Зашифрованный почтовый сервер на офшорном VPS

Чтобы построить действительно защищённую почтовую систему, нужно шифровать на нескольких уровнях. Один пропущенный слой - и всё остальное теряет смысл.

• Транзит между MTA: STARTTLS на 25 порту, MTA-STS политика, DANE через TLSA - защита от downgrade и MITM.
• Клиент-сервер: IMAPS на 993, SMTPS на 465, принудительный TLS, отключение plaintext.
• Хранение на диске: LUKS на разделе с почтой или mail crypt в Dovecot для пер-пользовательского шифрования.
• E2EE контент: OpenPGP на клиентах для шифрования тела письма между совместимыми пользователями.
• Метаданные: минимизация логов, ротация по короткому TTL, отсутствие IP-логирования.
• Бэкапы: шифрование архивов через restic или borg с собственным ключом, хранение в zero-knowledge сторадже.
• Backup ключей: приватные OpenPGP ключи в зашифрованном бэкапе на отдельном носителе (YubiKey, encrypted USB).
• Защита от форензики: при ребуте сервер требует пароль для разблокировки LUKS, что блокирует автоматическое чтение диска.

На офшорном VPS Anubiz Host все эти слои настраиваются стандартными средствами Linux и open-source софта без зависимости от проприетарных решений.

LUKS и Dovecot mail crypt работают на разных уровнях и дополняют друг друга. LUKS шифрует весь раздел, mail crypt - каждое письмо отдельным ключом, привязанным к пользователю.

• LUKS на /var/mail: отдельный раздел под почту, зашифрованный AES-XTS-512 с парольной фразой 25+ символов.
• Boot режим: сервер не загружается без ручной разблокировки LUKS - защита от автоматического форензического захвата.
• Header backup: LUKS header сохраняется отдельно, чтобы случайная перезапись не убила доступ.
• Mail crypt plugin: Dovecot шифрует каждое письмо AES-256-CBC, ключ wrapped RSA-2048 ключом пользователя.
• Пользовательский RSA ключ: расшифровывается IMAP-паролем при логине, доступен в памяти только во время сессии.
• Защита от root: даже с root-доступом сервер не может прочитать письма пользователя без его IMAP-пароля.
• Совместимость: mail crypt прозрачен для клиентов - они видят расшифрованные письма через стандартный IMAP.
• Performance: небольшой overhead на CPU при чтении писем, на NVMe незаметно.

Anubiz Host не имеет доступа к ключам внутри VPS и не делает снапшоты без вашего запроса, поэтому LUKS плюс mail crypt дают действительно сильную защиту, которую невозможно обойти со стороны хостера.

Даже с LUKS и mail crypt на сервере, письмо в пути между двумя MTA технически расшифровано (хотя и шифруется на транспортном уровне). Полная E2EE требует OpenPGP на клиентах.

• Thunderbird OpenPGP: встроенная поддержка с Thunderbird 78+, генерация ключей за 30 секунд.
• K-9 Mail с OpenKeychain: Android-стек для мобильного OpenPGP.
• FairEmail: альтернатива K-9 с поглубже интегрированным OpenPGP.
• WKD (Web Key Directory): автоматический поиск публичных ключей через DNS вашего домена.
• Autocrypt: современный стандарт автообмена ключами в заголовках Autocrypt.
• Hardware tokens: YubiKey, Nitrokey, Trezor для хранения приватных ключей вне компьютера.
• Шифрование вложений: любые файлы шифруются тем же ключом, что и тело письма.
• Web of trust: подписывание ключей знакомых для построения распределённой системы доверия.
• Защита темы: протокол memoryhole шифрует тему письма в OpenPGP оболочке.

В сочетании с офшорным VPS Anubiz Host OpenPGP формирует финальный слой E2EE, который превращает почту в систему, защищённую даже от самого хостера, даже от взлома сервера, и даже от любых внешних активных атак.