Composizione: la mascotte orso polare di NordBastion in armatura tattica nordica accanto a una volta postale in ottone luminescente, sigilli di buste sigillate che orbitano intorno come falene luminose, una targa in ottone con porta-25 aperta sulla porta della volta, aurora sopra un fiordo notturno
Caso d'uso · Mail server · Aggiornato 2026

La sua inbox.
Sulla porta 25. Aperta per default. Senza KYC.

Mailcow su un Garrison a $11,90/mese, porta 25 aperta dal minuto uno — nessun ticket, nessun AUP firmato. Uno dei pochi host no-KYC dove può davvero inviare mail invece di solo riceverla.

Scelga la fascia giusta Vada alla ricetta Mailcow
In sintesi
  • 01

    Garrison a $11,90/mese regge comodamente Mailcow per una mailbox personale o familiare; Ravelin a $23,90/mese per uno stack di produzione per piccoli team con rspamd, ClamAV e Sogo.

  • 02

    Porta 25 aperta per default in ogni fascia — la maggior parte degli host no-KYC la blocca. PTR/rDNS impostato tramite ticket dal pannello; il resto è SPF + DKIM + DMARC + MTA-STS.

  • 03

    Range IP mittente nordici, ben rispettati da Gmail/Outlook365 — nessuno storico condiviso con range «VPS USA economici». Signup senza KYC affinché la inbox non sia una traccia documentale del suo nome.

Perché vale la pena

Perché auto-ospitare il mail server in primo luogo.

L'email è l'identificatore universale più vecchio di internet. L'indirizzo che ha usato per registrarsi alla banca, all'agenzia delle entrate, al suo registrar di domini, al suo password manager — quell'indirizzo è la superficie di recupero per tutto il resto. Consegnare quella superficie a un provider di mailbox terzo significa consegnare le chiavi della superficie di recupero per tutto il resto.

Auto-ospitare l'email era il default; è diventata l'eccezione quando le dinamiche della corsa-agli-armamenti antispam hanno reso la deliverability davvero difficile e i grandi provider gratuiti hanno trasformato il mailbox-hosting in un loss-leader per prodotti adiacenti. Il risultato è la concentrazione: una manciata di provider gestisce la maggior parte della mail personale che scorre su internet pubblica. Quella concentrazione è un singolo punto di fallimento di policy per tutti a valle.

La storia operativa è più gestibile di quanto la reputazione suggerisca. Mailcow le offre uno stack docker-compose che include tutto (Postfix, Dovecot, rspamd, ClamAV, webmail Sogo, Z-Push); le parti difficili della deliverability (SPF, DKIM, DMARC, MTA-STS, PTR) sono ben documentate; il warm-up della reputazione IP è un processo noto misurato in settimane piuttosto che in mesi. La parte difficile è la pazienza nelle settimane 1-4, non il software.

La domanda giusta non è «auto-hosting o ospitato» in astratto — è «voglio il mio identificatore-superficie-di-recupero ancorato a un dominio e a una macchina che controllo». Se la risposta è sì, il resto di questa pagina è la ricetta.

Dimensionamento

La fascia NordBastion giusta per il compito.

Per una mailbox personale o di taglia familiare (da uno a dieci account, volume di invio modesto, qualche centinaio di messaggi al giorno in entrata), il punto ottimale è il Garrison ($11,90/mese, 4 vCPU, 8 GB, 240 GB NVMe). Il set di container di Mailcow — Postfix, Dovecot, rspamd, ClamAV, Sogo, Redis, MariaDB — sta comodamente; il disco contiene anni di archivi mail anche con allegati; i core consentono a rspamd di far girare il suo classificatore di machine learning senza lag.

Per una configurazione di produzione per piccolo team (20-100 account, volume reale in uscita, Sogo come webmail principale, sincronizzazione calendario server-side), il Ravelin ($23,90/mese, 8 vCPU, 16 GB, 480 GB NVMe) guadagna il suo posto — più margine per i worker rspamd per il carico spam in entrata, più connessioni Dovecot per la folla IMAP IDLE e lo storage per conservare la mail oltre la finestra del «mi serve davvero questo».

