Верните конфиденциальность и контроль над данными за несколько часов: разверните свою облачную службу для друзей

Автор: Roudy Jhausse <[email protected]>

Important: перед началом сохраните все пароли и конфигурации в зашифрованном файле (например, GnuPG). Это уменьшит риски, если рабочая машина будет скомпрометирована.

Почему это важно

Ваша цифровая жизнь хранится в сервисах крупных провайдеров. В моём случае история поиска в Google насчитывает 40 000+ запросов за 8 лет. По аналогии, если вы использовали Gmail в 2006—2013, вы могли получить десятки тысяч писем и написать тысячи ответов. Эти данные — чрезвычайно личные и дают глубокое представление о вас: с кем вы общаетесь, где вы бываете, какие у вас интересы и как они менялись с годами.

Доверять этим данным компании, которой вы платите «не деньгами, а вниманием и кликами», — разумный выбор для многих. Но это не обязательный выбор. Можно оставаться в 21-м веке, пользоваться смартфоном и при этом контролировать свои данные. Самый мощный путь — хостить «облако» самому.

К кому это подходит

Кто сможет пройти статью и развернуть сервер:

• вы понимаете разницу между SMTP и IMAP;
• вы знакомы с DNS и базовыми понятиями TCP/IP;
• вы умеете работать в Unix-терминале и готовы потратить примерно 5 часов.

Если это не про вас — присмотритесь к альтернативам в разделе «Альтернативы».

Короткая модель угроз (Threat model)

Определите три вещи:

• кого вы защищаете (только себя, семью, небольшой круг друзей);
• от кого вы защищаете (провайдеры, рекламные сети, посторонние злоумышленники);
• какую защищённость вы ожидаете (защита от массового анализа данных vs. защита от целевых атак).

Эта статья нацелена на защиту приватности от массового сбора и централизованного анализа (не на защиту от сильного оппонента, обладающего ресурсами государства).

Что вы получите в конце

• Почтовый сервер (Postfix + Dovecot) с поддержкой множества доменов.
• БД виртуальных доменов и пользователей (MySQL).
• TLS для шифрования транспорта почты.
• Адаптивный антиспам (DSPAM + postgrey + RBLs) и OpenDKIM для подписи исходящих писем.
• OwnCloud для файлов, контактов (CardDAV) и календарей (CalDAV).
• Webmail (Roundcube).
• Инструкции по синхронизации мобильных устройств и ПК.

Краткая дорожная карта (что делаем шаг за шагом)

1. Приобретение VPS и домена; базовая настройка сервера.
2. Установка Postfix и Dovecot, интеграция с MySQL (виртуальные домены/юзеры/алиасы).
3. Настройка антиспама (RBL, postgrey, DSPAM) и авто-пометки в папку Junk.
4. Гарантирование доставки исходящих писем (SPF, PTR, OpenDKIM).
5. Установка OwnCloud и Roundcube; SSL для веб-интерфейсов.
6. Настройка синхронизации на устройствах и инструкции пользователю.

Ключевые определения (одно предложение на термин)

• SMTP — протокол для передачи почты между серверами.
• IMAP — протокол для доступа к почтовым ящикам на сервере.
• DNS — система доменных имён, сопоставляющая домены с IP/записями.
• TLS — протокол шифрования транспортного уровня (используется для шифрования соединений).
• SPF — DNS-запись, указывающая, какие серверы могут отправлять почту от имени домена.
• DKIM — криптографическая подпись исходящих писем, позволяющая проверять их подлинность.

Подробный пошаговый план

Ниже я перевожу и уточняю оригинальные инструкции, сохраняя все команды и конфиги. Кодовые блоки и конфигурации оставлены оригинальными — их можно просто вставить в терминал/файлы.

1. Получите VPS и домен, подготовьте сервер

Для примера автор использует Debian Wheezy и VPS-провайдеров 1984.is и Linode. Выберите провайдера и образ Debian Wheezy (или аналогичный Debian, совместимый с пакетами в статье).

