استضف خادم بريد ذاتياً على VPS.
Mailcow وMail-in-a-Box وiRedMail — والمضيف الذي يتيح لك ذلك.
البريد الإلكتروني المستضاف ذاتياً أصعب مما ينبغي في عام 2026، وتقع تقريباً كل الصعوبة في ثلاثة أماكن — المنفذ 25 محجوب لدى معظم المضيفين، وسمعة IP الجديدة، وسجلات DNS التي يجب أن تتوافق بدقة. يُسمّي هذا الدليل المتطلبات الأساسية، ويقارن الأطر الثلاثة الجدية، ويرسم مسار قابلية التسليم.
- 01
ثلاثة جدران صلبة قبل أي تثبيت: المنفذ 25 الصادر يجب أن يكون مفتوحاً، وعنوان IP يحتاج إلى سجل سمعة نظيف، وسجل PTR يجب أن يطابق اسم مضيف HELO. بدون الثلاثة جميعاً، لن توصِّل أي حزمة برامج البريد إلى Gmail.
- 02
المضيف أهم من البرنامج. يفتح NordBastion VPS المنفذ 25 افتراضياً ويضبط سجلات PTR من اللوحة في غضون ساعة — موقف بدون KYC يعني عدم وجود خطوة للتحقق من الهوية.
- 03
اختر الحزمة وفق ذوقك التشغيلي: Mail-in-a-Box (سكريبت، 2 GB، افتراضي) أو Mailcow (Docker، 6 GB، واجهة حديثة) أو iRedMail (مرن، يدوي، للمحترف التشغيلي).
ثلاثة جدران صلبة. اصطدم بأي منها ويصبح ما تبقى من الدليل بلا جدوى.
السبب في أن نصيحة «اكتفِ بتثبيت خادم بريد» نصيحة سيئة هو أن التثبيت يمثل 10٪ السهلة من المشكلة. أما الـ 90٪ الباقية فهي متطلبات على مستوى البنية التحتية لا يستطيع البرنامج توفيرها بدلاً منك. تحقق من استيفاء الثلاثة جميعها قبل تثبيت أي شيء.
الجدار 1 — المنفذ 25 الصادر. تسليم SMTP هو TCP/25 من خادمك إلى خادم بريد المستلم. تحجب معظم شركات الاستضافة الكبرى ومزودو VPS المنخفضة التكلفة هذا المنفذ الصادر افتراضياً على مستوى المشرف الافتراضي للحد من البريد المزعج. اختبر ذلك أولاً: nc -zv smtp.gmail.com 25 — إن انتهت المهلة، فإن مضيفك يحجب المنفذ 25 ولن تغادر أي رسالة بريد. افتح تذكرة لطلب رفع الحجب، أو انتقل إلى مضيف لا يحجبه.
الجدار 2 — سمعة عنوان IP. تحقق من عنوان IP مقابل Spamhaus وSORBS وBarracuda وCisco Talos (mxtoolbox.com/blacklists.aspx). إذا ظهر في أي قائمة فللـIP تاريخ سابق؛ ستكون إمكانية التسليم ضعيفة حتى تُزال من القائمة أو تنتقل. عناوين IP الجديدة بدون تاريخ سابق جيدة — تبدأ في خانة «المرسل المحايد / غير المعروف» وهي نقطة البداية الصحيحة.
الجدار 3 — مطابقة سجل PTR. يجب أن يتطابق PTR (DNS العكسي) لعنوان IP الخاص بـVPS مع اسم المضيف HELO الذي يُعلنه Postfix. إن أعلن خادمك "mail.example.com" لكن PTR لـIP يقول "static-12-34-56-78.example-host.net"، سيُؤجل Gmail أو يرفض. PTR يُضبط من قِبَل مزود VPS على IP، لا منك على نطاقك. معظم المزودين يُتيحون تحكماً في لوحة التحكم؛ بعضهم يتطلب تذكرة دعم. NordBastion يُتيحه من اللوحة.
