Auto-hospede um servidor de e-mail em um VPS.
Mailcow, Mail-in-a-Box, iRedMail — e o provedor que deixa você.
O e-mail auto-hospedado é mais difícil do que deveria ser em 2026, e quase toda a dificuldade reside em três pontos — porta 25 bloqueada na maioria dos provedores, reputação de IP novo, registros DNS que devem estar perfeitamente alinhados. Este guia nomeia os pré-requisitos, compara os três stacks sérios e percorre o caminho da entregabilidade.
- 01
Três muros de tijolo antes de qualquer instalação: a porta 25 de saída deve estar aberta, o IP precisa de um histórico de reputação limpo, e o registro PTR deve corresponder ao hostname HELO. Sem os três, nenhum stack de software entregará e-mail ao Gmail.
- 02
O provedor importa mais do que o software. O VPS da NordBastion abre a porta 25 por padrão e define registros PTR pelo painel em menos de uma hora — a postura sem KYC significa que não há etapa de verificação de identidade.
- 03
Escolha o stack ao seu gosto operacional: Mail-in-a-Box (script, 2 GB, padrão), Mailcow (Docker, 6 GB, UI moderna), iRedMail (flexível, manual, opção do veterano).
Três muros de tijolo. Bata em qualquer um deles e o resto do guia é em vão.
O motivo pelo qual "apenas instale um servidor de e-mail" é mau conselho é que a instalação é os 10% fáceis do problema. Os outros 90% são pré-requisitos a nível de infraestrutura que o software não pode fazer por você. Confirme que os três são atendidos antes de instalar qualquer coisa.
Muro 1 — porta 25 de saída. A entrega SMTP é TCP/25 do seu servidor para o servidor de e-mail do destinatário. A maioria dos hyperscalers e provedores de VPS econômicos bloqueia essa saída por padrão no nível do hypervisor para limitar spam. Teste primeiro: nc -zv smtp.gmail.com 25 — se a conexão expirar, seu provedor bloqueia a porta 25 e nenhum e-mail sairá jamais. Abra um ticket solicitando desbloqueio, ou migre para um provedor que não a bloqueie.
Muro 2 — reputação de IP. Verifique o IP contra Spamhaus, SORBS, Barracuda e Cisco Talos (mxtoolbox.com/blacklists.aspx). Se aparecer em alguma lista, o IP tem histórico anterior; a entregabilidade será ruim até você ser removido da lista ou trocar de IP. IPs novos sem histórico anterior estão bem — eles começam no balde «remetente neutro / desconhecido», que é o ponto de partida correto.
Muro 3 — alinhamento do registro PTR. O PTR (DNS reverso) para o IP do seu VPS deve corresponder ao hostname HELO que o Postfix anuncia. Se o seu servidor anuncia "mail.example.com" mas o PTR para o IP diz "static-12-34-56-78.example-host.net", o Gmail irá adiar ou rejeitar. O PTR é definido pelo provedor VPS no IP, não por você no seu domínio. A maioria dos provedores expõe um controle de painel para isso; alguns exigem um ticket de suporte. A NordBastion expõe isso pelo painel.
Passe nas três e está livre para instalar. Reprovado em alguma, corrija primeiro.
Por que a maioria dos provedores bloqueia a porta 25. E o ângulo sem KYC.
O SMTP de saída é o favorito dos spammers. Um VPS comprometido com a porta 25 aberta pode enviar 100.000 mensagens por dia antes que alguém perceba, e as reclamações de abuso chegam todas na caixa do provedor. Para manter isso sob controle, a maioria dos provedores de VPS bloqueia a porta 25 de saída na borda da rede ou exige verificação de identidade + aprovação de uso aceitável antes de desbloquê-la por cliente.
Esse modelo falha para um provedor que prioriza privacidade. Toda a proposta de um VPS sem KYC é que os clientes não precisam se identificar. Adicionar uma etapa de "mas para a porta 25 você precisa" seria uma contradição doutrinária. Portanto, o setor de provedores de privacidade se divide em dois campos: provedores que recusam a porta 25 completamente (descarta e-mail auto-hospedado) e provedores que a abrem para todos sem verificação de identidade (a categoria mais rara e mais interessante).
A NordBastion pertence ao segundo campo. Cada <a href="/pt/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">VPS que fornecemos</a> tem o TCP/25 de saída aberto desde o momento em que arranca. Sem verificação de identidade, sem aceitação de condições de utilização, sem ticket manual de desbloqueio. O abuso é monitorado nos padrões de tráfego de saída e não na identidade do cliente — um VPS que subitamente emite 10× o volume de referência é sinalizado, independentemente de quem possui a conta. O compromisso funciona porque as armadilhas antispam residem na camada do protocolo, não na camada de identidade.
