使用Poste搭建内网邮件服务器
Poste.io 也是一个流行的邮件服务器方案,它可以通过 Docker 容器轻松部署,非常适合搭建内部邮件服务器。
本文档将向您展示如何开始使用 Poste.io 邮件服务器。在 5 分钟内,您将拥有一个可发送和接收邮件的邮件服务器。
1. 简介
概述
Poste.io 是一个功能全面、易于安装的邮件服务器解决方案,完全容器化,可以通过 Docker 直接部署。提供SMTP + IMAP + POP3 + 防垃圾邮件 + 防病毒 + 网页管理 + 网页邮件等功能,同时集成 Let’s Encrypt,可以自动管理和更新 SSL 证书。Poste.io 提供免费版本,支持大多数功能,但如果需要企业级支持和一些高级功能,需要购买商业版本。
在下载镜像到本地后,可以实现分钟级的邮件服务器部署。
架构
包括如下组件:
| 组件 | 目的 |
|---|---|
| SQLite | 用户数据库,便于备份,无需运行守护进程 |
| Dovecot | IMAP 和 POP3 邮件服务器 |
| NGiNX | 用于管理和网页邮件的快速web服务器 |
| Haraka | 现代、高性能、灵活的SMTP服务器 |
| RSPAMD | 垃圾邮件检测 |
| ClamAV | 杀毒引擎 |
| Roundcube | 网页邮件客户端 |
| Z-Push | Active Sync 和 Push 的操作系统实现 |
功能特点
- 原生实现 SPF、DKIM、DMARC、SRS,带有简单的向导
- 杀毒引擎(ClamAV),用于检测木马、病毒、恶意软件
- 内置垃圾邮件过滤器(RSPAMD)
- 支持 HTTPS 的 Webmail 客户端(Roundcube)
- 通过 Sieve 脚本进行邮件重定向、自动回复及其他过滤(由邮件拥有者管理,每个操作都可通过脚本完成)
- 支持配额限制邮箱空间或邮件数量
- Web 管理界面,具备系统管理员、域管理员、邮件拥有者的不同权限
- 内置自动发现功能,支持 Microsoft 产品、Thunderbird…
- 诊断工具,帮助正确设置域名和邮件服务器
- SMTP - 端口 25、465(TLS)、587
- POP3 - 端口 110、995(TLS)
- IMAP - 端口 143、993(TLS)
- 全程 SSL/TLS 加密!任何个人数据、邮件、登录信息都不会以未加密形式通过互联网传输。
- 所有密码默认以加盐的 SHA512 哈希(5000 次迭代)存储,攻击者很难破解你的密码。
- 整个邮件服务器容器通过 Docker 与其他应用程序隔离。
2. 部署要求
要搭建一个完全功能的、适用于互联网的邮件服务器,您需要准备以下几项:
- 任何 64 位 Linux 发行版,可以运行在虚拟机或专用服务器上
- 足够的 CPU 和内存来运行 Spamassassin 和 Clamav。其他组件对 CPU 和内存的需求较低
- Docker 引擎已安装并运行 - 参阅如何安装 Docker 引擎
- 公网 IP 地址(内外部署不需要)
- 能够更改 IP 地址的反向 DNS 记录 - 如果无法自行完成,请联系您的服务提供商
- 完全访问域名的 DNS 管理权限
3. 下载和运行 Poste.io
该产品有两个版本,PRO 版和 FREE 版。这两个镜像版本共享相同的数据目录结构,使用 PRO 版本的是需要登录到poste.io的私人 Docker 仓库。
这里使用免费的free版本。
参考命令
官方文档给出的运行参考命令:
$ docker run \--net=host \-e TZ=Europe/Prague \-v /your-data-dir/data:/data \--name "mailserver" \-h "mail.example.com" \-t analogic/poste.io
Docker 参数解释:
--net=host(推荐): 邮件服务器将使用主机网络堆栈(参考 Docker Host 网络模式文档)- 在这种模式下,主机的防火墙能够正常工作
- 连接源 IP 不会被 userland-proxy 隐藏
- IPv6 能正常工作
- 网络方案说明
Poste.io 会开放以下端口:
| 端口号 | 用途 |
|---|---|
| 25 | SMTP - 主要用于处理来自远程邮件服务器的传入邮件 |
| 80 | HTTP - 用于重定向到 HTTPS(可选)及 Let’s Encrypt 服务的认证 |
| 110 | POP3 - 访问邮箱的标准协议,客户端认证前需要使用 STARTTLS |
| 143 | IMAP - 访问邮箱的标准协议,客户端认证前需要使用 STARTTLS |
| 443 | HTTPS - 访问管理界面或 Webmail 客户端 |
| 465 | SMTPS - 传统的 SMTPs 端口 |
| 587 | MSA - 主要用于邮件客户端在 STARTTLS 和认证后的 SMTP 端口 |
| 993 | IMAPS - 加密连接的 IMAP 替代端口 |
| 995 | POP3S - 加密连接的 POP3 端口 |
