Mailcow Dockerized trên VPS Offshore

Mailcow Dockerized là gói mail server mã nguồn mở do nhóm phát triển người Đức duy trì, đóng gói toàn bộ các thành phần cần thiết cho một hệ thống email doanh nghiệp vào các container Docker được quản lý qua docker-compose. Điều này có nghĩa là việc cài đặt chỉ mất 30 phút, cập nhật chỉ cần một lệnh và backup toàn hệ thống chỉ cần sao lưu một thư mục duy nhất.

So với cấu hình Postfix thủ công, Mailcow phù hợp cho ai cần nhiều tính năng đi kèm như webmail SOGo có giao diện hiện đại tương tự Gmail, lịch CalDAV, danh bạ CardDAV đồng bộ trên di động, antispam Rspamd với machine learning thích ứng, antivirus ClamAV và quản trị web để tạo domain, hộp thư, alias mà không cần đụng dòng lệnh.

Mailcow yêu cầu tối thiểu 6GB RAM và 20GB ổ cứng để hoạt động ổn định. Gói VPS Pro hoặc Premium của AnubizHost với 8GB+ RAM là phù hợp. Khi đặt trên VPS offshore tại Iceland, bạn có lợi thế kép: hạ tầng kỹ thuật tốt cộng với khung pháp lý bảo vệ dữ liệu nghiêm ngặt, không bị bắt buộc lưu trữ log dài hạn như nhiều quốc gia khác.

Sau khi nhận VPS và cấu hình DNS với bản ghi A trỏ về IP, bản ghi MX trỏ về mail.tenmien.com, tiến hành cài đặt Docker và Mailcow:

curl -sSL https://get.docker.com/ | CHANNEL=stable sh
systemctl enable --now docker
apt install docker-compose-plugin

cd /opt
git clone https://github.com/mailcow/mailcow-dockerized
cd mailcow-dockerized
./generate_config.sh

Script sẽ hỏi hostname (nhập mail.tenmien.com) và timezone. Sau đó khởi động toàn bộ stack:

docker compose pull
docker compose up -d

Đợi 3-5 phút để các container khởi tạo. Truy cập https://mail.tenmien.com bằng trình duyệt và đăng nhập với tài khoản mặc định admin / moohoo. Đổi mật khẩu ngay lập tức tại System > Configuration.

Tiếp theo, tạo domain trong giao diện admin, thêm hộp thư người dùng, cấu hình aliases nếu cần. Mailcow tự động sinh khóa DKIM - sao chép giá trị từ Email > Configuration > DKIM keys và thêm vào DNS dưới dạng bản ghi TXT.

Bật chứng chỉ Let's Encrypt tự động bằng cách đặt SKIP_LETS_ENCRYPT=n trong file mailcow.conf. Mailcow sẽ tự đăng ký và gia hạn SSL cho cả webmail và các giao thức IMAP/SMTP.

Sau khi Mailcow hoạt động, áp dụng các biện pháp bảo mật và vận hành sau để hệ thống chạy bền vững trong nhiều năm:

Bật 2FA cho tài khoản admin: Vào System > Configuration > Authentication > Two-Factor Authentication. Sử dụng ứng dụng Authy hoặc Aegis Authenticator (Android FOSS) để quét QR. Kể từ đó, mọi đăng nhập admin đều cần mã OTP, ngăn brute force ngay cả khi mật khẩu lộ.

Cấu hình firewall lớp 1: Đóng tất cả các cổng không cần thiết, chỉ mở 25, 80, 443, 465, 587, 993, 995 và cổng SSH tùy chỉnh. Dùng UFW hoặc nftables. Kết hợp Fail2ban (đã tích hợp trong Mailcow) để chặn IP brute force tự động.

Backup định kỳ: Mailcow cung cấp script helper-scripts/backup_and_restore.sh. Thiết lập cron chạy hàng ngày để sao lưu vào một VPS thứ hai hoặc đối tượng lưu trữ S3-compatible offshore. Test khôi phục mỗi quý.

Cập nhật: Chạy ./update.sh mỗi tháng. Mailcow cập nhật rất thường xuyên với các bản vá bảo mật. Đăng ký mailing list của dự án để nhận thông báo CVE.

Giám sát: Tích hợp với Uptime Kuma hoặc Healthchecks.io self-hosted để nhận cảnh báo nếu dịch vụ ngừng hoạt động. Theo dõi điểm danh tiếng IP qua MXToolbox và Talos Intelligence định kỳ.