A implicação prática: NordBastion + um IP novo limpo + um registro PTR definido pelo painel é a lista de verificação de três muros aprovada em menos de uma hora. O resto do guia é a instalação real.
Os três stacks comparados. Mailcow vs Mail-in-a-Box vs iRedMail.
Mail-in-a-Box. Um único script shell que transforma uma instalação limpa do Ubuntu 22.04 em um servidor de e-mail completo — Postfix, Dovecot, webmail Roundcube, contatos/calendário equivalentes ao Nextcloud, SpamAssassin, orientações de DNS. Os padrões são sensatos, a interface de administração é mínima e o consumo de recursos é confortável com 2 GB de RAM. Ideal para quem quer o resultado sem aprender Docker. Atualizações chegam no cadencia do projeto upstream, tipicamente duas ou três por ano.
Mailcow. Uma stack baseada em Docker Compose — Postfix, Dovecot, Rspamd, ClamAV, SOGo, Nginx, MariaDB, Redis, Solr — com um painel de administração web refinado (2FA, ActiveSync, calendários, listas de contatos, cotas de caixa de entrada). Requer 6 GB de RAM como mínimo prático; confortável com 8. Ideal para quem quer uma configuração moderna e modular com filtragem de spam de primeira linha e ActiveSync para dispositivos móveis. Lançado continuamente; o docker-compose.yml moby vem do repositório do projeto.
iRedMail. A escolha tradicional — um shell script que instala o stack clássico Postfix + Dovecot + Amavisd-new + ClamAV sobre Debian / Ubuntu / CentOS. A interface de administração (iRedAdmin) é funcional mais do que bonita. Melhor para o operador que já tem opiniões sobre cada componente e quer controle direto sobre arquivos de configuração. A edição Pro adiciona uma administração mais rica; a edição open-source é totalmente utilizável.
O que todos compartilham. Os três produzem um servidor de e-mail totalmente funcional com SMTP / IMAP / submission / DKIM / SpamAssassin ou Rspamd / webmail. Os três dependem dos mesmos mecanismos de entregabilidade no nível de protocolo (SPF / DKIM / DMARC / PTR). Os três precisam da mesma manutenção mensal. A escolha é sobre ergonomia, não sobre se o e-mail vai funcionar.
Os registros DNS. Todos os cinco, perfeitamente, ou nada.
A entregabilidade de e-mail moderna depende de cinco registros DNS. Acerte todos os cinco e você cai na caixa de entrada do Gmail e do Outlook. Erre um ou acerte pela metade, você cai no spam — ou pior, é descartado silenciosamente na camada SMTP sem nenhum bounce.
1. MX (registro). example.com. MX 10 mail.example.com. — diz ao mundo onde entregar e-mail para o domínio.
2. A (registro). mail.example.com. A 1.2.3.4 — o IP do seu VPS de e-mail.
3. PTR (reverso). 4.3.2.1.in-addr.arpa. PTR mail.example.com. — definido no IP junto ao provedor do VPS. Deve corresponder ao HELO. NordBastion: configure isso pelo painel na mesma hora em que o VPS é provisionado.
4. SPF (registro). example.com. TXT "v=spf1 mx -all" — declara que apenas os hosts MX podem enviar e-mail para o domínio. O -all (falha rígida) é correto para auto-hospedagem; ~all (falha suave) é a forma permissiva mais antiga a evitar.
5. DKIM (registro). default._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=<long-key-from-mailcow-admin>" — a chave pública que o receptor usa para verificar a assinatura DKIM que seu servidor adiciona a cada mensagem de saída. A chave privada fica no servidor de e-mail; a metade pública vai no DNS.
6. DMARC (registro). _dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:[email protected]" — diz aos receptores o que fazer com mensagens que falham em SPF/DKIM (rejeitar), e para onde enviar relatórios agregados. Comece com p=none na primeira semana para monitorar, depois mude para p=reject.
Verifique todo o stack com o mxtoolbox.com Email Health Check após cada mudança. Verde em tudo é o único estado aceitável.
Entregabilidade. Gmail, Outlook, o aquecimento.
Um IP novo, mesmo com DNS perfeito, começa na categoria de “remetente neutro” no Gmail e no Outlook. O primeiro mês é um exercício de construção de reputação. O objetivo é parecer exatamente um pequeno remetente legítimo: baixo volume, cadência constante, autenticação perfeita, destinatários que abrem e respondem.