Sentinel ($5,90/mese, 2 vCPU, 4 GB) può far girare uno stack più snello — Mail-in-a-Box o un Postfix + Dovecot fatto a mano — per una configurazione mailbox singola, ma Mailcow su un Sentinel risulta angusto sotto qualsiasi carico spam in entrata significativo. La raccomandazione onesta è iniziare su un Garrison e restarci.

Ciò che nessuna di queste è: un'offerta managed-mail multi-tenant per clienti paganti. NordBastion ospita la macchina; la storia della deliverability, la storia della gestione abusi e l'AUP per i suoi utenti sono di sua competenza.

Configurazione

Dal VPS nuovo alla prima consegna in inbox. Sei passi, più 2-4 settimane di warm-up.

Uno schema scheletro — la documentazione upstream di Mailcow copre ogni container; la disciplina operativa qui sotto è ciò che separa «consegna a Gmail» da «vive permanentemente nello spam».

  1. 01

    Apra prima un ticket PTR

    Prima di installare qualsiasi cosa: apra un ticket per il PTR desiderato (es. mail.example.org) per l'IP del VPS. Senza PTR corretto, la deliverability è morta in partenza.

    # dal pannello NordBastion:# Tickets > New > "Set PTR"
# IP <your IPv4> -> mail.example.org
  2. 02

    Installi Docker + cloni Mailcow

    Mailcow include il docker-compose.yml canonico. Esegua generate_config.sh, gli dia l'FQDN, accetti i default.

    curl -fsSL get.docker.com | sh
git clone https://github.com/mailcow/mailcow-dockerized
cd mailcow-dockerized
./generate_config.sh
  3. 03

    Imposti SPF + DKIM + DMARC + MTA-STS

    Tutti e quattro i record DNS, tutti verdi, dal primo giorno. Mailcow genera la coppia di chiavi DKIM; lei pubblica il record DNS corrispondente presso il suo registrar.

    ; presso il suo registrar DNS@      IN TXT "v=spf1 mx -all"
_dmarc IN TXT "v=DMARC1; p=quarantine; ..."
dkim._domainkey IN TXT "v=DKIM1; k=rsa; p=..."
  4. 04

    Avvii Mailcow

    Postfix, Dovecot, rspamd, ClamAV, Sogo, Redis, MariaDB — lo stack completo in un solo compose. Guardi i log per la prima connessione in entrata da un mittente remoto.

    docker compose pull
docker compose up -d
docker compose logs -f postfix-mailcow
  5. 05

    Validi con mail-tester

    mail-tester.com fornisce un punteggio di deliverability su 10. Punti a 10/10 prima di inviare mail reale. Qualsiasi cosa sotto 8 significa che SPF/DKIM/PTR sono mal configurati.

    # invii un test dalla webmail sogo a:# the address mail-tester.com gives you
# poi controlli il punteggio
  6. 06

    Faccia il warm-up dell'IP, gentilmente

    Inizi con basso volume (qualche messaggio al giorno a destinatari coinvolti). Aumenti in 2-4 settimane. Eviti di inviare newsletter di massa da un IP fresco — è il modo più sicuro di finire su una blocklist.

    # settimana 1: ~10 msg/giorno ad amici# settimana 2: ~50 msg/giorno, guardi rspamd-history# settimana 4: volume di normale uso personale
Perché questo host per questo compito

Perché NordBastion specificamente per un mail server.

Porta 25 aperta

Il fattore decisivo che la maggior parte degli host nasconde.

La porta 25 in uscita è aperta per default in ogni fascia NordBastion — nessun ticket, nessun AUP firmato, nessuna verifica KYC di un'identità business, nessun «attenda 7 giorni per la revisione». Questa è la singola decisione tecnica che separa «può auto-ospitare mail» da «può auto-ospitare solo mail in sola ricezione». La maggior parte degli host no-KYC ha chiuso la porta 25 per evitare reclami di spam; noi la apriamo perché l'auto-hosting della mail è esattamente il caso d'uso per cui esiste la nostra piattaforma.

Senza KYC

La sua inbox non è una traccia documentale.

