Self-host почтовый сервер на VPS.
Mailcow, Mail-in-a-Box, iRedMail — и хостер, который это позволяет.
Self-hosted электронная почта в 2026 году сложнее, чем должна быть, и почти вся сложность сосредоточена в трёх местах — порт 25 заблокирован у большинства хостеров, репутация нового IP, DNS-записи, которые должны идеально совпадать. Это руководство называет предварительные условия, сравнивает три серьёзных стека и прокладывает путь к доставляемости.
- 01
Три кирпичные стены перед любой установкой: исходящий порт 25 должен быть открыт, IP требует чистой истории репутации, и PTR-запись должна совпадать с HELO-хостом. Без всех трёх ни один программный стек не доставит почту в Gmail.
- 02
Хостер важнее программного обеспечения. VPS NordBastion открывает порт 25 по умолчанию и устанавливает PTR-записи из панели в течение часа — no-KYC-позиция означает отсутствие шага верификации личности.
- 03
Выберите стек по своему операционному вкусу: Mail-in-a-Box (скрипт, 2 GB, по умолчанию), Mailcow (Docker, 6 GB, современный интерфейс), iRedMail (гибкий, ручная настройка, высокие операционные требования).
Три кирпичные стены. Наткнитесь на любую — и остальное руководство потрачено зря.
Причина, по которой «просто установи почтовый сервер» — плохой совет, в том, что установка — это лёгкие 10% проблемы. Остальные 90% — предварительные условия на уровне инфраструктуры, которые программное обеспечение не может выполнить за вас. Убедитесь, что все три соблюдены, прежде чем что-либо устанавливать.
Стена 1 — исходящий порт 25. Доставка SMTP — это TCP/25 с вашего сервера на почтовый обменник получателя. Большинство гипермасштабных и бюджетных VPS-провайдеров блокируют это исходящее соединение по умолчанию на уровне гипервизора для ограничения спама. Сначала проверьте: nc -zv smtp.gmail.com 25 — если соединение зависает, ваш хостер блокирует порт 25 и ни одно письмо никогда не уйдёт. Откройте заявку с просьбой разблокировать или перейдите к хостеру, который не блокирует.
Стена 2 — репутация IP. Проверьте IP по Spamhaus, SORBS, Barracuda и Cisco Talos (mxtoolbox.com/blacklists.aspx). Если IP присутствует в каком-либо списке, у него есть предыстория; доставляемость будет плохой до удаления из списка или смены IP. Новые IP без предыстории подходят — они начинают в категории «нейтральный / неизвестный отправитель», что является правильной отправной точкой.
Стена 3 — согласование PTR-записи. PTR (обратный DNS) для IP вашего VPS должен совпадать с HELO-хостом, который объявляет Postfix. Если сервер объявляет «mail.example.com», но PTR IP гласит «static-12-34-56-78.example-host.net» — Gmail отложит или отклонит. PTR устанавливается VPS-провайдером на IP, а не вами на домене. Большинство провайдеров предоставляют для этого элемент управления в панели; некоторые требуют заявку в поддержку. NordBastion предоставляет его из панели.
Пройдите все три — можно устанавливать. Не прошли хоть одно — сначала исправьте.
Почему большинство хостеров блокируют порт 25. И аспект no-KYC.
Исходящий SMTP — любимый инструмент спамеров. Скомпрометированный VPS с открытым портом 25 может рассылать 100 000 сообщений в день прежде, чем кто-то заметит, и все жалобы на злоупотребления попадают в ящик хостера. Для контроля большинство VPS-провайдеров либо блокируют исходящий порт 25 на сетевом периметре, либо требуют верификацию личности + подписание AUP перед разблокировкой на уровне каждого клиента.
Эта модель нарушается для privacy-first хостера. Вся суть no-KYC VPS в том, что клиентам не нужно идентифицировать себя. Добавление шага «но для порта 25 — нужно» было бы доктринальным противоречием. Поэтому индустрия privacy-хостинга делится на два лагеря: хостеры, полностью отказывающиеся от порта 25 (что исключает self-hosted почту), и хостеры, открывающие его для всех без проверки личности (более редкая и интересная категория).
NordBastion относится ко второму лагерю. Каждый <a href="/ru/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">VPS, который мы поставляем</a>, имеет открытый исходящий порт TCP/25 с момента запуска. Никакой проверки личности, никакого подтверждения приемлемого использования, никаких ручных тикетов на разблокировку. Злоупотребления отслеживаются по паттернам исходящего трафика, а не по личности клиента — VPS, который внезапно отправляет объём в 10 раз выше базового, получает пометку вне зависимости от того, кто владеет аккаунтом. Компромисс работает потому, что спам-ловушки находятся на уровне протокола, а не на уровне идентификации.