| 4190 | Sieve - 远程 Sieve 设置 |
-
-e TZ=Europe/Prague:设置时区,以确保日期和时间正确显示。 -
-v /your-data-dir/data:/data:将主机系统中的数据目录挂载到容器中。用户数据库、邮件、日志等数据都将存储在此目录中,方便备份。 -
--name "mailserver":为 poste.io 容器定义一个名称。 -
-h "mail.example.com":为邮件服务器设置主机名。 -
-t analogic/poste.io:镜像名称,PRO 版和 FREE 版有所不同。
可选参数:
-
-e "HTTPS=OFF":禁用所有到加密 HTTP 的重定向,适用于使用反向代理的情况(请将此参数放在镜像名称之前!)。 -
-e "HTTP_PORT=8080":自定义 HTTP 端口。请注意,如果使用 Let’s Encrypt,仍需在端口 80 上处理请求。如果使用反向代理,需将/.well-known/文件夹转发到此端口。 -
-e "HTTPS_PORT=4433":自定义 HTTPS 端口。 -
-e "DISABLE_CLAMAV=TRUE":禁用 ClamAV,适用于降低内存占用的场景。 -
-e "DISABLE_RSPAMD=TRUE":禁用 Rspamd,适用于降低内存占用的场景。 -
-e "DISABLE_ROUNDCUBE=TRUE":禁用 Roundcube Webmail。 -
-e "ELASTICSEARCH=123.123.123.123:9200":启用 Elasticsearch 集成。 -
-p 4190:4190:如果想使用能够外部管理 Sieve 过滤器的客户端,还需开放端口 4190。
部署实践
这里使用docker桥接网络部署
# docker启动命令,
]# docker run -d \-p 80:80 -p 443:443 -p 25:25 -p 110:110 -p 143:143 -p 465:465 -p 587:587 -p 993:993 -p 995:995 -p 4190:4190 \-e TZ=Asia/Shanghai \-v /data/mail:/data \--privileged=true \--name "mailserver" \-h "mail.jdzx.local" \--restart=always \-t analogic/poste.io# docker运行命令会自动创建卷目录。查看日志可以看到管理界面登录地址:
]# docker logs -f mailserver
[s6-init] making user provided files available at /var/run/s6/etc...exited 0.
[s6-init] ensuring user provided files have correct perms...exited 0.
[fix-attrs.d] applying ownership & permissions fixes...
...
Poste.io administration available at https://172.17.0.2:443 or http://172.17.0.2:80
...docker容器的web端口(443和80)和主机一一映射,这里通过docker主机IP即可访问管理界面:
如果是centos下部署部署,可能会遇到遇到25端口被占用,可通过netstat -apn|grep 25查看是否是postfix导致,CentOS下可卸载postfix:
yum -y remove postfix
初始化配置
容器启动后访问https://mail.domain.com,进入配置配置界面,包括hostnamae、管理员邮箱地址以及密码。
4. 相关解析记录设置
DNS设置
DNS服务器侧按照如下要求设置域名解析,否则邮件服务无法正常使用,其中:
domain.com:为你自己的域名1.2.3.4:为你的邮件服务器IP
| 主机名 | 记录类型 | 记录值 |
|---|---|---|
| mail.domain.com | A | 1.2.3.4 |
| smtp.domain.com | CNAME | mail.domain.com |
| pop.domain.com | CNAME | mail.domain.com |
| imap.domain.com | CNAME | mail.domain.com |
| domain.com | MX | mail.domain.com |
| domain.com | txt | v=spf1 mx ~all |
下面为bind dns下面的配置,供参考,我的域名为jdzx.local:
$TTL 3H
@ IN SOA @ dns.jdzx.local. (0 ; serial1D ; refresh1H ; retry1W ; expire3H ) ; minimum
@ IN NS dns.jdzx.local.
dns IN A 10.210.10.220
...