اجتز الثلاثة وأنت حر في التثبيت. إذا فشلت في أي منها أصلحه أولاً.
لماذا يحجب معظم المزوّدين المنفذ 25. وزاوية اللا-KYC.
SMTP الصادر هو المفضل لدى مرسلي البريد المزعج. يستطيع VPS مخترق مع منفذ 25 مفتوح ضخ 100,000 رسالة في اليوم قبل أن يلاحظ أحد، وتصل شكاوى الإساءة جميعها إلى صندوق وارد المضيف. للسيطرة على ذلك يحجب معظم مزودي VPS إما منفذ 25 الصادر عند حافة الشبكة أو يشترطون التحقق من الهوية والموافقة على الاستخدام المقبول قبل رفع الحجب لكل عميل على حدة.
هذا النموذج ينكسر لمضيف يضع الخصوصية أولاً. كل مقترح VPS بدون KYC هو أن العملاء لا يحتاجون إلى تعريف أنفسهم. إضافة خطوة «لكن للمنفذ 25 تفعل» ستكون تناقضاً مبدئياً. لذا تنقسم صناعة الاستضافة الخاصة بالخصوصية إلى معسكرين: مضيفون يرفضون المنفذ 25 كلياً (مما يستبعد البريد المستضاف ذاتياً)، ومضيفون يفتحونه للجميع دون التحقق من الهوية (الفئة الأندر والأكثر إثارة).
تنتمي NordBastion إلى المعسكر الثاني. كل <a href="/ar/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">VPS نوفّره</a> يأتي مع منفذ TCP/25 الصادر مفتوحًا منذ لحظة الإقلاع. لا توجد عملية التحقق من الهوية، ولا موافقة على سياسة الاستخدام المقبول، ولا تذاكر رفع الحظر اليدوي. تُراقَب إساءة الاستخدام عبر أنماط حركة المرور الصادرة لا هوية العميل — أي VPS يُصدر فجأة 10 أضعاف حجمه الاعتيادي يُوضع تحت المراقبة، بغض النظر عن مالك الحساب. تنجح هذه المقايضة لأن مصائد البريد العشوائي تعمل على طبقة البروتوكول لا طبقة الهوية.
الأثر العملي: NordBastion + عنوان IP جديد ونظيف + سجل PTR مضبوط من لوحة التحكم — قائمة الفحص ذات الجدران الثلاثة مكتملة في أقل من ساعة. وما تبقى من الدليل هو التثبيت الفعلي.
مقارنة الحزم الثلاث. Mailcow مقابل Mail-in-a-Box مقابل iRedMail.
Mail-in-a-Box. سكريبت شل واحد يحوّل تثبيتاً جديداً على Ubuntu 22.04 إلى خادم بريد متكامل — Postfix وDovecot وRoundcube webmail وجهات الاتصال/التقويم مكافئ Nextcloud وSpamAssassin وإرشادات DNS. الإعدادات الافتراضية منطقية، وواجهة الإدارة في حدودها الدنيا، والبصمة على الموارد 2 GB RAM بيسر. الأنسب لمن يريد النتيجة دون تعلّم Docker. التحديثات تصل على إيقاع المشروع الأعلى، عادةً اثنان أو ثلاثة في السنة.