Практическое следствие: NordBastion + чистый новый IP + PTR-запись из панели — это прохождение трёхшагового чеклиста менее чем за час. Остальная часть руководства — сама установка.
Три стека в сравнении. Mailcow vs Mail-in-a-Box vs iRedMail.
Mail-in-a-Box. Один shell-скрипт, превращающий чистую установку Ubuntu 22.04 в полноценный почтовый сервер: Postfix, Dovecot, Roundcube webmail, контакты/календарь уровня Nextcloud, SpamAssassin, DNS-руководство. Настройки по умолчанию разумны, интерфейс администратора минималистичен, потребление ресурсов — комфортно 2 GB RAM. Оптимальный выбор для тех, кто хочет результата без изучения Docker. Обновления выходят в ритме upstream-проекта — как правило, два-три раза в год.
Mailcow. Стек на основе Docker Compose — Postfix, Dovecot, Rspamd, ClamAV, SOGo, Nginx, MariaDB, Redis, Solr — с удобным веб-интерфейсом администратора (2FA, ActiveSync, календари, адресные книги, квоты почтовых ящиков). Практический минимум — 6 GB RAM; комфортно на 8. Оптимальный выбор для тех, кто хочет современную модульную конфигурацию с первоклассной фильтрацией спама и ActiveSync для мобильных. Выпускается непрерывно; docker-compose.yml поставляется из репозитория проекта.
iRedMail. Традиционный выбор — shell-скрипт, устанавливающий классический стек Postfix + Dovecot + Amavisd-new + ClamAV поверх Debian / Ubuntu / CentOS. Интерфейс администратора (iRedAdmin) функционален, а не красив. Лучший выбор для оператора, уже имеющего мнение о каждом компоненте и желающего прямого контроля над конфигурационными файлами. Pro-версия добавляет более богатый интерфейс администратора; версия с открытым исходным кодом вполне пригодна.
Что у всех общее. Все три создают полнофункциональный почтовый сервер с SMTP / IMAP / submission / DKIM / SpamAssassin или Rspamd / webmail. Все три опираются на одни и те же механизмы доставляемости на уровне протокола (SPF / DKIM / DMARC / PTR). Все три требуют одинакового ежемесячного обслуживания. Выбор касается эргономики, а не того, будет ли почта работать.
DNS-записи. Все пять, идеально, или ничего.
Современная доставляемость почты зависит от пяти DNS-записей. Настройте все пять правильно — попадёте во входящие Gmail и Outlook. Пропустите одну или настройте наполовину — попадёте в спам, или, что хуже, будете молча отброшены на уровне SMTP без уведомления об ошибке.
1. MX (запись). example.com. MX 10 mail.example.com. — сообщает миру, куда доставлять почту для домена.
2. A (запись). mail.example.com. A [redacted-ip] — IP вашего почтового VPS.
3. PTR (обратная запись). [redacted-ip].in-addr.arpa. PTR mail.example.com. — устанавливается на IP у VPS-провайдера. Должна совпадать с HELO. NordBastion: установите это из панели в течение часа после создания VPS.
4. SPF (запись). example.com. TXT "v=spf1 mx -all" — объявляет, что только MX-хосты могут отправлять почту для домена. -all (жёсткий отказ) верен при self-hosting; ~all (мягкий отказ) — более старая разрешительная форма, которой следует избегать.
5. DKIM (запись). default._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=<long-key-from-mailcow-admin>" — публичный ключ, которым получатель проверяет DKIM-подпись, добавляемую вашим сервером к каждому исходящему сообщению. Приватный ключ остаётся на почтовом сервере; публичная половина идёт в DNS.
6. DMARC (запись). _dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:[redacted-user]@[redacted-host]" — говорит получателям, что делать с сообщениями, не прошедшими SPF/DKIM (reject), и куда отправлять сводные отчёты. Начните с p=none на первой неделе для мониторинга, затем перейдите на p=reject.
Проверяйте весь стек с помощью Email Health Check на mxtoolbox.com после каждого изменения. Зелёный по всем позициям — единственное приемлемое состояние.
Доставляемость. Gmail, Outlook, прогрев.
Новый IP, даже при идеальных DNS-настройках, попадает в категорию «нейтральный отправитель» у Gmail и Outlook. Первый месяц — это наработка репутации. Цель — выглядеть в точности как небольшой легитимный отправитель: малый объём, стабильный ритм, безупречная аутентификация, получатели, которые открывают письма и отвечают.