Рекомендации:

• Заведите файл с паролями и конфигурациями. Зашифруйте его GnuPG.
• При регистрации домена (например, jhausse.net) создайте A-запись для хоста cloud.jhausse.net и установите MX на этот хост.
• Установите короткий TTL (например, 300 с), чтобы быстро проверять изменения.
• Установите PTR (reverse DNS) для IP сервера — через панель провайдера или поддержку.

Далее на сервере создайте непривилегированного пользователя и запретите вход под root по SSH:

adduser roudy

Отредактируйте /etc/ssh/sshd_config:

PermitRootLogin no

Перезагрузите ssh:

service ssh reload

Измените хостнейм (в /etc/hostname) на одну строку, например:

cloud

Проверьте публичные ключи SSH (конец файлов /etc/ssh/sshhost*_key.pub) и добавьте правильный хостнейм; затем перезагрузите систему:

reboot

Обновите систему и удалите ненужные сервисы:

apt-get update
apt-get dist-upgrade
service exim4 stop
apt-get remove exim4 rpcbind
apt-get autoremove
apt-get install vim

Чтобы vim автоматически включал подсветку синтаксиса, добавьте в ~/.vimrc:

syn on

2. Установка Postfix, Dovecot и MySQL (виртуальные домены/пользователи)

Установите необходимые пакеты:

apt-get install postfix postfix-mysql dovecot-core dovecot-imapd dovecot-mysql mysql-server dovecot-lmtpd postgrey

В конфиге Postfix выберите Internet Site и укажите system mail name, например jhausse.net.

Создайте базу данных для хранения доменов, пользователей и алиасов:

mysqladmin -p create mailserver
mysql -p mailserver
mysql> GRANT SELECT ON mailserver.* TO 'mailuser'@'localhost' IDENTIFIED BY 'mailuserpass';
mysql> FLUSH PRIVILEGES;
mysql> CREATE TABLE `virtual_domains` (
  `id` int(11) NOT NULL auto_increment,
  `name` varchar(50) NOT NULL,
  PRIMARY KEY (`id`)
  ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
mysql> CREATE TABLE `virtual_users` (
  `id` int(11) NOT NULL auto_increment,
  `domain_id` int(11) NOT NULL,
  `password` varchar(106) NOT NULL,
  `email` varchar(100) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `email` (`email`),
  FOREIGN KEY (domain_id) REFERENCES virtual_domains(id) ON DELETE CASCADE
  ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
mysql> CREATE TABLE `virtual_aliases` (
  `id` int(11) NOT NULL auto_increment,
  `domain_id` int(11) NOT NULL,
  `source` varchar(100) NOT NULL,
  `destination` varchar(100) NOT NULL,
  PRIMARY KEY (`id`),
  FOREIGN KEY (domain_id) REFERENCES virtual_domains(id) ON DELETE CASCADE
  ) ENGINE=InnoDB DEFAULT CHARSET=utf8;

Добавьте домены и алиасы (пример для jhausse.net):

mysql> INSERT INTO virtual_domains (`name`) VALUES ('jhausse.net');
mysql> INSERT INTO virtual_domains (`name`) VALUES ('otherdomain.net');
mysql> INSERT INTO virtual_aliases (`domain_id`, `source`, `destination`) VALUES ('1', 'postmaster', '[email protected]');
mysql> INSERT INTO virtual_aliases (`domain_id`, `source`, `destination`) VALUES ('2', 'postmaster', '[email protected]');

Добавьте пользователя и хеш пароля (doveadm генерирует SHA512-CRYPT):

doveadm pw -s SHA512-CRYPT

И вставьте хеш в базу:

mysql> INSERT INTO `mailserver`.`virtual_users` (`domain_id`, `password`, `email`) VALUES ('1', '$6$YOURPASSWORDHASH', '[email protected]');

