Построение собственного корпоративного почтового сервера - задача, требующая внимания к деталям, но дающая полный контроль над корпоративной коммуникацией. В этой статье мы разберем что такое настройка корпоративной почты на базе Debian, включающую SMTP-сервер Postfix, IMAP/POP3-сервер Dovecot, систему фильтрации спама и вирусов, а также настройку файервола и подключение клиентских устройств.
Планирование и подготовка инфраструктуры
Прежде чем приступать к установке, необходимо выполнить ряд подготовительных шагов:
DNS-записи - критически важный компонент. Убедитесь, что для вашего домена настроены следующие записи:
- A-запись:
mail.example.com→ IP-адрес сервера - MX-запись:
example.com→10 mail.example.com - PTR-запись (обратная зона): настраивается у провайдера хостинга
Требования к серверу: Debian 11/12, статический IP-адрес, минимум 2 ГБ ОЗУ (рекомендуется 4 ГБ для продуктивной среды).
Порты для открытия: 25 (SMTP), 587 (SMTP Submission), 993 (IMAPS), 995 (POP3S). Порт 25 часто блокируется хостинг-провайдерами необходимо проверить заранее.
Установка и базовая настройка Postfix (SMTP)
Postfix современный SMTP-сервер, отвечающий за прием и отправку почты.
Установка
sudo apt update && sudo apt upgrade -y
sudo apt install postfix mailutils -yПри установке выберите тип конфигурации "Internet Site" и укажите системное почтовое имя (например, mail.example.com).
Базовая конфигурация
Отредактируйте файл /etc/postfix/main.cf:
sudo nano /etc/postfix/main.cfПриведите параметры к следующему виду:
myhostname = mail.example.com
mydomain = example.com
myorigin = $mydomain
inet_interfaces = all
inet_protocols = ipv4
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
mynetworks = 127.0.0.0/8 [::1]/128
home_mailbox = Maildir/
smtpd_banner = $myhostname ESMTPhome_mailbox = Maildir/- использует формат Maildir, предпочтительный для Dovecotmynetworksограничивает список доверенных сетей (только localhost)
Настройка отправки через внешний ретранслятор (опционально)
Если провайдер блокирует порт 25, настройте ретрансляцию через внешний SMTP:
relayhost = [smtp.gmail.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_use_tls = yesСоздайте файл /etc/postfix/sasl_passwd с учетными данными и примените:
sudo postmap /etc/postfix/sasl_passwd
sudo chmod 600 /etc/postfix/sasl_passwd*Установка и настройка Dovecot (IMAP/POP3)
Dovecot обеспечивает доступ пользователей к своим почтовым ящикам.
Установка
sudo apt install dovecot-core dovecot-imapd dovecot-pop3d dovecot-lmtpd -yСоздание виртуального пользователя для почты
sudo groupadd -g 5000 vmail
sudo useradd -g vmail -u 5000 vmail -d /var/mail/vmail -m -s /usr/sbin/nologin
sudo mkdir -p /var/mail/vmail
sudo chown -R vmail:vmail /var/mail/vmailНастройка Dovecot
Отредактируйте /etc/dovecot/dovecot.conf:
protocols = imap pop3 lmtpНастройте аутентификацию в /etc/dovecot/conf.d/10-auth.conf:
disable_plaintext_auth = no
auth_mechanisms = plain loginНастройте расположение почты в /etc/dovecot/conf.d/10-mail.conf:
mail_location = maildir:/var/mail/vmail/%d/%n
mail_privileged_group = mailНастройте LMTP для взаимодействия с Postfix в /etc/dovecot/conf.d/10-master.conf:
service lmtp {
unix_listener /var/spool/postfix/private/dovecot-lmtp {
mode = 0600
user = postfix
group = postfix
}
}
service auth {
unix_listener /var/spool/postfix/private/auth {
mode = 0660
user = postfix
group = postfix
}
}4. Настройка SSL/TLS шифрования
Безопасность - ключевое требование для корпоративной почты. Получите бесплатный сертификат Let’s Encrypt:
sudo apt install certbot -y
sudo systemctl stop postfix dovecot
sudo certbot certonly --standalone -d mail.example.comНастройте Postfix (/etc/postfix/main.cf):
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.example.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.example.com/privkey.pem
smtpd_use_tls = yes
smtpd_tls_security_level = may
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1Настройте Dovecot (/etc/dovecot/conf.d/10-ssl.conf):
ssl = yes
ssl_cert =
Для автоматического обновления сертификатов добавьте задачу в cron:
echo "0 3 * * * certbot renew --quiet --post-hook 'systemctl restart postfix dovecot'" | sudo crontab -
Настройка фильтрации спама и вирусов
SpamAssassin - контентный фильтр
sudo apt install spamassassin spamc -y
sudo systemctl enable spamassassin
sudo systemctl start spamassassin
Интеграция с Postfix - отредактируйте /etc/postfix/master.cf:
smtp inet n - - - - smtpd
-o content_filter=spamassassin
В конце файла добавьте:
spamassassin unix - n n - - pipe
flags=R user=spamd argv=/usr/bin/spamc -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}
Настройте порог срабатывания в /etc/spamassassin/local.cf:
required_hits 8.0
report_contact postmaster@example.com
rewrite_header Subject [SPAM]
Значение 8.0 снижает количество ложных срабатываний по сравнению со стандартным 5.0.