Неделя 1. Отправляйте почту только на собственные внешние аккаунты (Gmail, Outlook, Yahoo, Proton). Читайте каждое сообщение в ящике получателя, отмечайте «Не спам», если оно попало в спам, отвечайте. Ответ — это самый важный сигнал репутации. Объём: 5–20 сообщений в день.
Недели 2–4. Добавьте нескольких корреспондентов, которые отвечают естественным образом. Подпишитесь на один-два списка рассылки, отправляющих на ваш новый адрес (технические объявления, новостные рассылки проектов); активность в ответ на входящие письма от авторитетных отправителей помогает исходящим. Объём: 50–200 в день.
Месяцы 2–3. На этом этапе у IP уже есть история. Перенесите входящую почту от старого провайдера через SMTP-пересылку, чтобы новый адрес начал получать реальный трафик. Продолжайте ежемесячно отслеживать записи в DNSBL. К третьему месяцу доставляемость практически не отличается от доставляемости хостируемого провайдера.
Что убивает прогрев. Массовая рассылка в первый день. Отправка по устаревшему списку контактов с неактивными адресами (Gmail считает отказы сильным негативным сигналом). Рекламные рассылки. Любое из этого на первой неделе отбрасывает репутацию IP на недели назад. Здесь нужна дисциплина терпения, а не техника.
Обслуживание. Час в месяц — или сломается.
Self-hosted почтовый сервер — это не «настрой и забудь». Экосистема электронной почты постоянно меняется, и цена отставания — тихое ухудшение доставляемости, которое вы замечаете лишь когда друг говорит: «Я не получил твоё письмо». Ежемесячная процедура обслуживания невелика, но обязательна.
Ежемесячный чеклист. (1) Проверка DNSBL — сканирование чёрных списков на mxtoolbox, удаление при попадании. (2) Проверка обновления сертификатов — Let's Encrypt должен обновляться автоматически, но проверьте. (3) Запуск обновления — Mailcow update.sh, MIAB upgrade или apt upgrade на iRedMail. (4) Сканирование логов — Rspamd / Postfix на предмет аномальных показателей отклонений. (5) Проверка резервной копии — восстановите последний бэкап во временную директорию и убедитесь, что mail spool корректно распаковывается.
Ежеквартально. Полная проверка восстановления резервной копии на второй VPS, убедитесь в работоспособности входа в webmail. Просмотрите правила SpamAssassin / Rspamd — оценки байесовского фильтра смещаются, переобучите на свежих образцах ham/spam. Проверьте сводные отчёты DMARC на предмет несанкционированного использования домена.
При выходе мажорной версии. Сначала сделайте снимок VPS (панель NordBastion: один клик). Создайте свежую резервную копию базы данных за пределами сервера. Запустите обновление. Проверьте отправку SMTP, получение IMAP, вход в webmail, мобильную синхронизацию, каждый аккаунт на сервере. Откатитесь через снимок при любом сбое. Время: 30–60 минут один-два раза в год.
Точка разрыва. Люди бросают self-hosted почту, когда пропускают три месяца обновлений, затем выходит крупное изменение DSA / DMARC, затем доставляемость незаметно ухудшается, а потом друг говорит, что письма не доходят. Внесите ежемесячный час в календарь с самого первого дня — и точка разрыва никогда не наступит.
Вопросы, и ответы на них.
Восемь вопросов, возникающих при запуске и эксплуатации self-hosted почтового сервера в 2026 году.
Реалистично ли по-прежнему держать self-hosted почту в 2026 году?
Да — но только если вы понимаете три структурные проблемы и принимаете операционные затраты. Проблема первая: исходящий порт 25 по умолчанию заблокирован у большинства VPS-провайдеров, и его разблокировка требует разговора с отделом продаж. Проблема вторая: у нового IP-пространства «холодная» репутация доставляемости, которая требует недель прогрева для Gmail и Outlook. Проблема третья: ежемесячный цикл обслуживания (проверки DNSBL, продление TLS, удаление из блок-листов) обязателен. При решении этих вопросов self-hosted почта в 2026 году здоровее, чем в 2020.
Какой стек выбрать — Mailcow, Mail-in-a-Box или iRedMail?