Semana 1. Envie e-mail apenas para suas próprias contas externas (Gmail, Outlook, Yahoo, Proton). Leia cada mensagem na caixa de entrada do destinatário, marque "Não é spam" se cair no spam, responda. A resposta é o sinal de reputação que mais importa. Volume: 5–20 mensagens por dia.
Semanas 2–4. Adicione alguns correspondentes que respondem naturalmente. Inscreva-se em uma ou duas listas de e-mail que enviam para o seu novo endereço (anúncios técnicos, newsletters de projetos); o engajamento com e-mails recebidos de remetentes estabelecidos ajuda seus envios. Volume: 50–200 por dia.
Meses 2–3. Nesse ponto o IP já tem um histórico. Migre os e-mails recebidos do seu provedor antigo via encaminhamento SMTP para que o novo endereço comece a receber tráfego real. Continue monitorando listagens em DNSBLs mensalmente. No terceiro mês, a entregabilidade é praticamente indistinguível de um provedor hospedado.
O que mata o aquecimento. Envio em massa no primeiro dia. Enviar para uma lista de contatos desatualizada com endereços mortos (o Gmail conta rejeições como um forte negativo). Campanhas de newsletter. Qualquer um desses na semana 1 atrasa o IP por semanas. A disciplina é paciência, não técnica.
Manutenção. Uma hora por mês, ou quebra.
Um servidor de email auto-hospedado não é «configure e esqueça» — o ecossistema de email evolui continuamente, e o custo de ficar para trás é uma degradação silenciosa da entregabilidade que você só percebe quando um amigo diz «nunca recebi seu email». A rotina de manutenção mensal é pequena mas inegociável.
Checklist mensal. (1) Verificação DNSBL — escaneamento de lista negra no mxtoolbox, remover se listado. (2) Verificação de renovação de certificado — o Let’s Encrypt renova automaticamente, mas confirme. (3) Execução do atualizador — Mailcow update.sh, upgrade do MIAB ou apt upgrade no iRedMail. (4) Varredura de logs — Rspamd / Postfix em busca de taxas de rejeição incomuns. (5) Verificação de backup — restaure o backup mais recente em um diretório temporário e confirme que o spool de e-mail descomprime corretamente.
Trimestral. Exercício completo de restauração de backup em um segundo VPS, verifique se o login no webmail funciona. Revise as regras do SpamAssassin / Rspamd — os scores bayesianos sofrem desvios, retreine com ham/spam recentes. Verifique os relatórios agregados DMARC para uso não autorizado do domínio.
No lançamento de uma versão principal. Primeiro faça um snapshot do VPS (painel NordBastion: um clique). Faça um backup recente do banco de dados fora do servidor. Execute a atualização. Verifique envio SMTP, recepção IMAP, login no webmail, sincronização móvel, cada conta no servidor. Reverta via snapshot se algo falhar. Tempo: 30–60 minutos uma ou duas vezes por ano.
O ponto de ruptura. As pessoas abandonam o e-mail auto-hospedado quando pulam três meses de atualizações, depois chega uma mudança importante de DSA / DMARC, a entregabilidade degrada silenciosamente e um amigo diz que o e-mail está voltando. Inclua a hora mensal no calendário desde o primeiro dia e o ponto de ruptura nunca chega.
Perguntas, respondidas.
Oito perguntas que surgem ao iniciar e executar um servidor de e-mail auto-hospedado em 2026.
Ainda é realista auto-hospedar e-mail em 2026?
Sim — mas somente se você entender os três problemas estruturais e aceitar o custo operacional. Problema um: a porta 25 de saída é bloqueada por padrão na maioria dos provedores VPS e desbloqueá-la requer conversa com a equipe de vendas. Problema dois: espaço de IP novo tem uma reputação de entregabilidade "fria" que leva semanas para aquecer junto ao Gmail e Outlook. Problema três: o ciclo de manutenção mensal (verificações DNSBL, renovação TLS, remoção de listas de bloqueio) é inegociável. Com isso resolvido, o e-mail auto-hospedado está mais saudável em 2026 do que estava em 2020.
Qual stack devo escolher — Mailcow, Mail-in-a-Box ou iRedMail?
Mail-in-a-Box para o leitor que quer que “simplesmente funcione”. Um script de instalação, padrões sensátos, roda com 2 GB. Mailcow para o leitor que quer uma “UI de administração moderna e Docker”; precisa de 6 GB, oferece Rspamd, ActiveSync, SOGo e um painel web refinado. iRedMail para o leitor que tem “um stack específico que deseja”; muito flexível, muito manual, a escolha do veterano. Os três produzem um servidor de e-mail totalmente funcional; a escolha é sobre ergonomia, não sobre o resultado.