Mailcow. حزمة قائمة على Docker Compose — Postfix وDovecot وRspamd وClamAV وSOGo وNginx وMariaDB وRedis وSolr — مع واجهة إدارة ويب متقنة (2FA وActiveSync والتقاويم ودفاتر العناوين وحصص صندوق البريد). تحتاج إلى 6 GB من RAM كحد أدنى عملي؛ مريحة على 8. الأنسب لمن يريد إعداداً حديثاً ومتعدد الوحدات مع تصفية متميزة للبريد المزعج وActiveSync للجوال. إصدارات مستمرة؛ يُشحن ملف docker-compose.yml من مستودع المشروع.
iRedMail. الخيار التقليدي — سكربت شِل يثبّت الحزمة الكلاسيكية Postfix + Dovecot + Amavisd-new + ClamAV فوق Debian / Ubuntu / CentOS. واجهة الإدارة (iRedAdmin) عملية أكثر منها أنيقة. الخيار الأنسب للمشغّل الذي لديه آراء مسبقة بشأن كل مكوّن ويرغب في التحكم المباشر بملفات الإعدادات. تضيف نسخة Pro إدارة أكثر ثراءً؛ والنسخة مفتوحة المصدر صالحة للاستخدام بالكامل.
ما يشتركون فيه جميعاً. تُنتج الثلاثة خادم بريد وظيفياً بالكامل مع SMTP / IMAP / submission / DKIM / SpamAssassin أو Rspamd / webmail. تعتمد الثلاثة على آليات إمكانية التسليم ذاتها على مستوى البروتوكول (SPF / DKIM / DMARC / PTR). تحتاج الثلاثة إلى نفس الصيانة الشهرية. الاختيار يتعلق بأريحية العمل لا بما إذا كان البريد سيعمل.
سجلات DNS. الخمسة جميعاً بإتقان، أو لا شيء.
إمكانية تسليم البريد الحديث مشروطة بخمسة سجلات DNS. احصل على الخمسة بشكل صحيح وسيصل بريدك إلى صندوق الوارد في Gmail وOutlook. أغفل واحداً أو احصل على نصف إجابة صحيحة وسيصل إلى البريد المزعج — أو أسوأ، يُسقَط بصمت على طبقة SMTP دون ارتداد.
1. MX (سجل). example.com. MX 10 mail.example.com. — يُخبر العالم بمكان توصيل البريد لهذا النطاق.
2. A (سجل). mail.example.com. A 1.2.3.4 — عنوان IP الخاص بـ VPS البريد لديك.
3. PTR (عكسي). 4.3.2.1.in-addr.arpa. PTR mail.example.com. — يُضبط على عنوان IP لدى مزوّد VPS. يجب أن يتطابق مع HELO. NordBastion: اضبط هذا من اللوحة في غضون ساعة من توفير VPS.
4. SPF (سجل). example.com. TXT "v=spf1 mx -all" — يُعلن أن مضيفات MX وحدها يمكنها إرسال البريد للنطاق. -all (إخفاق صارم) هي الصيغة الصحيحة عند الاستضافة الذاتية؛ ~all (إخفاق رخو) هي الصيغة المتسامحة الأقدم التي يجب تجنّبها.
5. DKIM (سجل). default._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=<long-key-from-mailcow-admin>" — المفتاح العام الذي يستخدمه المستقبِل للتحقق من توقيع DKIM الذي يضيفه خادمك إلى كل رسالة صادرة. يبقى المفتاح الخاص في خادم البريد؛ ويذهب نصفه العام إلى DNS.
6. DMARC (سجل). _dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:[email protected]" — يخبر المستقبِلين بما يجب فعله بالرسائل التي تفشل في SPF/DKIM (رفض)، وأين تُرسَل التقارير المجمّعة. ابدأ بـ p=none في الأسبوع الأول للمراقبة، ثم انتقل إلى p=reject.
تحقّق من الحزمة بأكملها عبر فحص Email Health Check على mxtoolbox.com بعد كل تغيير. اللون الأخضر في كل الفحوصات هو الحالة الوحيدة المقبولة.
إمكانية التسليم. Gmail وOutlook ومرحلة الإحماء.
حتى عنوان IP جديد مع DNS مثالي يبدأ في خانة «المرسل المحايد» في Gmail وOutlook. الشهر الأول هو مرحلة بناء سمعة. الهدف أن تبدو تماماً كمرسل شرعي صغير: حجم منخفض، وإيقاع ثابت، ومصادقة مثالية، ومستلمون يفتحون ويردون.