Конфигурация Postfix (пример /etc/postfix/main.cf). Замените содержимое на следующий блок:

myhostname = cloud.jhausse.net
myorigin = /etc/mailname
mydestination = localhost.localdomain, localhost
mynetworks_style = host

# We disable relaying in the general case
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination
# Requirements on servers that contact us: we verify the client is not a
# known spammer (reject_rbl_client) and use a graylist mechanism
# (postgrey) to help reducing spam (check_policy_service)
smtpd_client_restrictions = permit_mynetworks, reject_rbl_client zen.spamhaus.org, check_policy_service inet:127.0.0.1:10023
disable_vrfy_command = yes
inet_interfaces = all
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/cloud.crt
smtpd_tls_key_file=/etc/ssl/private/cloud.key
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtp_tls_security_level=may
smtp_tls_loglevel = 1
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# Delivery
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
message_size_limit = 50000000
recipient_delimiter = +

# The next lines are useful to set up a backup MX for myfriendsdomain.org
# relay_domains = myfriendsdomain.org
# relay_recipient_maps =

# Virtual domains
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf
local_recipient_maps = $virtual_mailbox_maps

Создайте файлы, по которым Postfix будет запрашивать информацию в MySQL:

• /etc/postfix/mysql-virtual-mailbox-domains.cf

user = mailuser
password = mailuserpass
hosts = 127.0.0.1
dbname = mailserver
query = SELECT 1 FROM virtual_domains WHERE name='%s'

• /etc/postfix/mysql-virtual-mailbox-maps.cf

user = mailuser
password = mailuserpass
hosts = 127.0.0.1
dbname = mailserver
query = SELECT 1 FROM virtual_users WHERE email='%s'

• /etc/postfix/mysql-virtual-alias-maps.cf

user = mailuser
password = mailuserpass
hosts = 127.0.0.1
dbname = mailserver
query = SELECT virtual_aliases.destination as destination FROM virtual_aliases, virtual_domains WHERE virtual_aliases.source='%u' AND virtual_aliases.domain_id = virtual_domains.id AND virtual_domains.name='%d'

Проверьте работу запросов через postmap:

postmap -q jhausse.net mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
postmap -q [email protected] mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
postmap -q [email protected] mysql:/etc/postfix/mysql-virtual-alias-maps.cf
postmap -q [email protected] mysql:/etc/postfix/mysql-virtual-alias-maps.cf

Если всё настроено верно, первые два запроса вернут 1, третий — [email protected], последний — пусто.

Теперь Dovecot — в /etc/dovecot/dovecot.conf укажите протоколы:

# Enable installed protocol
# !include_try /usr/share/dovecot/protocols.d/*.protocol 
protocols = imap lmtp

В /etc/dovecot/conf.d/10-mail.conf установите:

mail_location = maildir:/var/mail/%d/%n
[...]
mail_privileged_group = mail
[...]
first_valid_uid = 0

В /etc/dovecot/conf.d/10-auth.conf:

disable_plaintext_auth = yes
auth_mechanisms = plain
#!include auth-system.conf.ext
!include auth-sql.conf.ext

В /etc/dovecot/conf.d/auth-sql.conf.ext:

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = static
  args = uid=mail gid=mail home=/var/mail/%d/%n
}

Создайте /etc/dovecot/dovecot-sql.conf.ext:

driver = mysql
connect = host=localhost dbname=mailserver user=mailuser password=mailuserpass
default_pass_scheme = SHA512-CRYPT
password_query = SELECT email as user, password FROM virtual_users WHERE email='%u';

Исправьте права на конфиги Dovecot:

chown -R mail:dovecot /etc/dovecot
chmod -R o-rwx /etc/dovecot

В /etc/dovecot/conf.d/10-master.conf проверьте секции для imap-login, pop3-login, lmtp и auth — в статье показаны примеры с отключёнными не-ssl портами и с unix-сокетами для взаимодействия с Postfix.