Por que a porta 25 é bloqueada na maioria dos provedores VPS?
Porque os spammers abusam dele. Hiperscalers e provedores de VPS de baixo custo bloqueiam o TCP/25 de saída no hipervisor ou no firewall por padrão para manter as reclamações de abuso baixas — desbloqueá-lo requer abrir um ticket de suporte, verificação de identidade e a aprovação de uma «AUP para email». Hospedeiros pró-privacidade que recusam a verificação de identidade não podem oferecer o desbloqueio; os hospedeiros mainstream que oferecem o desbloqueio exigem KYC. A combinação «no-KYC E porta 25 desbloqueada» é rara e é a razão pela qual este guia está neste site.
A NordBastion desbloqueia o SMTP de saída para clientes de servidor de e-mail?
Sim — a porta 25 de saída está aberta em cada VPS da NordBastion sem necessidade de ticket de suporte. Não executamos uma etapa de verificação de identidade antes de permitir SMTP, porque a postura sem KYC é a doutrina; o abuso de saída é monitorado em padrões de tráfego, não na identidade do cliente. Esse é o diferencial que torna um servidor de e-mail auto-hospedado realmente possível em um provedor de privacidade.
O que é um registro PTR e por que meu e-mail continua sendo rejeitado sem um?
Um registro PTR (ponteiro) é a consulta DNS reversa do seu IP — a resposta para “qual hostname pertence a esse IP?” Muitos grandes provedores de e-mail (Gmail, Microsoft, Yahoo) rejeitam e-mails recebidos de servidores cujo PTR não corresponde ao hostname HELO da conversa SMTP. Você define o PTR no IP, não no seu domínio — em um VPS, isso significa solicitar ao provedor que defina o PTR do seu IP como mail.example.com. A NordBastion define registros PTR sob solicitação pelo painel em até uma hora.
Quanto tempo leva o aquecimento da reputação do IP?
Duas a seis semanas de tráfego normal para sair do bucket de "novo remetente" no Gmail e Outlook, mais tempo se você enviar com pouca frequência. Os aceleradores são: volume de saída baixo e constante (50–200 mensagens por dia na primeira semana, escale gradualmente), alinhamento perfeito de SPF + DKIM + DMARC em cada mensagem, zero listagens DNSBL, engajamento do destinatário (aberturas e respostas). Os prejudiciais são: saída em massa no dia um, registros de autenticação ausentes ou desalinhados e envio para armadilhas de spam.
Preciso de um VPS dedicado para e-mail ou posso execútá-lo junto com outros serviços?
Dedicado é fortemente recomendado. O software de servidor de e-mail (Postfix, Dovecot, Rspamd, ClamAV, o banco de dados, o webmail) tem um perfil específico de RAM e armazenamento, e a reputação do IP está vinculada especificamente ao tráfego de e-mail — colocar junto com um relay de saída Tor ou um nó Bitcoin é pedir para que o IP acabe listado em algum lugar inconveniente. Um segundo VPS por $5,90/mês é um seguro barato.
Qual é a carga de manutenção contínua?
Uma checklist mensal: verifique se o IP não está nas DNSBLs do Spamhaus / SORBS / Barracuda (5 min — mxtoolbox.com); confirme que os certificados Let’s Encrypt foram renovados (1 min); escaneie os logs do Rspamd / Postfix em busca de padrões incomuns (5 min); execute o atualizador do Mailcow / MIAB (10 min); verifique se o backup mais recente restaura corretamente (15 min uma vez por trimestre). Total: uma hora por mês, com uma hora mais pesada duas vezes por ano quando chegam versões principais.
Porta 25 aberta, PTR pelo painel, sem KYC, pague em cripto.
Mail-in-a-Box roda no Ravelin (2 vCPU, 4 GB, $5,90/mês). Mailcow precisa do Iron (4 vCPU, 8 GB, $24,90/mês). Ambos vêm com a porta 25 já aberta.
Última revisão · 2026-05-20 · Fontes · Documentação upstream do Mailcow / Mail-in-a-Box / iRedMail, Gmail Postmaster Tools, RFC 5321 / 6376 / 7489 · Cadência · anualmente
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Bitwarden-compatible password vault under your own control.
Files, calendar, contacts, photos — owned, not rented.
A meta search engine that does not log you — because you own it.
What “no KYC” actually means — and what it does not.