные для спама и обычных деловых писем (ham). Rspamd автоматически обучается на проходящих письмах, но для повышения точности рекомендуется провести ручное обучение.

*Команда для обучения спаму:* ``bash rspamc learn_spam /path/to/spam/folder ` *Команда для обучения чистым письмам:* `bash rspamc learn_ham /path/to/ham/folder ``

1. Размытые хэши (Fuzzy Hashes): Rspamd сверяет контрольные суммы текста писем с глобальными базами данных спам-кампаний. Если хэш-сумма письма совпадает с шаблоном массовой рассылки, письмо блокируется.
2. Нейронные сети (Neural Network): Модуль объединяет все факторы проверки (результаты SPF, DKIM, RBL, Bayes, заголовки) и пропускает их через математическую модель для вынесения окончательного вердикта.

Зададим пароль администратора для удобной веб-панели управления Rspamd (Web UI). Панель доступна по адресу http://localhost:11334/:

rspamadm pw

Полученный хэш пароля вставьте в файл /etc/rspamd/local.d/worker-controller.conf:

password = "$2y$05$xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";

Перезапустим Rspamd для применения всех настроек:

systemctl restart rspamd

Безопасность и шифрование (SSL/TLS, Let's Encrypt и hardening)

Безопасность почтового сервера требует закрытия всех потенциальных векторов атак. Для защиты соединений мы используем бесплатные сертификаты Let's Encrypt.

Получение SSL/TLS сертификата

Установим утилиту Certbot:

apt install certbot -y

Остановим временно Postfix или веб-сервер, если они используют 80-й порт, и выпустим сертификат для нашего почтового домена:

certbot certonly --standalone -d mail.company.ru --agree-tos --email admin@company.ru

Для автоматического обновления сертификата настроим хук перезапуска почтовых служб. Создадим файл /etc/letsencrypt/renewal-hooks/deploy/mail-restart.sh:

#!/bin/bash
systemctl restart postfix
systemctl restart dovecot

Сделаем скрипт исполняемым:

chmod +x /etc/letsencrypt/renewal-hooks/deploy/mail-restart.sh

Защита от перебора паролей с помощью Fail2ban

Спам-боты круглосуточно сканируют интернет в поисках почтовых серверов со слабыми паролями пользователей. Чтобы защитить Postfix и Dovecot от перебора (brute force), установим и настроим сервис Fail2ban:

apt install fail2ban -y

Создадим файл локальной конфигурации /etc/fail2ban/jail.local:

[DEFAULT]
bantime = 1h
findtime = 10m
maxretry = 5

[postfix]
enabled = true
port = smtp,ssmtp,submission
filter = postfix
logpath = /var/log/mail.log

[dovecot]
enabled = true
port = pop3,pop3s,imap,imaps,submission
filter = dovecot
logpath = /var/log/mail.log

Перезапустим службу:

systemctl restart fail2ban

Теперь, если злоумышленник или бот сделает более 5 неверных попыток авторизации в течение 10 минут, Fail2ban заблокирует его IP-адрес на уровне межсетевого экрана (iptables/nftables) на 1 час.

Что я делаю для этой сферы

• [ ] Аудит безопасности и настройка DNS: Проверяю репутацию IP-адресов, настраиваю корректные SPF, DKIM и DMARC записи в DNS для максимальной доставляемости.
• [ ] Развертывание почтового стека на Linux: Устанавливаю и настраиваю Postfix и Dovecot с хранением писем в быстром и надежном формате Maildir.
• [ ] Интеграция интеллектуального антиспама: Внедряю и обучаю систему Rspamd с кэшированием в Redis для фильтрации нежелательного трафика без задержек.
• [ ] Настройка TLS-шифрования и автопродления: Защищаю каналы связи с помощью современных шифров TLSv1.3 и автоматизирую получение SSL-сертификатов Let's Encrypt.
• [ ] Внедрение систем защиты и бэкапов: Настраиваю Fail2ban для защиты от перебора паролей и организую автоматическое резервное копирование почтовых ящиков по схеме «3-2-1».

Готовое решение по теме

• Связаться со мной в Telegram — быстрое обсуждение деталей проекта и техническая консультация в мессенджере.
• Группа ВКонтакте — полезные обзоры, кейсы по системному администрированию и новости сферы ИТ.
• Каталог услуг — актуальный прайс-лист, шаблоны договоров и детальный перечень регламентных работ.

Часто задаваемые вопросы (FAQ)

Почему письма с нового сервера улетают в спам на Gmail или Mail.ru?

Это стандартное поведение крупных почтовых систем по отношению к новым IP-адресам, у которых отсутствует история (репутация). Чтобы исправить это:

• Убедитесь, что все DNS-записи (особенно PTR, SPF и DKIM) настроены абсолютно верно.
• Зарегистрируйте домен в кабинетах для отправителей: Google Postmaster Tools и Mail.ru Postmaster. Там вы сможете отслеживать репутацию домена и IP.
• Начните процесс «прогрева» IP-адреса: отправляйте почту небольшими объемами реальным клиентам, которые будут открывать ваши письма и отвечать на них. Избегайте массовых рассылок в первые 2–3 недели.

Можно ли развернуть почтовый сервер, если провайдер предоставляет динамический IP-адрес?

Нет, для надежного почтового сервера необходим строго статический публичный IP-адрес. Динамические IP-адреса обычно принадлежат пулам домашних провайдеров. Большинство крупных почтовых систем (Yandex, Gmail) автоматически блокируют любую почту, поступающую с таких диапазонов, классифицируя её как спам-активность домашних ботнетов. Кроме того, для динамического IP невозможно прописать постоянную PTR-запись.