; 邮件服务器相关配置
; A 记录
mail IN A 10.210.10.218
; CNAME记录
stmp IN CNAME mail.jdzx.local.
pop IN CNAME mail.jdzx.local.
imap IN CNAME mail.jdzx.local.
; MX记录
@ IN MX 10 mail.jdzx.local.
; SPF记录
@ IN TXT "v=spf1 mx ~all"
; DKIM记录
; s20241024106._domainkey.jdzx.local. IN TXT "k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvZG4aTkjrDm4mezHclFKdXJ8D/AbBnoXS9K1cmrepD/ZlMonezC/WRLt+DBwlKzlui2Woq5MzknhptyHUqBpYp3jxiMPdOD77UFFEqi2oLBxGFlRZZbJf3Lyw9x3Wbe5TOinkM9CmGkfbzZWSVrUOXBGySRcFHVzRWYxHRqVhXlPJizdW4w+MVj9oDImFZBXrmiYsQI677NtVNTsTn6xn1QHC8uFH825Fo6JouLkoSxLQw4K2r6DqlWRbA5Z8iafIVn1LL0rudK9N5cDtojDWFQpKfi9jotK8CmVWULqx+UE/o0RSYjsW9wCupedKFADFVe4P5+hn6qH7fhsXi9P1wIDAQAB"
; DMARC记录
_dmarc IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@jdzx.local"
说明
DKIM记录部分的配置bind语法检查没有通过,这里暂时注释掉。
设置DKIM验证
邮件系统管理界面为:https://mail.domain.com/admin/login,在 Virtual domains - 对应域名 - DKIM key - 创建key,并按照要求设置txt记录解析。
说明
添加SPF/DKIM/PTR解析,是为了可提高邮件可信度,从而降低邮件进入垃圾箱的几率。如果邮件服务器仅用于内外测试,可以省略上面的步骤。
5. 管理功能
用户管理
在 后台管理界面-Email accounts,管理用户账户。
SSL管理
在 后台管理界面–System settings – TLS Certificate可以配置SSL证书相关。
6. 邮件收发测试
增加用户
这里除了admin用户,增加一个user1用户进行邮件收发测试。
邮件web客户端
登录https://10.210.10.218/webmail/,首先使用user1登录,向admin账号发送邮件。然后使用admin登录web客户端,测试邮件发送接收成功:
客户端配置
如果使用客户端收发邮件,需要配置客户端的SMTP/IMAP/POP3服务器地址、端口、用户名、密码等信息。参考如下配置:
- SMTP
- 主机:mail.example.com
- 端口:465(需要TLS),或587(需要STARTTLS)
- 需要身份验证
- 用户名是完整的邮箱地址:username@example.com
建议不要使用端口25,因为它仅保留用于远程邮件服务器之间的通信。即使它可以工作,您可能会遇到不必要的连接测试和各种延迟。一些ISP(互联网服务提供商)也会阻止对端口25的外部连接以防止垃圾邮件,因此在某些位置可能无法连接到您的邮件服务器。通常对端口465/587的连接是被允许的。
默认情况下,“发件人”标头会被检查 → 发件人的邮箱地址应与用户名相同。(或者您可以在管理界面为每个账户关闭此检查)
- IMAP(首选)
主机:mail.example.com
端口:993
TLS
用户名是完整的邮箱地址:username@example.com
- 或者 POP3
主机:mail.example.com
端口:995
TLS
用户名是完整的邮箱地址:username@example.com
7. 相关资料
- Poste.io 官网:https://poste.io/
- 官方文档:https://poste.io/doc/
- 不同版本的功能差别:Order poste.io mailserver
- 在线体验站点:
https://demo.poste.io/admin/login#admin@poste.io;admin
Username: admin@poste.io
Password: admin
- 在线API文档
https://admin@poste.io:admin@demo.poste.io/admin/api/doc
Username: admin@poste.io
Password: admin
Sample REST API script in PHP:
https://gist.github.com/analogic/8fcdc87ce8d4d8adfed9
admin@poste.io
Password: admin
- 在线API文档
https://admin@poste.io:admin@demo.poste.io/admin/api/doc
Username: admin@poste.io
Password: admin
Sample REST API script in PHP:
https://gist.github.com/analogic/8fcdc87ce8d4d8adfed9
)
