在 VPS 上自托管邮件服务器。
Mailcow、Mail-in-a-Box、iRedMail——以及允许您这样做的托管商。
2026 年自托管电子邮件比应有的更难,几乎所有困难都集中在三处——大多数托管商屏蔽端口 25、新 IP 信誉、必须完美对齐的 DNS 记录。本指南列出前提条件,比较三个严肃的技术栈,并引导完成送达率建立路径。
- 01
安装任何东西之前的三堵砖墙:出站端口 25 必须开放,IP 需要干净的信誉历史,PTR 记录必须与 HELO 主机名一致。缺少三者中任何一个,任何软件技术栈都无法将邮件投递至 Gmail。
- 02
托管商比软件更重要。NordBastion VPS 默认开放端口 25,并在一小时内从面板设置 PTR 记录——无 KYC 立场意味着不存在身份验证步骤。
- 03
根据操作习惯选择技术栈:Mail-in-a-Box(脚本,2 GB,默认值)、Mailcow(Docker,6 GB,现代 UI)、iRedMail(灵活,手动,老手之选)。
三堵砖墙。碰到任何一堵,指南其余部分就白费了。
「只需安装邮件服务器」是糟糕建议的原因在于,安装只是问题中容易的 10%。另外 90% 是软件无法替您完成的基础设施层面前提条件。在安装任何东西之前,确认三项条件全部满足。
第一堵墙——出站端口 25。 SMTP 投递是从您的服务器到收件人邮件交换服务器的 TCP/25 连接。大多数超大规模云服务商和预算 VPS 提供商默认在虚拟机监控程序层面屏蔽此出站连接以限制垃圾邮件。先测试:nc -zv smtp.gmail.com 25——如果连接超时,您的托管商屏蔽了端口 25,邮件将永远无法发出。提交工单申请解封,或迁移至不屏蔽端口的托管商。
第二堵墙——IP 信誉。 通过 Spamhaus、SORBS、Barracuda 和 Cisco Talos(mxtoolbox.com/blacklists.aspx)检查 IP。若出现在任何列表中,该 IP 有历史记录;在脱名或更换前送达率将较差。无历史记录的新 IP 没问题——它们从「中性/未知发件人」分类起步,这正是正确的起点。
第三堵墙——PTR 记录对齐。 您 VPS IP 的 PTR(反向 DNS)必须与 Postfix 宣告的 HELO 主机名一致。如果您的服务器宣告「mail.example.com」但该 IP 的 PTR 显示「static-12-34-56-78.example-host.net」,Gmail 将延迟或拒绝。PTR 由 VPS 提供商在 IP 上设置,而非由您在域名上设置。大多数提供商为此提供面板控制;部分需要提交支持工单。NordBastion 从面板提供此功能。
三项全部通过,才可以开始安装。任何一项失败,先修复它。
为何大多数托管商屏蔽端口 25。以及无 KYC 的角度。
出站 SMTP 是垃圾邮件发送者的最爱。一台被攻破的开放端口 25 的 VPS 在被发现前可以每天发送 10 万封邮件,所有滥用投诉都会涌入托管商的收件箱。为了控制这一情况,大多数 VPS 提供商要么在网络边缘屏蔽出站端口 25,要么在按客户解封前要求身份验证和可接受使用协议签署。
这一模式对隐私优先的托管商行不通。无 KYC VPS 的整个主张是客户不必表明身份。添加「但对于端口 25 您需要」这一步骤将是一个原则矛盾。因此隐私托管行业分为两个阵营:完全拒绝端口 25 的托管商(排除自托管邮件),以及无需身份检查向所有人开放的托管商(更罕见、更有趣的类别)。
NordBastion 属于第二阵营。<a href="/zh/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">我们提供的每台 VPS</a> 从启动之刻起便开放出站 TCP/25 端口。无需身份验证,无需接受使用条款,无需手动提交解封工单。滥用行为通过出站流量模式进行监控,而非通过客户身份——一台突然发送超出基线 10 倍流量的 VPS 将被标记,无论账户所有者是谁。这一权衡之所以有效,是因为垃圾邮件陷阱存在于协议层,而非身份层。
实际含义:NordBastion + 干净的新鲜 IP + 从面板设置的 PTR 记录,可在一小时内通过三堵墙检查清单。指南的其余部分是实际安装步骤。