Укажите postmaster:

postmaster_address = [email protected]

Сгенерируйте сертификат и ключ (введите FQDN как Common Name):

openssl req -new -newkey rsa:4096 -x509 -days 365 -nodes -out "/etc/ssl/certs/cloud.crt" -keyout "/etc/ssl/private/cloud.key"

В /etc/dovecot/conf.d/10-ssl.conf установите:

ssl = required
ssl_cert = 

Перезапустите сервисы и протестируйте локальную отправку через telnet и удалённо через openssl s_client; проверьте логи /var/log/mail.log.

Для защищённой отправки писем (submission, порт 587) добавьте в /etc/postfix/master.cf блок submission с включённым SASL через Dovecot. Строки приведены в оригинале, вставьте их как есть. После этого тестируйте авторизацию AUTH PLAIN и передачу сообщений с аутентификацией.

3. Антиспам: RBL, postgrey, DSPAM, dovecot-sieve

Мы уже включили RBL (zen.spamhaus.org) и postgrey для greylisting. Дальше подключим адаптивный фильтр dspam + dovecot-antispam + sieve.

Установите пакеты:

apt-get install dspam dovecot-antispam postfix-pcre dovecot-sieve

Сконфигурируйте /etc/dspam/dspam.conf и /etc/dspam/default.prefs как в оригинале. Основные параметры:

TrustedDeliveryAgent "/usr/sbin/sendmail"
UntrustedDeliveryAgent "/usr/lib/dovecot/deliver -d %u"
Tokenizer osb
... (см. полный блок в исходной статье)

Укажите в /etc/postfix/master.cf дополнительные service pipe для dspam и dovecot, затем настройте smtpd_client_restrictions в main.cf, чтобы почта проходила через dspam по умолчанию (кроме permit_mynetworks).

Создайте /etc/postfix/dspam_filter_access:

/./   FILTER dspam:unix:/run/dspam/dspam.sock

В Dovecot в плагине antispam укажите backend = dspam и имена папок Junk/Trash. В /etc/dovecot/90-sieve.conf задайте sieve_default = /etc/dovecot/default.sieve, а сам файл default.sieve поместите и скомпилируйте sievec.

Права и перезапуск:

cd /etc/dovecot
sievec .
chown mail.dovecot default.siev*
chmod 0640 default.sieve
chmod 0750 default.svbin
chmod 0644 /etc/postfix/dynamicmaps.cf /etc/postfix/main.cf
service dovecot restart
service postfix restart

Тренировка фильтра: каждый пользователь перемещает письма в папку «Junk»/«Spam» или обратно — dovecot-antispam вызовет dspam для переклассификации.

4. Убедиться, что ваши отправленные письма доходят (SPF, PTR, OpenDKIM)

Чтобы снизить вероятность попадания ваших исходящих писем в спам:

• Добавьте SPF-запись в DNS (TXT), указывающую ваш MX/IP как легитимный отправитель. Пример:

jhausse.net. 300 IN TXT v=spf1 mx mx:cloud.jhausse.net -all

• Убедитесь, что PTR (reverse DNS) указывает на ваш FQDN.

• Установите OpenDKIM и подпишите исходящие письма. Установите opendkim и настроьте /etc/opendkim.conf, TrustedHosts, KeyTable и SigningTable как в исходном тексте.

Сгенерируйте ключ:

opendkim-genkey -r -s mail [-t]
chown -Rv opendkim:opendkim /etc/opendkim
chmod 0600 /etc/opendkim/*
chmod 0700 /etc/opendkim

В зоне DNS опубликуйте публичный ключ из mail.txt как TXT-запись mail._domainkey.yourdomain.

В main.cf добавьте milter-интеграцию:

smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters
milter_default_action = accept

Проверьте ключ opendkim-testkey и используйте внешние тесты (например, сервис проверки почты) для верификации DKIM/SPF.