الأسبوع 1. أرسل البريد فقط إلى حساباتك الخارجية (Gmail وOutlook وYahoo وProton). اقرأ كل رسالة في صندوق الوارد الخاص بالمستلم، وضعها في "ليس بريداً مزعجاً" إن وصلت للمزعج، ورد عليها. الرد هو إشارة السمعة الأكثر أهمية. الحجم: 5-20 رسالة يومياً.
الأسابيع 2–4. أضف حفنة من المراسلين الذين يردون بشكل طبيعي. اشترك في قائمة بريدية أو اثنتين ترسل إلى عنوانك الجديد (إعلانات تقنية ونشرات المشاريع)؛ التفاعل مع الوارد من المرسلين الراسخين يساعد صادرك. الحجم: 50–200 في اليوم.
الشهران 2–3. في هذه المرحلة لعنوان IP سجل سابق. انقل البريد الوارد من مزوّدك القديم عبر إعادة توجيه SMTP حتى يبدأ العنوان الجديد في استقبال حركة مرور حقيقية. استمر في مراقبة قوائم DNSBL شهرياً. بحلول الشهر الثالث، تكون إمكانية التسليم غير قابلة للتمييز تقريباً عن مزوّد مستضاف.
ما يقتل فترة الإحماء. الإرسال الجماعي الصادر في اليوم الأول. الإرسال إلى قائمة جهات اتصال قديمة بعناوين ميتة (يحسب Gmail الارتدادات سلبية قوية). حملات النشرة الإخبارية. أي من هذه في الأسبوع الأول يُعيد عنوان IP أسابيع إلى الوراء. الانضباط هنا هو الصبر لا التقنية.
الصيانة. ساعة في الشهر، وإلا ينهار.
خادم البريد المستضاف ذاتياً ليس «أعدده وانسَه» — نظام البريد الإلكتروني يتحرك باستمرار، وتكلفة التأخر هي تدهور صامت في إمكانية التسليم لا تلاحظه إلا حين يقول لك صديق «لم أتلق بريدك الإلكتروني قط». روتين الصيانة الشهرية صغير لكنه غير قابل للتفاوض.
قائمة التحقق الشهرية. (1) فحص DNSBL — مسح قائمة الحظر عبر mxtoolbox، واطلب الإزالة إن كنت مدرجاً. (2) التحقق من تجديد الشهادة — يجب أن يجدد Let's Encrypt تلقائياً لكن تحقق. (3) تشغيل المحدّث — Mailcow update.sh أو ترقية MIAB أو apt upgrade على iRedMail. (4) مسح السجلات — Rspamd / Postfix بحثاً عن معدلات رفض غير معتادة. (5) التحقق من النسخ الاحتياطية — استعد أحدث نسخة احتياطية إلى دليل مؤقت وتأكد من فك ضغط ملف البريد بنجاح.
ربع سنوي. تدريب استعادة نسخة احتياطية كاملة إلى VPS ثانٍ وتحقق من أن تسجيل دخول webmail يعمل. راجع قواعد SpamAssassin / Rspamd — تنجرف درجات bayes، أعد التدريب على البريد المرحّب به/المزعج الأخير. تحقق من تقارير DMARC الإجمالية بحثاً عن استخدام غير مصرح به للنطاق.
عند وصول إصدار رئيسي. التقط لقطة لـVPS أولاً (لوحة NordBastion: نقرة واحدة). خذ نسخة احتياطية جديدة لقاعدة البيانات خارج الخادم. شغّل الترقية. تحقق من إرسال SMTP واسترداد IMAP وتسجيل دخول webmail والمزامنة المحمولة وكل حساب على الخادم. ارجع إلى اللقطة إن فشل أي شيء. الوقت: 30-60 دقيقة مرة أو مرتين سنوياً.