Mail-in-a-Box для читателя «хочу, чтобы это работало». Один install-скрипт, разумные настройки по умолчанию, работает на 2 GB. Mailcow для читателя «хочу современный интерфейс администратора и Docker»; требует 6 GB, даёт Rspamd, ActiveSync, SOGo и удобный веб-интерфейс. iRedMail для читателя «у меня есть конкретный стек, который я хочу»; очень гибкий, очень ручной, выбор опытного оператора. Все три создают полнофункциональный почтовый сервер; выбор касается эргономики, а не результата.
Почему порт 25 заблокирован у большинства VPS-провайдеров?
Потому что спамеры злоупотребляют им. Гипермасштабные провайдеры и бюджетные VPS-хостеры по умолчанию блокируют исходящий TCP/25 на гипервизоре или межсетевом экране, чтобы сократить жалобы на злоупотребления — для разблокировки требуется открыть заявку, пройти верификацию личности и подписать «AUP для email». Privacy-first хостеры, отказывающиеся от верификации личности, не могут предложить разблокировку; мейнстримные хостеры, предлагающие разблокировку, требуют KYC. Сочетание «без KYC И порт 25 разблокирован» встречается редко — именно поэтому это руководство опубликовано на данном сайте.
Разблокирует ли NordBastion исходящий SMTP для клиентов с почтовым сервером?
Да — исходящий порт 25 открыт на каждом VPS NordBastion без заявки в поддержку. Мы не проводим верификацию личности перед разрешением SMTP, поскольку no-KYC-позиция — это доктрина; исходящие злоупотребления отслеживаются по паттернам трафика, а не по личности клиента. Это отличительная черта, которая делает self-hosted почтовый сервер реально возможным на privacy-хостере.
Что такое PTR-запись и почему моя почта отклоняется без неё?
PTR-запись (pointer) — это обратный DNS-поиск вашего IP, ответ на вопрос «какому хосту принадлежит этот IP?». Многие крупные почтовые провайдеры (Gmail, Microsoft, Yahoo) отклоняют входящую почту от серверов, у которых PTR не совпадает с HELO-хостом SMTP-диалога. PTR устанавливается на IP, а не на вашем домене — на VPS это означает запрос к провайдеру установить PTR для вашего IP на mail.example.com. NordBastion устанавливает PTR-записи по запросу из панели в течение часа.
Сколько времени занимает прогрев репутации IP?
Два-шесть недель нормального трафика для выхода из категории «новый отправитель» у Gmail и Outlook, дольше при редкой отправке. Ускорители: низкий и стабильный исходящий объём (50–200 сообщений в день на первой неделе, постепенно увеличивайте), идеальное выравнивание SPF + DKIM + DMARC в каждом сообщении, ноль записей в DNSBL, вовлечённость получателей (открытия и ответы). Убийцы: массовая рассылка в первый день, отсутствующие или неверные записи аутентификации и отправка на спам-ловушки.
Нужен ли мне выделенный VPS для почты или можно запустить её рядом с другими сервисами?
Выделенный VPS настоятельно рекомендуется. Программное обеспечение почтового сервера (Postfix, Dovecot, Rspamd, ClamAV, база данных, webmail) имеет специфический профиль RAM и хранилища, а репутация IP привязана именно к почтовому трафику — совместное размещение с Tor exit relay или Bitcoin-узлом — это просить о попадании IP в неудобные списки. Второй VPS за $5.90/мес. — дешёвая страховка.
Какова постоянная нагрузка по обслуживанию?
Ежемесячный чеклист: убедитесь, что IP не в DNSBL Spamhaus / SORBS / Barracuda (5 мин — mxtoolbox.com); подтвердите обновление сертификатов Let's Encrypt (1 мин); проверьте логи Rspamd / Postfix на аномальные паттерны (5 мин); запустите обновление Mailcow / MIAB (10 мин); убедитесь, что последний бэкап восстанавливается чисто (15 мин раз в квартал). Итого: час в месяц плюс более ёмкий час дважды в год при выходе мажорных версий.
Порт 25 открыт, PTR из панели, без KYC, оплата криптовалютой.
Mail-in-a-Box работает на Ravelin (2 vCPU, 4 GB, $5.90/мес.). Mailcow требует Iron (4 vCPU, 8 GB, $24.90/мес.). Оба поставляются с уже открытым портом 25.
Последняя проверка · 2026-05-20 · Источники · Документация Mailcow / Mail-in-a-Box / iRedMail, Gmail Postmaster Tools, RFC 5321 / 6376 / 7489 · Периодичность · ежегодно
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Bitwarden-compatible password vault under your own control.
Files, calendar, contacts, photos — owned, not rented.
A meta search engine that does not log you — because you own it.
What “no KYC” actually means — and what it does not.