5. OwnCloud + Roundcube: файлы, календари, контакты и веб-почта

Установка OwnCloud и Roundcube на Debian сводится к добавлению репозитория owncloud и установке пакетов. Пример из статьи:

echo 'deb http://download.opensuse.org/repositories/isv:/ownCloud:/community/Debian_7.0/ /' >> /etc/apt/sources.list.d/owncloud.list
wget http://download.opensuse.org/repositories/isv:ownCloud:community/Debian_6.0/Release.key
apt-key add - < Release.key 
apt-get update
apt-get install apache2 owncloud roundcube

При установке выберите dbconfig и укажите MySQL для roundcube.

В /etc/roundcube/main.inc.php укажите IMAP по умолчанию:

$rcmail_config['default_host'] = 'ssl://localhost';
$rcmail_config['default_port'] = 993;

Активируйте SSL в Apache и настройте виртуальные хосты для https://www.jhausse.net (порт 443), https://webmail.jhausse.net и https://cloud.jhausse.net. В конфигурациях укажите SSLCertificateFile и SSLCertificateKeyFile, используя ранее сгенерированный cloud.crt/cloud.key.

Активируйте сайты и перезапустите Apache:

a2ensite default default-ssl roundcube
service apache2 restart

Roundcube будет доступен по https://webmail.jhausse.net, OwnCloud — по https://cloud.jhausse.net.

6. Синхронизация устройств

• Почта: используйте стандартные клиенты (Android/iOS, Thunderbird). Настройка IMAP/SMTP: IMAP SSL порт 993, SMTP submission порт 587 с STARTTLS и аутентификацией.
• Контакты (CardDAV) и календари (CalDAV): OwnCloud поддерживает их; на Android используйте CalDAV-Sync и CardDAV-Sync в качестве мостов.
• Файлы: приложение OwnCloud на Android автоматически загружает фото/видео; на ПК используйте клиент OwnCloud.

Практические советы и эксплуатация

• Первые недели смотрите /var/log/syslog и /var/log/mail.log ежедневно.
• Чтобы добавить пользователя — добавьте строку в virtual_users таблицу.
• Чтобы добавить домен — добавьте строку в virtual_domains, обновите /etc/opendkim/SigningTable и разместите ключи в зоне DNS.
• План резервного копирования: подумайте об ответственных за backup и fallback MX. Linode и 1984 предлагают варианты резервного копирования.

Раздел «Когда это не сработает» (контрпримеры)

• Если вы ожидаете защиты уровня государства-«целевой оппонент», этого набора мер может быть недостаточно. Самохостинг защищает от массового сбора и корпоративной аналитики, но не всегда против продвинутых целевых атак.
• Если у вас нестабильное домашнее соединение и вы не можете обеспечить 24/7 работу сервера, вы можете терять почту. Решение: резервный MX у друга или платный почтовый ретейнер.
• Если пользователи не обновляют пароли и клиенты, сервер может быть взломан. Регулярные обновления и сильные пароли обязательны.

Альтернативы и комбинирование подходов

• Мигрируйте часть сервисов на защищённые коммерческие провайдеры (ProtonMail, Tutanota, Fastmail) и хостите файлы локально.
• Используйте управляемый VPS/Email-хостинг с акцентом на приватность (например, провайдеры в Европе/Исландии), если не хотите администрировать сервер.
• Комбинация: храните архивы и файлы у себя (OwnCloud), а почту отдайте доверенному платному провайдеру.

Ментальные модели и эвристики при выборе конфигурации

• Модель «Защита по слоям»: сеть (TLS), проверка отправителя (SPF/DKIM), локальная классификация (DSPAM), мониторинг и бэкапы.
• Эвристика удобство/безопасность: чем больше автоматических обновлений и упрощений, тем легче эксплуатация, но меньше контроль над деталями.

Уровни зрелости self-hosting

• Уровень 0: тестовый сервер на домашнем ПК, не для реального использования.
• Уровень 1: VPS с базовой настройкой — подходит для личного пользования.
• Уровень 2: VPS с резервным MX и автоматическими бэкапами — подход для семьи.
• Уровень 3: кластер/высокая доступность, мониторинг и SLA — для небольших организаций.