Postgrey - серый список (greylisting)
sudo apt install postgrey -y
Настройте Postgrey в /etc/default/postgrey:
POSTGREY_OPTS="-inet=127.0.0.1:10023 -delay=60"
Подключите к Postfix (/etc/postfix/main.cf):
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_policy_service inet:127.0.0.1:10023, reject_unauth_destination
RBL-черные списки (DNSBL)
Для блокировки известных спам-источников добавьте в smtpd_recipient_restrictions:
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
Настройка фаервола (iptables/UFW)
Безопасность сервера начинается с правильно настроенного файервола. Используем UFW (Uncomplicated Firewall):
# Установка UFW
sudo apt install ufw -y
# Базовые правила (SSH)
sudo ufw allow 22/tcp
# Почтовые порты
sudo ufw allow 25/tcp # SMTP
sudo ufw allow 587/tcp # SMTP Submission (STARTTLS)
sudo ufw allow 993/tcp # IMAPS
sudo ufw allow 995/tcp # POP3S
# Включение файервола
sudo ufw enable
sudo ufw status verbose
Если необходимо ограничить доступ к административным интерфейсам только с внутренних IP:
sudo ufw allow from 192.168.1.0/24 to any port 22
sudo ufw deny 22/tcp
Создание пользователей и тестирование
Создание почтового ящика
sudo useradd -m -s /bin/bash username
sudo passwd username
Проверка SMTP
telnet localhost 25
EHLO localhost
MAIL FROM: test@example.com
RCPT TO: username@example.com
DATA
Subject: Test
This is a test.
.
QUIT
Проверка IMAP
openssl s_client -connect localhost:993
* OK [CAPABILITY IMAP4rev1] Dovecot ready.
a login username password
a select INBOX
a logout
Настройка клиентских рабочих станций
Для подключения к серверу используйте следующие параметры:
| Параметр | Значение |
|---|---|
| Сервер входящей почты (IMAP) | mail.example.com, порт 993, SSL/TLS |
| Сервер исходящей почты (SMTP) | mail.example.com, порт 587, STARTTLS |
| Аутентификация | Пароль, обычный пароль |
| Имя пользователя | Полный email-адрес (username@example.com) |
Microsoft Outlook:
- Файл → Информация → Добавить учетную запись
- Ручная настройка → POP или IMAP
- Введите серверы и порты, указанные выше
Mozilla Thunderbird:
- Создать новую учетную запись
- Введите email и пароль - программа автоматически определит настройки
Мобильные устройства (iOS/Android):
- Тип учетной записи: IMAP
- Сервер входящей почты:
mail.example.com, порт 993, SSL/TLS - Сервер исходящей почты:
mail.example.com, порт 587, STARTTLS, требуется аутентификация
9. Мониторинг и обслуживание
Просмотр логов
# Основной журнал почты
sudo tail -f /var/log/mail.log
# Фильтрация ошибок
sudo grep "error" /var/log/mail.log
Регулярное обслуживание
# Обновление правил SpamAssassin
sudo sa-update
sudo systemctl restart spamassassin
# Ротация логов (настроена автоматически через logrotate)
# Проверка очереди почты
sudo postqueue -p
Настройка оповещений
Настройте мониторинг критических параметров: заполнение диска, количество сообщений в очереди, недоступность сервисов.
Мы построили полноценный корпоративный почтовый сервер на Debian с использованием Postfix и Dovecot, настроили многоуровневую защиту от спама и вирусов, ограничили доступ файрволом и подготовили параметры для подключения клиентских устройств. Такая инфраструктура дает полный контроль над почтовыми потоками организации, но требует регулярного обслуживания и мониторинга.
Для дальнейшего повышения надежности рекомендуется настроить DKIM и DMARC для улучшения доставляемости писем, а также рассмотреть внедрение резервного копирования почтовых ящиков и кластеризацию для отказоустойчивости.
Об авторе
