Шифрованный email сервер на офшорном VPS

Универсального шифрования email не существует. Письмо проходит несколько этапов, и каждый требует своей защиты.

• Транспортный TLS: между почтовыми серверами при передаче. Защищает от прослушки на провайдере, но не от компрометации сервера.
• MTA-STS: политика принудительного TLS между серверами, защищает от downgrade-атак.
• DANE / TLSA: проверка сертификата получателя через DNSSEC, защищает от подмены сертификатов.
• End-to-end (PGP/S/MIME): контент письма шифруется на стороне отправителя и расшифровывается на стороне получателя. Серверы передают зашифрованный текст.
• Шифрование хранения: LUKS на диске VPS, ящики на сервере хранятся в зашифрованном виде.
• Subject encryption: Memory Hole для PGP позволяет шифровать тему письма.

На офшорном VPS Anubiz Host вы реализуете все эти уровни без вмешательства провайдера. Никаких managed-настроек, только ваш Postfix и ваши политики.

MTA-STS и DANE - это современные стандарты, которые повышают безопасность транспорта между почтовыми серверами. Большинство хостеров их не настраивают по умолчанию.

• MTA-STS политика: HTTPS-страница на mta-sts.domain.tld со списком разрешённых MX, TLS-требованиями.
• TXT запись: _mta-sts.domain.tld содержит версию политики, клиенты её кэшируют.
• DANE требует DNSSEC: зона домена должна быть подписана, иначе TLSA-записи не имеют смысла.
• TLSA запись: _25._tcp.mx.domain.tld содержит хеш сертификата вашего MX.
• Postfix smtp_tls_security_level=dane: обязательное использование DANE при отправке.
• SMTP TLS Reporting (TLS-RPT): получение отчётов от других серверов о неудачных TLS-соединениях.
• Сертификат: Let's Encrypt с автоматическим renewal через certbot.

Anubiz Host даёт root-доступ для тонкой настройки Postfix, BIND и nginx без ограничений со стороны провайдера.

PGP даёт настоящее end-to-end, но традиционно сложен в использовании. Современные инструменты упрощают процесс настолько, что PGP становится прозрачным для пользователя.

• Autocrypt: ключи передаются через заголовок Autocrypt в каждом письме, клиент автоматически их сохраняет.
• Web Key Directory (WKD): ключи публикуются на https://domain.tld/.well-known/openpgpkey/, любой может скачать.
• Keyoxide: децентрализованная замена keyservers с верификацией через социальные сети.
• Sequoia-PGP: современная реализация OpenPGP на Rust, активно развивается.
• Memory Hole: шифрование заголовков письма, включая Subject, From, To.
• Delta Chat: мессенджер поверх PGP-email с UX уровня Telegram, использует ваш почтовый сервер как транспорт.
• Server-side scanning: Spamassassin может сканировать только незашифрованные части, что снижает эффективность фильтра спама, но повышает приватность.

На офшорном VPS Anubiz Host вы свободны экспериментировать с любыми PGP-инструментами без оглядки на политики провайдера.