Postfix почтовый сервер на офшорном VPS

Postfix был создан в IBM Research как замена устаревшему Sendmail и за два десятилетия превратился в де-факто стандарт для MTA на Linux. Его выбирают крупные провайдеры, университеты и приватные хостинги по одной простой причине: предсказуемое поведение и минимум сюрпризов.

• Модульная архитектура: каждый компонент Postfix работает в собственном процессе с минимальными привилегиями, что снижает поверхность атаки и упрощает аудит безопасности.
• Богатая поддержка TLS: Postfix поддерживает STARTTLS, opportunistic TLS, DANE и MTA-STS из коробки, что критично для современной приватной переписки.
• Производительность: один Postfix-инстанс на VPS M (2 vCPU, 4GB RAM) комфортно прокачивает десятки тысяч сообщений в сутки без тюнинга.
• Гибкая интеграция: легко подключается к Dovecot для IMAP, к Rspamd для антиспам-фильтрации, к OpenDKIM для подписи и к Sieve для серверной фильтрации правил.
• Открытый порт 25: Anubiz Host не блокирует SMTP outbound, как это делают большинство массовых хостингов, поэтому Postfix может реально отправлять почту наружу.

На офшорной площадке Postfix получает ещё одно преимущество - юрисдикционную защиту. Исландия и Румыния не имеют обязательного логирования трафика, как ЕС-страны в составе DGA, поэтому метаданные сообщений не оседают на стороне дата-центра.

Чтобы Postfix действительно доставлял почту, а не падал в спам у Gmail и Outlook, необходимо правильно подготовить инфраструктуру до первого запуска. Большинство проблем с deliverability возникает именно из-за пропущенных шагов на этапе настройки.

• Чистый PTR: Anubiz Host настраивает обратную DNS-запись на ваш домен в течение часа после запроса - без этого крупные провайдеры отказываются принимать почту.
• SPF запись: v=spf1 a mx ip4:ВАШ_IP -all в TXT-записи домена сообщает миру, что только этот IP имеет право отправлять почту от имени домена.
• DKIM подпись: OpenDKIM или встроенный milter Rspamd подписывает каждое исходящее сообщение криптографической подписью, привязанной к открытому ключу в DNS.
• DMARC политика: v=DMARC1; p=quarantine; rua=mailto:dmarc@вашдомен показывает почтовым системам, как обрабатывать письма, не прошедшие SPF и DKIM.
• MX запись: mx.вашдомен с приоритетом 10, указывающий на A-запись с IP вашего VPS, должен быть на месте до первого тестового сообщения.
• HELO имя: имя хоста в /etc/mailname должно совпадать с PTR-записью, иначе принимающая сторона будет считать сервер подозрительным.

После того как DNS-стек собран, можно ставить Postfix через apt и пройти первичный конфиг с main.cf, master.cf и smtpd_recipient_restrictions. На VPS Anubiz Host есть готовые snapshot-образы Debian 12 с предустановленным Postfix + Dovecot + Rspamd для тех, кто не хочет собирать вручную.

Главное отличие Postfix на офшорном VPS от облачных решений вроде Google Workspace или Microsoft 365 - в том, что метаданные сообщений хранятся только у вас и физически недоступны третьим сторонам. Это критично для журналистов, юристов, активистов и владельцев бизнеса в чувствительных нишах.

• Логирование под контролем: Postfix по умолчанию пишет лог в /var/log/mail.log - вы решаете, сохранять его, ротировать ежедневно или отправлять в /dev/null.
• Шифрование на диске: при необходимости настройте LUKS на разделе с почтой, чтобы даже физический доступ к VPS не дал злоумышленнику читать письма.
• Отсутствие KYC: Anubiz Host принимает Bitcoin, Monero и USDT без верификации личности, поэтому почтовый сервер не привязан к вашему паспортному имени.
• Юрисдикционная изоляция: Исландия не имеет договора об экстрадиции с большинством стран по гражданским запросам, Румыния находится в ЕС, но судебная практика по правам слова более либеральна, чем в Германии.
• Резервное копирование под вашим контролем: бэкапы Postfix-очереди и Maildir можно шифровать GPG и отправлять в любой объектный сторадж по вашему выбору.

Postfix не отправляет никакой телеметрии разработчикам, не имеет встроенных бэкдоров и весь код открыт для аудита. Это делает его подходящим для тех случаев, когда нужно гарантировать клиентам и контрагентам, что переписка действительно конфиденциальна.