Il suo indirizzo email è la superficie di recupero per tutto il resto che usa online. Ospitarlo su una macchina pagata con la sua carta di credito significa che una citazione dell'emittente della carta rivela la relazione tra «la persona che paga la fattura AWS» e «l'email di recupero per questi account». Signup senza KYC + fatturazione cripto rompono quel collegamento: l'account di hosting è «il saldo prepagato dietro questa email», e l'email è solo affare suo.

Reputazione IP nordica

Più rispettata dei range «VPS USA economici».

La reputazione di un IP mittente è in parte individuale, in parte ereditata dall'ASN e dalla storia del blocco IP. I range nordici di hoster consolidati portano una storia di reputazione più pulita rispetto allo spazio di indirizzi dei «VPS USA da $2/mese» attraverso cui passano i mass-mailer. Gmail e Outlook365 pesano la reputazione ASN nel loro scoring in ingresso, e il peering nordico — Stoccolma, Helsinki, Oslo, Reykjavík — si colloca in una classe con vantaggio misurabile in deliverability durante la finestra di warm-up.

Verdetto

Faccia girare Mailcow su un Garrison. Apra il ticket PTR. Imposti i quattro record DNS. Faccia warm-up gentilmente.

Auto-ospitare l'email è la massima sovranità per dollaro che un utente personale possa acquistare nel 2026. Per il prezzo grosso modo di un servizio di mailbox a pagamento ottiene lo stack completo Postfix/Dovecot/rspamd su una macchina dove l'indirizzo è ancorato a un dominio che lei controlla e lo storage è suo da backuppare come preferisce.

NordBastion ha opinioni sulle parti che contano per questo compito specifico — porta 25 aperta per default, PTR impostato su ticket senza attrito, signup senza KYC affinché la inbox non sia una traccia documentale del suo nome, range IP nordici con reputazione ereditata più pulita — ed è deliberatamente ordinario sul resto. Il VPS è un VPS. Docker è Docker. Mailcow è Mailcow.

La parte difficile è la pazienza durante la finestra di warm-up. Il software è risolto. Il DNS è risolto. Qui l'infrastruttura è aperta per default. Ciò che rimane è la disciplina dell'invio a basso volume e ben autenticato mentre Gmail impara a fidarsi di lei. Da due a quattro settimane. Poi è semplicemente email.

FAQ · Mail server su un VPS

Le domande che emergono per prime.

Le otto domande con cui i self-hoster di mail server si confrontano realmente prima di `docker compose up`. La politica sulla porta 25 è la prima domanda per una ragione.

Perché la maggior parte degli host VPS blocca la porta 25?

La porta 25 in uscita è il vettore di attacco storico per le botnet che instradano spam. Gli hyperscaler (AWS, GCP, Azure) e la maggior parte degli host VPS la chiudono per default e o rifiutano del tutto di aprirla o richiedono un AUP firmato e un account business verificato KYC prima. La combinazione «le venderemo un VPS ma non potrà inviare mail da esso» è ormai la norma non scritta del settore, ed è per questo che «qual è la sua politica sulla porta 25» è la prima domanda che pone ogni potenziale self-hoster di mail server. NordBastion apre la porta 25 per default in ogni fascia — nessun ticket richiesto.

Cos'è il warm-up della reputazione IP e quanto dura?

Un IP VPS appena allocato non ha reputazione di mittente presso i grandi inbox provider (Gmail, Outlook365, Yahoo). I primi qualche migliaio di messaggi che invia sono trattati come colpevoli-fino-a-prova-contraria — provvisoriamente accettati con un punteggio di basso trust, con deliverability oscillante tra inbox e spam. La reputazione si costruisce in 2-4 settimane di invio coerente, a basso volume, ben autenticato. Gli acceleratori sono: SPF + DKIM + DMARC + MTA-STS tutti verdi su ogni messaggio; PTR/rDNS che corrisponde all'HELO; dominio FROM coerente; segnali di engagement (persone che davvero aprono la sua mail, non solo la ricevono).

NordBastion configura i record reverse DNS / PTR?

