为什么要自托管电子邮件
电子邮件是大多数人所拥有的最敏感的账户——它是通往一切其他账户的重置密钥,也是多年通信记录的完整存档。当你使用免费的网页邮件服务商时,这份存档存放在对方的服务器上,会受到不同程度的扫描,并受其所在司法管辖区及其抵御数据索取意愿的约束。自托管电子邮件将存档迁移到由你掌控的服务器上。
在离岸 VPS 上,情况更为理想:邮箱位于你选定的、以隐私法律著称的司法管辖区,服务器通过无 KYC 的托管商匿名购买,并以加密货币支付。没有人扫描邮件,没有人挖掘邮件内容,中间也没有任何服务商可以在未经你所选司法管辖区正式法律程序的情况下被要求交出邮件。对于重要的通信往来,这意味着谁掌控你最重要账户这一问题有了实质性的改变。本指南将如实介绍自托管电子邮件的全部要求——包括客观存在的难点。
自托管电子邮件真正涉及的内容
有必要在一开始就坦诚说明:电子邮件是最难自托管的服务。邮件服务器并非单一程序,而是多个组件协同工作——用于收发邮件的 SMTP 服务器、让你通过客户端读取邮件的 IMAP 服务器、垃圾邮件过滤器、防病毒层,以及现代电子邮件所需的加密与认证组件。手动将这些组件组装起来是一项真正的工程。
好消息是,你几乎不需要手动组装。一体化邮件系统的存在正是为了解决这一问题——它们将所有组件预配置好,打包在一个安装程序和一个网页管理面板之后。有了这样的系统,自托管电子邮件就从一项需要多日完成的专家级任务变成了一个下午的工作。本指南采用这一方案,因为对绝大多数人来说,这是唯一合理的选择。
你需要什么
三样东西,其中一样需要在开始前核查:
- 至少 2 GB 内存的 VPS——带有垃圾邮件和病毒过滤功能的邮件系统比基础网页服务器需要更多内存。ServPrivacy 的中端 VPS 配置恰到好处。
- 你掌控的域名,且可以访问其 DNS 记录。电子邮件与域名绑定,不能仅凭 IP 地址自托管。
- 可以发送邮件的 IP 地址。这是需要优先核查的一项:服务器需要开放出站 25 端口,且 IP 地址不在电子邮件黑名单上。有信誉的托管商会提供干净的 IP 地址空间,且不封锁 25 端口——请在正式购买前确认这一点。
一个干净的、支持反向 DNS 的 IP 地址并非细节——它是决定你的邮件是否被送达还是被丢入垃圾邮件的最重要因素,因此请从能提供此类 IP 的托管商开始。
第一步——部署服务器并绑定域名
在你希望邮箱所在的司法管辖区部署 VPS——使用新安装的、受支持的 Linux 发行版,因为邮件系统对此有要求——然后通过 SSH 连接服务器。
接着配置基本 DNS。将邮件主机名(通常为 mail.yourdomain.com)的 A 记录指向服务器 IP,并请托管商为该 IP 设置反向 DNS(PTR 记录),使其指向同一主机名。正向与反向 DNS 的一致性是接收方邮件服务器的即时校验项——在初始阶段配置正确,可以避免后续的送达率麻烦。同时将服务器本身的主机名设置为相同的值。
第二步——安装一体化邮件系统
这正是一体化邮件系统大显身手之处。两个广受好评的选择:
- Mailcow——基于 Docker 的系统,拥有精美的管理界面,持续维护,灵活性强,是希望保留扩展空间的用户的热门选择。对内存要求略高,但提供最大的控制权。
- Mail-in-a-Box——单脚本安装程序,只需最少的决策即可将全新服务器变成完整的邮件系统。如果你希望以最少的配置让电子邮件运转起来,这是最简单的方案。
两者都会一同安装 SMTP、IMAP、垃圾邮件过滤、防病毒、网页邮件以及认证组件,并预先配置好。运行安装程序,回答几个问题——你的域名、主机名——然后在管理面板中创建第一个邮箱。过去需要逐一组装组件的繁琐工作,如今都为你代劳完成。
第三步——设置决定送达率的 DNS 记录
邮件服务器运行起来只是完成了一半工作。现代电子邮件建立在一组 DNS 记录之上,这些记录用于证明你的邮件是合法的——如果配置有误,你的邮件会被归入垃圾邮件或直接被拒绝。一体化邮件系统会告诉你确切需要发布的内容;你只需在 DNS 托管商处添加相应记录。必要的记录集如下:
- MX——将你域名的邮件定向到你的服务器。没有它,邮件无法接收。
- SPF——一条 TXT 记录,列出允许以你的域名发送邮件的服务器。它可以防止他人仿冒你,并告知接收方你的服务器已获授权。
- DKIM——对每封发出的邮件进行加密签名,并将对应的公钥发布在 DNS 中。接收方通过验证签名来确认邮件确实来自你,且未被篡改。
- DMARC——一条策略记录,告知接收方如何处理未通过 SPF 或 DKIM 验证的邮件,以及将报告发送到何处。
- PTR(反向 DNS)——由你的托管商设置,已在第一步中涵盖,同样至关重要。
按照邮件系统的指定,逐一发布所有记录。这套记录集并非可选的锦上添花——它是邮件能否送达与被悄然丢弃之间的分水岭。
第四步——测试、加固与维护
在正式依赖服务器之前,先进行测试。与主流邮件服务商互发邮件,确认邮件进入收件箱而非垃圾箱。免费的在线工具可以对你的配置进行评分——检查 SPF、DKIM、DMARC、反向 DNS,以及你的 IP 是否出现在任何黑名单上——并精确告知你需要修复的问题。不要跳过这一步;一条缺失的记录就可能让所有邮件悄悄进入垃圾邮件。
然后是标准的安全维护:邮件系统自行管理 TLS 证书,因此连接经过加密;由于邮件服务器面向互联网开放,需保持邮件系统和操作系统的更新;为每个邮箱使用强密码;并通过仅限密钥的登录方式加固 SSH。一体化邮件系统使维护工作变得轻松——通过面板进行定期更新——但邮件服务器并非完全可以一劳永逸。它是你现在拥有的基础设施,需要偶尔的关注。
客观的权衡分析
自托管电子邮件赋予你真实的掌控权:存档属于你,位于你选定的司法管辖区,服务器上没有任何身份信息。但公平地衡量其代价也是必要的。你现在负责服务器的正常运行、备份和送达率——如果服务器宕机,你的邮件也随之中断。送达率尤其需要持续维护:IP 信誉必须长期经营,全新 IP 建立信任的过程较为缓慢。同时,你也失去了由服务商无形处理一切的便利。
对谁而言值得这样做?对于任何将最敏感账户的掌控权置于便利性之上的人——那些宁愿拥有存档,而不是租用它的人。如果你是这样的人,在离岸 VPS 上运行一体化邮件系统是一个切实可行的方案,本指南便是实现路径。如果你主要希望获得隐私保护而不承担运维工作,以隐私为核心的托管邮件服务商是更轻便的选择。自托管是追求最大掌控权的方案——当掌控权本身是你真正追求的目标时,它是值得的。