نقطة الانهيار. يتخلى الناس عن البريد المستضاف ذاتياً حين يتخطون ثلاثة أشهر من التحديثات، ثم يصل تغيير DSA / DMARC كبير، ثم تتدهور إمكانية التسليم بصمت، ثم يخبرهم صديق أن البريد يرتد. ادمج الساعة الشهرية في التقويم منذ اليوم الأول ونقطة الانهيار لن تأتي أبداً.
أسئلة، أجوبة.
ثماني أسئلة تطرح نفسها عند بدء تشغيل خادم بريد إلكتروني مستضاف ذاتياً في 2026 وإدارته.
هل لا يزال من الواقعي استضافة البريد الإلكتروني ذاتياً في 2026؟
نعم — لكن فقط إذا فهمت المشكلات البنيوية الثلاث وقبلت بالتكلفة التشغيلية. المشكلة الأولى: المنفذ 25 الصادر محجوب افتراضياً لدى معظم مزوّدي الـ VPS، وفتحه يتطلب محادثة مع فريق المبيعات. المشكلة الثانية: مساحة الـ IP الجديدة لها سمعة توصيل «باردة» تحتاج أسابيع للإحماء أمام Gmail وOutlook. المشكلة الثالثة: دورة الصيانة الشهرية (فحوصات DNSBL، تجديد TLS، إزالة من القوائم السوداء) غير قابلة للتفاوض. مع معالجة ذلك، البريد المستضاف ذاتياً في 2026 أصحّ مما كان عليه في 2020.
أي حزمة ينبغي أن أختار — Mailcow أم Mail-in-a-Box أم iRedMail؟
Mail-in-a-Box للقارئ الذي يريد «أن يعمل هذا». سكريبت تثبيت واحد وإعدادات افتراضية منطقية ويعمل على 2 GB. Mailcow للقارئ الذي يريد «واجهة إدارة حديثة وDocker»؛ يحتاج 6 GB ويمنحك Rspamd وActiveSync وSOGo وإدارة ويب متقنة. iRedMail للقارئ الذي لديه «حزمة محددة يريدها»؛ مرن جداً ويدوي جداً وخيار المحترف القديم. تُنتج الثلاثة خادم بريد وظيفياً بالكامل؛ الاختيار يتعلق بأريحية العمل لا النتيجة.
لماذا يُحجَب المنفذ 25 لدى معظم مزوّدي الـ VPS؟
لأن المرسلي بريد مزعج يسيئون استخدامه. يحجب المقياسون العملاقون ومزودو VPS الاقتصاديون TCP/25 الصادر على مستوى المشرف الافتراضي أو جدار الحماية افتراضياً للحد من شكاوى الإساءة — رفع الحجب يتطلب فتح تذكرة دعم والتحقق من الهوية والموافقة على «AUP للبريد الإلكتروني». المضيفون الذين يضعون الخصوصية أولاً ويرفضون التحقق من الهوية لا يستطيعون تقديم رفع الحجب؛ المضيفون السائدون الذين يقدمون رفع الحجب يشترطون KYC. مجموعة «بدون KYC ومنفذ 25 مرفوع الحجب» نادرة وهذا هو السبب في وجود هذا الدليل على هذا الموقع أصلاً.
هل تُزيل NordBastion الحجب عن SMTP الصادر لعملاء خادم البريد؟
نعم — المنفذ 25 الصادر مفتوح على كل VPS من NordBastion دون الحاجة إلى تذكرة دعم. لا نُجري خطوة تحقق من الهوية قبل السماح بـ SMTP، لأن وضعية اللا-KYC هي العقيدة؛ تُراقَب الإساءة الصادرة بأنماط حركة المرور لا بهوية الزبون. هذا هو الفارق الذي يجعل خادم بريد مستضافاً ذاتياً ممكناً فعلياً على مزوّد مخصّص للخصوصية.