Зачем в связке с Rspamd обязательно использовать Redis?

Redis выполняет роль сверхбыстрого временного хранилища данных. Rspamd обращается к нему при обработке каждого входящего сообщения. В Redis хранятся:

• Данные для модуля Greylisting (серые списки IP-адресов).
• Статистические токены байесовского классификатора (результаты обучения спам/не-спам).
• Данные о лимитах отправки (rate limits), предотвращающие компрометацию учетных записей и массовую рассылку спама с вашего сервера изнутри.

Использование Redis в оперативной памяти минимизирует задержки при обработке почты.

Как перенести старые письма со старого облачного хостинга на наш новый Linux-сервер?

Для бесшовного переноса почтовых архивов используется проверенная консольная утилита ImapSync. Она подключается к старому и новому ящикам по протоколу IMAP и копирует всю структуру папок и писем с сохранением их статусов (прочитано/непрочитано), дат получения и вложений. Процесс миграции можно выполнять на живую, без остановки работы сотрудников, так как утилита поддерживает синхронизацию только новых изменившихся писем (инкрементальный перенос).

Сколько ресурсов сервера (RAM/CPU) реально требуется для стабильной работы почты?

Минимальные системные требования для операционной системы Linux с установленными Postfix и Dovecot — 1 ГБ оперативной памяти. Однако при подключении современного спам-фильтра Rspamd, базы данных Redis и средств защиты лимиты возрастают. Рекомендуется выделять виртуальную машину минимум с 2 ГБ RAM (а лучше 4 ГБ) и 2 ядрами CPU. Это предотвратит аварийное завершение процессов из-за нехватки памяти (Out of Memory killer) в моменты пиковой нагрузки.

Как защитить почтовый сервер от попадания в спам-листы при массовых рассылках?

Главное правило — разделяйте транзакционную почту (уведомления, счета клиентам) и маркетинговую рассылку (новости, акции). Для маркетинговых писем используйте отдельные поддомены (например, promo.company.ru) и внешние специализированные сервисы рассылок. Никогда не делайте массовых рекламных рассылок с основного почтового IP-адреса вашей компании. Любая жалоба получателя на спам мгновенно снизит репутацию IP, заблокировав отправку важных рабочих писем сотрудников.

30-дневный пошаговый план внедрения корпоративного почтового сервера

Создание собственной безопасной почтовой системы — это процесс, требующий системного подхода. Ниже представлен проверенный пошаговый план действий на 4 недели.

Неделя 1: Подготовка инфраструктуры и DNS-окружения

• [ ] День 1: Аренда виртуального сервера (VPS) в надежном дата-центре. Проверка чистоты выделенного IP-адреса по базам RBL.
• [ ] День 2: Направление заявки хостинг-провайдеру на прописку корректной обратной записи DNS (PTR record), соответствующей имени хоста сервера.
• [ ] День 3: Создание А-записи для почтового поддомена и MX-записи для основного домена в панели управления DNS.
• [ ] День 4: Выпуск первичного бесплатного SSL/TLS-сертификата Let's Encrypt с помощью Certbot в режиме standalone.
• [ ] День 5: Настройка базовой политики SPF в DNS с жестким ограничением -all для защиты от подделки адресов.

Неделя 2: Установка и базовая конфигурация почтовых служб

• [ ] День 6: Установка пакетов Postfix и Dovecot на чистую ОС Debian/Ubuntu.
• [ ] День 7: Настройка конфигурационного файла Postfix (main.cf) для безопасного приема писем и работы с шифрованием TLS.
• [ ] День 8: Настройка Dovecot: переключение на формат хранения Maildir, создание LMTP сокета для взаимодействия с Postfix.
• [ ] День 9: Настройка механизмов авторизации SASL для защиты доступа к отправке писем по протоколу SMTP.
• [ ] День 10: Локальное тестирование отправки и приема писем между тестовыми пользователями сервера.

Неделя 3: Внедрение DKIM, DMARC и антиспам системы Rspamd

• [ ] День 11: Генерация закрытого криптографического ключа DKIM в Rspamd и добавление публичной TXT-записи в DNS.
• [ ] День 12: Создание политики DMARC в DNS с мягким флагом p=quarantine для тестирования доставляемости.
• [ ] День 13: Установка Rspamd и Redis. Настройка интеграции фильтра с очередями Postfix через протокол Milter.
• [ ] День 14: Включение и настройка модуля Greylisting (серых списков) в Rspamd для отсечения базовых спам-ботов.
• [ ] День 15: Проверка доставляемости тестовых писем на внешние сервисы через анализаторы (например, Mail-tester).

Неделя 4: Безопасность, миграция данных и запуск в эксплуатацию

• [ ] День 16: Установка и конфигурирование утилиты Fail2ban для защиты портов SMTP, IMAP и POP3 от перебора паролей.
• [ ] День 17: Импорт существующей структуры учетных записей сотрудников на новый сервер.
• [ ] День 18: Запуск процесса синхронизации архивов старых писем со старого хостинга через утилиту ImapSync.
• [ ] День 19: Финальное переключение MX-записей в DNS на новый сервер в нерабочее время для минимизации простоев.
• [ ] День 20: Запуск полноценного почтового обмена, первичное обучение байесовских фильтров Rspamd на входящем потоке.
• [ ] День 21-30: Период стабилизации и тонкой настройки. Анализ поступающих DMARC-отчетов, корректировка весов правил Rspamd, перевод политики DMARC в жесткий режим p=reject и проведение инструктажа для сотрудников по правилам безопасной работы с почтой.