三个技术栈对比。Mailcow vs Mail-in-a-Box vs iRedMail。
Mail-in-a-Box。 一个 shell 脚本将全新 Ubuntu 22.04 安装转变为完整邮件服务器——Postfix、Dovecot、Roundcube webmail、类 Nextcloud 联系人/日历、SpamAssassin、DNS 指引。默认值合理,管理 UI 简洁,资源占用 2 GB RAM 游刃有余。最适合不想学 Docker 但要立即得到结果的用户。更新跟随上游项目节奏,通常每年两三次。
Mailcow。 基于 Docker Compose 的邮件栈——Postfix、Dovecot、Rspamd、ClamAV、SOGo、Nginx、MariaDB、Redis、Solr——配备精致的 Web 管理界面(2FA、ActiveSync、日历、通讯录、邮箱配额)。实际最低需要 6 GB RAM,8 GB 更为从容。最适合需要现代化、模块化配置及一流垃圾邮件过滤和移动端 ActiveSync 的用户。持续发布;moby docker-compose.yml 直接来自项目仓库。
iRedMail。 传统选择——一个在 Debian / Ubuntu / CentOS 上安装经典 Postfix + Dovecot + Amavisd-new + ClamAV 技术栈的 shell 脚本。管理 UI(iRedAdmin)功能完备但不够美观。最适合已对每个组件有明确看法并想直接控制配置文件的运营者。Pro 版本提供更丰富的管理界面;开源版本完全可用。
它们共同具备的内容。 三者都能产出具备 SMTP / IMAP / submission / DKIM / SpamAssassin 或 Rspamd / webmail 的完整功能邮件服务器。三者都依赖相同的协议级送达机制(SPF / DKIM / DMARC / PTR)。三者都需要相同的每月维护。选择在于操作体验,而非邮件能否正常工作。
DNS 记录。五条全部完美配置,否则一切徒劳。
现代邮件送达率取决于五条 DNS 记录。全部正确配置,您的邮件将进入 Gmail 和 Outlook 的收件箱。缺少一条或有一条配置不完全,您会进入垃圾邮件——或更糟,在 SMTP 层被静默丢弃且没有退信。
1. MX 记录。 example.com. MX 10 mail.example.com. — 告知全球将该域名的邮件投递至何处。
2. A 记录。 mail.example.com. A 1.2.3.4 — 您邮件 VPS 的 IP。
3. PTR(反向 DNS)记录。 [redacted-ip].in-addr.arpa. PTR mail.example.com. — 在 VPS 提供商处为该 IP 设置。必须与 HELO 主机名一致。NordBastion:在 VPS 交付后一小时内从面板设置。
4. SPF 记录。 example.com. TXT "v=spf1 mx -all" — 声明只有 MX 主机可以为该域名发送邮件。-all(硬失败)在自托管时是正确的;~all(软失败)是应避免的旧有宽松形式。
5. DKIM 记录。 default._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=<long-key-from-mailcow-admin>" — 接收方用于验证您服务器在每封出站邮件上添加的 DKIM 签名的公钥。私钥保存在邮件服务器中;公钥放入 DNS。
6. DMARC 记录。 _dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:[redacted-user]@[redacted-host]" — 告知接收方如何处理未通过 SPF/DKIM 的邮件(拒绝),以及将聚合报告发送至何处。第一周先使用 p=none 进行监控,然后切换至 p=reject。
每次更改后使用 mxtoolbox.com Email Health Check 验证整个技术栈。全部绿色是唯一可接受的状态。