ما هو سجل PTR ولماذا يستمر رفض بريدي دونه؟
سجل PTR (مؤشر) هو البحث العكسي في DNS لعنوان IP — إجابة لسؤال «ما اسم المضيف الذي ينتمي إليه هذا الـIP؟» تقوم كثير من مزودي البريد الكبار (Gmail وMicrosoft وYahoo) برفض البريد الوارد من خوادم لا يتطابق سجل PTR الخاص بها مع اسم مضيف HELO في محادثة SMTP. تضبط سجل PTR على عنوان IP لا على نطاقك — على VPS يعني ذلك مطالبة مزوّد VPS بضبط سجل PTR لـIP الخاص بك على mail.example.com. تضبط NordBastion سجلات PTR عند الطلب من اللوحة في غضون ساعة.
كم يستغرق إحماء سمعة عنوان IP؟
من أسبوعين إلى ستة أسابيع من حركة بريد طبيعية للخروج من سلة «المرسِل الجديد» لدى Gmail وOutlook، وأطول إذا كنت ترسل بشكل متفرّق. المسرّعات هي: حجم صادر منخفض وثابت (50–200 رسالة يومياً في الأسبوع الأول، ثم زيادة تدريجية)، ومحاذاة مثالية لـ SPF + DKIM + DMARC على كل رسالة، وعدم الظهور في أي قائمة DNSBL، وتفاعل المستلمين (فتح ورد). والقاتلات هي: إرسال بالجملة في اليوم الأول، وسجلات مصادقة ناقصة أو غير متوافقة، والإرسال إلى مصائد البريد المزعج.
هل أحتاج إلى VPS مخصص للبريد أم يمكنني تشغيله إلى جانب خدماتي الأخرى؟
يُنصح بشدة بخادم مخصص. برامج خادم البريد (Postfix وDovecot وRspamd وClamAV وقاعدة البيانات وwebmail) لها ملف محدد من RAM والتخزين، وسمعة عنوان IP مرتبطة بحركة مرور البريد تحديداً — الاشتراك مع Tor exit relay أو عقدة Bitcoin يعني طلب إدراج عنوان IP في قائمة غير مفيدة في مكان ما. VPS ثانٍ بـ5.90 دولار/شهر تأمين رخيص.
ما هو عبء الصيانة المستمر؟
قائمة تحقق شهرية: تحقق من أن عنوان IP غير مدرج في Spamhaus / SORBS / Barracuda DNSBLs (5 دقائق — mxtoolbox.com)؛ أكّد تجديد شهادات Let's Encrypt (دقيقة واحدة)؛ تفحّص سجلات Rspamd / Postfix بحثاً عن أنماط غير معتادة (5 دقائق)؛ شغّل محدّث Mailcow / MIAB (10 دقائق)؛ تحقق من استعادة أحدث نسخة احتياطية بنجاح (15 دقيقة مرة كل ربع سنة). الإجمالي: ساعة شهرياً مع ساعة أثقل مرتين في السنة حين تصل الإصدارات الكبرى.
منفذ 25 مفتوح، وPTR من اللوحة، وبدون KYC، والدفع بعملة مشفرة.
يعمل Mail-in-a-Box على Ravelin (2 vCPU، 4 GB، 5.90 دولار/شهر). يريد Mailcow Iron (4 vCPU، 8 GB، 24.90 دولار/شهر). كلاهما يُشحن مع منفذ 25 مفتوحاً بالفعل.
آخر مراجعة · 2026-05-20 · المصادر · وثائق Mailcow / Mail-in-a-Box / iRedMail الأعلى، وGmail Postmaster Tools، وRFC 5321 / 6376 / 7489 · الدورية · سنوياً
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Bitwarden-compatible password vault under your own control.
Files, calendar, contacts, photos — owned, not rented.
A meta search engine that does not log you — because you own it.
What “no KYC” actually means — and what it does not.