Sì — apra un ticket dal suo pannello con il PTR desiderato e lo impostiamo sul blocco IP upstream. La convenzione è che il PTR dell'IP corrisponda al hostname HELO/EHLO del mail server (mail.example.org). Senza un PTR corretto, Gmail e Outlook365 penalizzano pesantemente il mittente — quindi questa è una delle prime cose da sistemare, idealmente prima del primo messaggio in uscita. Il tempo di risposta del ticket è solitamente di poche ore.

Mailcow vs Mail-in-a-Box vs iRedMail — quale?

Mailcow è l'opzione moderna docker-compose-nativa — attivamente sviluppata, ricca di UI web, viene fornita con rspamd, ClamAV, webmail Sogo e Z-Push pronti all'uso. Mail-in-a-Box è l'opzione «tutto su una macchina, con opinioni, configurazione minima» — ideale per una mailbox personale + qualche alias. iRedMail è l'opzione classica in stile stack LAMP — configurazione granulare, compatibilità più ampia con realtà non-Docker. Per la maggior parte dei nuovi self-hoster nel 2026 la risposta è Mailcow su un Garrison; tutto ciò che segue presuppone quel percorso.

Posso consegnare a Gmail e Outlook365 in modo affidabile?

Sì — ma solo con piena igiene di autenticazione (SPF + DKIM + DMARC + MTA-STS), PTR corretto, un pattern di invio pulito e pazienza durante il warm-up. Gmail in particolare pesa molto l'engagement — persone che non eliminano la sua mail, che rispondono, che la contrassegnano come non-spam — e un mittente nuovissimo su un dominio nuovissimo impiega settimane per uscire dal purgatorio «promozionale». Gli operatori self-hosted riportano una deliverability stabile verso entrambe le inbox entro 4-8 settimane di funzionamento coerente; il percorso richiede disciplina, non magia.

Mi serve un MX di backup?

Meno di quanto pensi. I mittenti moderni (Gmail, Outlook365, ecc.) ritentano in caso di errore di connessione fino a diversi giorni, quindi un MX primario giù per un'ora durante un reboot è invisibile a chiunque. I server MX di backup esistono per lo più per gestire il raro caso di disservizi multi-giorno, e sono essi stessi magneti per lo spam (le spambot prendono specificamente di mira gli MX di backup che sono più deboli del primario). Se l'uptime conta, la mossa giusta è monitoraggio + un piano di ripristino veloce, non un MX di backup mantenuto male.

Filtraggio Sieve, push sul mobile — lo stack lo fa?

Mailcow include Sogo per webmail e CalDAV/CardDAV, dovecot-sieve per il filtraggio server-side (il modo canonico per smistare la mail al momento della consegna, funziona con qualunque client IMAP) e supporta Z-Push per Exchange ActiveSync — il che è ciò che dà a iOS Mail notifiche push native senza dover tirare su un backend push-IMAP separato. Per Android, i client FairEmail e K-9 Mail funzionano nativamente con IMAP IDLE per il push quasi in tempo reale. Lo stack copre le aspettative moderne di mail mobile.

E rspamd vs SpamAssassin?

Mailcow include rspamd per default ed è il giusto default moderno — scritto in C, scriptabile in Lua, potenziato dal machine learning, più veloce e più efficiente in memoria di SpamAssassin a parità di tasso di falsi positivi. SpamAssassin rimane la lingua franca degli stack mail legacy ed è ciò che iRedMail usa per default; funziona, ma passerà più tempo a sintonizzare le regole. Faccia girare rspamd a meno che un vincolo di integrazione imponga SpamAssassin.

Continui a leggere

Altri casi d'uso che condividono lo stesso uplink nordico.

Caso d'uso

Istanza Mastodon

Microblogging federato — il vicino naturale per un mail server che gestisce anche le conferme di signup e la deliverability dei reset password.
Caso d'uso

Homeserver Matrix

Synapse end-to-end cifrato — la mossa sovrana sorella per gli operatori che gestiscono la propria superficie di messaggistica accanto alla inbox.
Caso d'uso

Server VPN WireGuard

Uscita VPN a velocità del kernel su un Sentinel — per accedere all'UI di amministrazione del suo mail server attraverso il proprio tunnel anziché l'internet pubblica.
Veda l'hub completo dei casi d'uso