Postfix Mail Server trên VPS Offshore

Phụ thuộc vào Gmail, Outlook hay các nhà cung cấp email lớn đồng nghĩa với việc bạn chấp nhận để nội dung email bị quét tự động, dữ liệu metadata bị lưu trữ vô thời hạn và tài khoản có thể bị đóng bất cứ lúc nào nếu vi phạm các điều khoản dịch vụ thường xuyên thay đổi. Đối với nhà báo độc lập, blogger chính trị, doanh nghiệp xử lý thông tin nhạy cảm hay người dùng quan tâm đến quyền riêng tư, đây là rủi ro không thể chấp nhận.

Tự dựng Postfix trên VPS offshore tại Iceland mang lại ba lợi thế then chốt. Thứ nhất, bạn kiểm soát hoàn toàn dữ liệu - không có bên thứ ba nào truy cập được nội dung trừ khi có lệnh tòa án Iceland hợp pháp. Thứ hai, luật bảo vệ dữ liệu Iceland thuộc hàng nghiêm ngặt nhất châu Âu, đảm bảo email của bạn không bị bàn giao tùy tiện cho các cơ quan nước ngoài. Thứ ba, khi thanh toán bằng Bitcoin hoặc Monero, danh tính của bạn không bị gắn liền với dịch vụ hosting, tạo lớp ẩn danh bổ sung.

Postfix có hiệu năng cao, chạy mượt mà ngay trên gói VPS Start chỉ với 2GB RAM, đủ để phục vụ hàng nghìn email mỗi ngày cho cá nhân hoặc doanh nghiệp nhỏ.

Sau khi nhận thông tin SSH cho VPS offshore, kết nối vào máy chủ và cập nhật hệ thống:

apt update && apt upgrade -y
apt install -y postfix mailutils opendkim opendkim-tools

Trong quá trình cài đặt, chọn Internet Site và nhập tên miền của bạn (ví dụ: mail.tenmien.com). Tiếp theo, chỉnh sửa file cấu hình chính:

nano /etc/postfix/main.cf

Thêm các dòng sau để bật TLS, hạn chế relay và bảo vệ chống spam:

myhostname = mail.tenmien.com
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.tenmien.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.tenmien.com/privkey.pem
smtpd_use_tls = yes
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

Khởi động lại Postfix và kiểm tra trạng thái:

systemctl restart postfix
systemctl status postfix

Đảm bảo các cổng 25, 465 và 587 mở trong firewall. Đăng ký chứng chỉ SSL miễn phí qua Let's Encrypt để bật TLS trong giao dịch email - đây là yêu cầu bắt buộc nếu muốn gửi email tới Gmail mà không bị đẩy vào spam.

Phần khó nhất khi tự dựng mail server không phải là cài đặt Postfix mà là cấu hình các bản ghi DNS đúng cách để email không bị các nhà cung cấp lớn như Gmail, Outlook đẩy vào thư rác. Ba bản ghi cần thiết:

SPF (Sender Policy Framework): Thêm bản ghi TXT vào DNS của tên miền: v=spf1 mx a ip4:IP_VPS -all. Bản ghi này xác nhận chỉ máy chủ Postfix của bạn được phép gửi email từ tên miền.

DKIM (DomainKeys Identified Mail): Cấu hình OpenDKIM để ký số mỗi email bằng khóa riêng. Tạo khóa và thêm khóa công khai vào DNS:

opendkim-genkey -t -s mail -d tenmien.com
cat mail.txt

Sao chép nội dung vào bản ghi TXT có tên mail._domainkey trong DNS. Cấu hình OpenDKIM trong /etc/opendkim.conf và liên kết với Postfix qua milter socket.

DMARC: Thêm bản ghi TXT cho _dmarc.tenmien.com với giá trị v=DMARC1; p=quarantine; rua=mailto:[email protected]. DMARC kết hợp SPF và DKIM để chống giả mạo email và cung cấp báo cáo về các attempt giả mạo tên miền của bạn.

Sau khi cấu hình xong, sử dụng công cụ mail-tester.com để kiểm tra điểm số gửi email. Mục tiêu là đạt 9/10 hoặc cao hơn. Ngoài ra, thêm bản ghi PTR (reverse DNS) cho IP của VPS - AnubizHost hỗ trợ thiết lập rDNS theo yêu cầu qua ticket.