送达率。Gmail、Outlook 与预热过程。
即使 DNS 配置完美,新 IP 在 Gmail 和 Outlook 中也从「中性发件人」分类起步。第一个月是建立信誉的过程。目标是看起来完全像一个小型合法发件人:低发送量、稳定节奏、完美身份验证、收件人会打开并回复。
第 1 周。 仅向您自己的外部账户(Gmail、Outlook、Yahoo、Proton)发送邮件。在收件人收件箱中阅读每封邮件,若进入垃圾邮件则标记「非垃圾邮件」,并回复。回复是最重要的信誉信号。发送量:每天 5–20 封。
第 2–4 周。 添加少数会自然回复的联系人。订阅一两个向您新地址发送邮件的邮件列表(技术公告、项目通讯);与成熟发件人的入站互动有助于提升您的出站信誉。发送量:每天 50–200 封。
第 2–3 个月。 此时该 IP 已有记录在案的历史。通过 SMTP 转发从旧提供商迁移入站邮件,让新地址开始接收真实流量。继续每月监控 DNSBL 列名情况。到第三个月,送达率与托管提供商基本无异。
什么会破坏预热。 第一天就大量发送出站邮件。向包含失效地址的陈旧联系人列表发送(Gmail 将退信视为强烈负面信号)。群发通讯活动。第一周出现上述任何情况都会让 IP 信誉倒退数周。关键在于耐心,而非技巧。
维护。每月一小时,否则它会崩溃。
自托管邮件服务器并非「设置好就不用管」——电子邮件生态系统持续演变,落后的代价是无声的送达率下降,直到朋友说「我没收到你的邮件」才会察觉。每月维护工作量不大,但不可省略。
每月检查清单。 (1)DNSBL 检查——通过 mxtoolbox 扫描黑名单,若在列则申请脱名。(2)证书续期验证——Let's Encrypt 应自动续期,但需手动确认。(3)运行更新程序——Mailcow update.sh、MIAB upgrade 或 iRedMail 的 apt upgrade。(4)日志扫描——检查 Rspamd / Postfix 是否有异常拒信率。(5)备份验证——将最新备份还原至临时目录,确认邮件队列可正常解压。
每季度。 对第二台 VPS 进行完整备份还原演练,验证 webmail 登录正常。审查 SpamAssassin / Rspamd 规则——贝叶斯分数会漂移,需用近期正常/垃圾邮件重新训练。检查 DMARC 聚合报告,排查域名未授权使用情况。
大版本发布时。 首先快照 VPS(NordBastion 面板:一次点击)。获取新鲜的离线数据库备份。运行升级。验证 SMTP 发送、IMAP 检索、webmail 登录、移动同步,以及服务器上的每个账户。如有任何失败,通过快照回滚。时间:每年一到两次,每次 30–60 分钟。
崩溃点。 人们放弃自托管邮件,往往是因为跳过了三个月的更新,然后一个重大的 DSA / DMARC 变更落地,然后送达率悄然下降,然后朋友告诉他们邮件在退信。从第一天起就把每月一小时维护写入日历,崩溃点就永远不会到来。
问题,已解答。
2026 年搭建和运行自托管邮件服务器常见的八个问题。
2026 年自托管电子邮件还现实吗?
是——但前提是您理解三个结构性问题并接受运营成本。问题一:大多数 VPS 提供商默认屏蔽出站端口 25,解封需要与销售团队沟通。问题二:新 IP 段具有「冷」送达信誉,需要数周时间在 Gmail 和 Outlook 上预热。问题三:每月一次的维护周期(DNSBL 检查、TLS 续期、黑名单移除)不可省略。处理好这些,2026 年的自托管电子邮件比 2020 年更健康。
我应该选择哪个技术栈——Mailcow、Mail-in-a-Box 还是 iRedMail?
Mail-in-a-Box 适合「我希望它能直接用」的读者。一个安装脚本,合理的默认值,运行于 2 GB RAM。Mailcow 适合「我想要现代管理 UI 和 Docker」的读者;需要 6 GB,提供 Rspamd、ActiveSync、SOGo 和精致的 Web 管理界面。iRedMail 适合「我有特定的技术栈偏好」的读者;非常灵活,非常手动,是老手的选择。三者都能产出完整功能的邮件服务器;选择在于操作体验,而非结果。
为何大多数 VPS 提供商屏蔽端口 25?