Факт-бокс: ключевые числа и сроки

• Время установки: примерно 5 часов (если все готово и вы знакомы с Unix).
• Объём сообщений: конфигурация позволяет обрабатывать стандартный поток личной почты; лимит сообщения задан message_size_limit = 50 000 000 байт.
• TTL DNS в примерах: 300 секунд (быстрое тестирование).

SOP: быстрый чеклист для развертывания (шаги)

1. Купить VPS + домен.
2. Настроить A, MX, PTR и короткий TTL.
3. Создать непользовательского аккаунта, запретить root SSH.
4. Установить Postfix, Dovecot, MySQL.
5. Создать БД и таблицы virtual_domains/users/aliases.
6. Сгенерировать хеш пароля для пользователя и вставить в DB.
7. Настроить TLS (openssl req) для сервера.
8. Установить DSPAM, postgrey, включить RBL.
9. Настроить OpenDKIM и опубликовать ключ в DNS.
10. Установить OwnCloud и Roundcube, настроить виртуальные хосты Apache.
11. Протестировать отправку/приём/IMAP/SMTP/веб-интерфейсы.
12. Настроить бэкапы и мониторинг.

Инцидент-руководство: если сервер скомпрометирован

1. Немедленно переведите домен на резервный MX, чтоб почта не терялась.
2. Изолируйте сервер (удалите сетевой доступ) и сделайте снепшот диска/снимок.
3. Проанализируйте логи (/var/log/auth.log, /var/log/mail.log, syslog) на предмет необычных входов.
4. Если подтверждена компрометация — восстановите сервер из последней чистой резервной копии на новом VPS и смените все пароли и ключи (DB, почтовые аккаунты, OpenDKIM, GPG, SSH).
5. Уведомьте пользователей и рекомендируйте смену паролей на клиентах.
6. Проведите root cause analysis и внесите корректирующие меры (патчи, firewall, более строгие правила SSH).

Тест-кейсы и критерии приёмки

• Пользователь может принять почту локально и с другого устройства через IMAP.
• Пользователь может отправить почту через submission (порт 587) после аутентификации.
• Входящие письма проходят через DSPAM и попадают в папку Junk при классификации как спам.
• Исходящие письма подписаны DKIM и проходят SPF-проверку у внешних серверов.
• OwnCloud доступен по HTTPS, а Roundcube по веб-интерфейсу с SSL.

Миграция и совместимость

• Debian Wheezy в статье — возможен перенос на новые версии Debian/Ubuntu, но проверяйте версии пакетов (имена и опции могут меняться).
• Если мигрируете с другого почтового сервера, экспортируйте почтовые ящики и импортируйте в структуру maildir:/var/mail/%d/%n.
• При смене провайдера VPS помните про PTR: его надо попросить настроить у нового провайдера.

Безопасность: укрепление сервера

• Отключите вход под root по SSH и используйте ключи SSH для администраторов.
• Включите автоматические обновления безопасности или настройте план проверок патчей.
• Ограничьте доступ к административным сервисам (phpMyAdmin, админки OwnCloud) по IP и/или VPN.
• Настройте fail2ban для блокировки подозрительных попыток входа в SSH и SMTP.
• Ограничьте права на конфигурационные файлы (chmod 0600 для приватных ключей).

Приватность и соответствие требованиям (GDPR и прочее)

• Если вы храните данные третьих лиц (например, друзей/семьи) и проживаете/работаете в юрисдикции с требованиями по защите данных, проверьте соответствие. Самохостинг уменьшает внешнюю централизацию, но накладывает на вас ответственность за безопасность данных.
• Документируйте политику хранения, доступ, бэкапы и сроки удаления данных.

Шаблон: ролевая чек-лист (админ / пользователь / резервный оператор)

• Администратор:

  • Настроить VPS, DNS, сертификаты.
  • Настроить бэкап и мониторинг.
  • Проводить обновления и проверять логи.