因为垃圾邮件发送者滥用它。超大规模云服务商和预算 VPS 提供商默认在虚拟机监控程序或防火墙层面屏蔽出站 TCP/25 以减少滥用投诉——解封需要提交支持工单、身份验证以及「邮件 AUP」签署。拒绝身份验证的隐私优先托管商无法提供解封;提供解封的主流托管商则要求 KYC。「无 KYC 且端口 25 已解封」的组合极为罕见,这正是本指南出现在本站的原因。
NordBastion 会为邮件服务器客户解封出站 SMTP 吗?
是——每台 NordBastion VPS 上的出站端口 25 无需提交支持工单即可开放。我们在允许 SMTP 之前不运行身份验证步骤,因为无 KYC 立场是我们的原则;出站滥用通过流量模式监控,而非通过客户身份。这是使自托管邮件服务器在隐私托管商上真正可行的差异化因素。
PTR 记录是什么,为何没有它我的邮件会一直被拒绝?
PTR(指针)记录是对您 IP 的反向 DNS 查询——即「此 IP 属于哪个主机名?」的答案。许多大型邮件提供商(Gmail、Microsoft、Yahoo)会拒绝来自 PTR 与 SMTP 会话 HELO 主机名不匹配的服务器的入站邮件。PTR 设置在 IP 上,而非您的域名上——对于 VPS 而言,这意味着要请求 VPS 提供商将您 IP 的 PTR 设置为 mail.example.com。NordBastion 在收到面板请求后一小时内设置 PTR 记录。
IP 信誉预热需要多长时间?
需要两到六周的正常流量才能从 Gmail 和 Outlook 的「新发件人」分类中脱离,若发送频率低则需更长时间。加速因素:低且稳定的出站量(第一周每天 50–200 封,逐步提升)、每封邮件完美的 SPF + DKIM + DMARC 对齐、零 DNSBL 列名、收件人互动(打开和回复)。破坏因素:第一天大量发送、缺失或错误对齐的身份验证记录、向垃圾邮件陷阱发送。
我需要专用 VPS 来运行邮件服务器,还是可以与其他服务共置?
强烈推荐使用专用 VPS。邮件服务器软件(Postfix、Dovecot、Rspamd、ClamAV、数据库、webmail)有特定的 RAM 和存储需求,IP 信誉与邮件流量直接相关——与 Tor 出口中继或 Bitcoin 节点共置会导致 IP 被列入不利名单。$5.90/月的第二台 VPS 是廉价的保险。
持续维护的工作量是多少?
每月检查清单:确认 IP 未出现在 Spamhaus / SORBS / Barracuda DNSBL(5 分钟——mxtoolbox.com);确认 Let's Encrypt 证书已续期(1 分钟);扫描 Rspamd / Postfix 日志排查异常(5 分钟);运行 Mailcow / MIAB 更新程序(10 分钟);验证最新备份可正常还原(每季度 15 分钟)。合计:每月约一小时,每年两次大版本发布时需额外多花一小时。
端口 25 已开放,从面板设置 PTR,无 KYC,加密货币付款。
Mail-in-a-Box 运行于 Ravelin(2 vCPU,4 GB,$5.90/月)。Mailcow 需要 Iron(4 vCPU,8 GB,$24.90/月)。两者均默认开放端口 25。
最后审核 · 2026-05-20 · 来源 · Mailcow / Mail-in-a-Box / iRedMail 上游文档,Gmail Postmaster Tools,RFC 5321 / 6376 / 7489 · 周期 · 每年
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Bitwarden-compatible password vault under your own control.
Files, calendar, contacts, photos — owned, not rented.
A meta search engine that does not log you — because you own it.
What “no KYC” actually means — and what it does not.