• Пользователь:

  • Использовать сильный пароль и 2FA (если доступно).
  • Периодически проверять папку Spam и тренировать фильтр.
  • Регулярно экспортировать важные данные.

• Резервный оператор:

  • Контролировать резервный MX и доступность.
  • Уметь восстановить сервис из бэкапа.

Мини-методология проверки работоспособности (quick checklist)

1. Отправить письмо локально: telnet localhost 25 — должно принимать.
2. Отправить письмо с удалённой машины на порт 25 — проверить greylist и RBL.
3. Авторизоваться на порту 587 и отправить — должно сработать и пройти.
4. Войти по IMAP SSL (993) и проверить прибытие писем.
5. Войти в Roundcube и OwnCloud через HTTPS.
6. Проверить DKIM/SPF на внешнем тестовом сервисе.

Диаграмма принятия решения: развертывать или нет? (Mermaid)

flowchart TD
  A[Нужна приватность и контроль?] -->|Да| B[Есть время ~5ч и базовый опыт Unix?]
  A -->|Нет| Z[Оставить публичные сервисы]
  B -->|Да| C[Приобрести VPS и домен]
  B -->|Нет| Y[Использовать платный приватный провайдер]
  C --> D[Настроить Postfix/Dovecot]
  D --> E[Добавить антиспам и DKIM]
  E --> F[Установить OwnCloud и Roundcube]
  F --> G[Синхронизировать устройства и тестировать]
  G --> H[Перейти в эксплуатацию и поддерживать]

Частые ошибки и как их избежать

• Проблема: письма отказываются принимать с ошибкой «blocked using zen.spamhaus.org». Причина: IP вашего исходного хоста попал в RBL. Решение: попытаться подключиться с другого IP, временно отключить RBL для отладки, затем вернуть.
• Проблема: DKIM не проходит. Причина: DNS не обновился или ключ неверен. Решение: дождаться обновления зоны, проверить opendkim-testkey.
• Проблема: сообщения попадают в спам у получателей. Причина: слабый SPF/DKIM или плохая репутация IP. Решение: проверить SPF, DKIM, PTR; при необходимости заказать выделенный IP в «чистой» подсети.

Короткая галерея крайних случаев (edge cases)

• Много пользователей, высокие потоки почты — переходите на отдельные серверы/кластеры и настройте лимиты.
• Если требуется push-почта или полный fulltext search — добавляйте Dovecot indexer, Solr/Elasticsearch, или интегрируйте Cyrus/imapd с push.
• Если нужна локальная шифровка сообщений на сервере — храните письма зашифрованными, но учтите потерю server-side функциональности (фильтры, поиск).

Социальная превью заготовка (OG)

OG title и описание подготовлены в SEO-блоке ниже.

Краткое объявление для друзей (100–200 слов)

Резюме для приглашения: «Я развернул личный сервер для почты, контактов и файлов — он защищает наши данные от централизованной аналитики и даёт полный контроль. Если хотите присоединиться, я поделюсь адресом и помогу настроить пароль. За безопасность и простоту эксплуатации отвечу я, вы получаете приватность и доступ к файлам и календарям на ваших устройствах.»

Последние советы по эксплуатации

• Мониторьте логи регулярно первые 2—4 недели.
• Настройте уведомления о заполнении диска и падении службы.
• Договоритесь с двумя доверенными людьми о ролях «резервный MX» и «backup operator».

Итоговое резюме

Вы можете вернуть контроль над своей цифровой жизнью без отказа от современных удобств. Самостоятельный VPS + настроенный стек (Postfix, Dovecot, DSPAM, OpenDKIM, OwnCloud, Roundcube) даёт приватность, гибкость и экономичность. Эта статья даёт пошаговый маршрут и дополнительные рекомендации по эксплуатационной надёжности, безопасности и восстановлению.

–

Автор исходного материала: Roudy Jhausse. Все технические конфигурации сохранены и представлены в оригинальном виде, включая команды и шаблоны конфигураций.