تشغيل خادم بريد إلكتروني خاص بك: ما يجب أن تعرفه
استضافة البريد الإلكتروني ذاتياً من أكثر الخدمات إفادةً — وأقلها تسامحاً — التي يمكنك تشغيلها. خادم الويب الخاطئ الإعداد يُظهر صفحة معطوبة. أما خادم البريد الخاطئ الإعداد فيُسقط فواتيرك في مجلد البريد المزعج بصمت، أو يضع عنوان IP الخاص بك في القوائم السوداء. هذا الدليل نظرة صادقة على ما يتطلبه تشغيل خادم بريد خاص بك فعلياً في عام 2026، لتقرر ما إذا كنت ستبنيه أم تستخدم استضافة بريد الأعمال المُدارة بدلاً من ذلك.
المكوّنات التي تحتاجها فعلاً
خادم البريد العامل ليس برنامجاً واحداً. في الحد الأدنى أنت تُشغّل أربعة أدوار:
- MTA (وكيل نقل البريد) — يرسل ويستقبل البريد عبر SMTP. Postfix هو الخيار القياسي.
- خادم MDA / IMAP-POP3 — يخزّن صناديق البريد ويقدّمها للعملاء. Dovecot هو الخيار القياسي.
- مُوقِّع DKIM — يوقّع البريد الصادر. يتولى ذلك OpenDKIM أو rspamd.
- تصفية البريد المزعج والسياسات — تصفية الوارد والتحكم بمعدل الصادر. rspamd هو الخيار الحديث.
تثبيت نموذجي على Ubuntu/Debian:
sudo apt update
sudo apt install postfix dovecot-imapd dovecot-pop3d opendkim opendkim-tools rspamd
يفضّل الكثيرون حزمة متكاملة — Mailcow (Docker) أو Mail-in-a-Box — وهي تجمع هذه المكوّنات إضافةً إلى بريد ويب وواجهة إدارة. تقلّل من عمل التجميع، لكنها لا تقلّل من المسؤولية التشغيلية.
المنافذ التي يجب أن تفهمها
| المنفذ | البروتوكول | الغرض |
|---|---|---|
| 25 | SMTP | ترحيل البريد بين الخوادم (MX). لا تعطّله. |
| 587 | Submission (STARTTLS) | الإرسال المُصادَق من العميل. الخيار المفضّل. |
| 465 | SMTPS | الإرسال المُصادَق من العميل عبر TLS ضمني. |
| 143 / 993 | IMAP / IMAPS | الوصول إلى صندوق البريد (993 = TLS). |
| 110 / 995 | POP3 / POP3S | تنزيل البريد القديم. |
والأهم أن كثيراً من مزوّدي الإنترنت المنزلي وبعض مزوّدي السحابة يحجبون المنفذ 25 الصادر. بدونه لا يمكنك تسليم البريد إلى الخوادم الأخرى. تحتاج إلى مستضيف يسمح صراحةً بالمنفذ 25 الصادر — ومعظم خوادم السحابة وخطط VPS المخصّصة للبريد تفعل ذلك.
في DNS يحيا البريد أو يموت
تُحسم قابلية التسليم غالباً في DNS، وليس في ملفات إعدادك. تحتاج إلى كل سجل أدناه صحيحاً.
MX — يوجّه نطاقك إلى مستضيف البريد:
example.sa. IN MX 10 mail.example.sa.
A / AAAA — مستضيف البريد يُحَلّ إلى عنوان IP لخادمك.
PTR (DNS العكسي) — يجب أن يُحَلّ عنوان IP الخاص بك عائداً إلى mail.example.sa.. يضبط هذا مزوّد الاستضافة، وليس منطقة DNS الخاصة بك، والمستقبِلون الكبار يرفضون البريد من عناوين IP بلا سجل PTR مطابق.
SPF — يُصرّح بعناوين IP المسموح لها بالإرسال نيابةً عن نطاقك:
example.sa. IN TXT "v=spf1 mx -all"
DKIM — ينشر المفتاح العام المطابق لمُحدِّد المُوقِّع لديك:
mail._domainkey.example.sa. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSq..."
DMARC — يُخبر المستقبِلين بما يجب فعله عند فشل SPF/DKIM، وإلى أين تُرسَل التقارير:
_dmarc.example.sa. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.sa; adkim=s; aspf=s"
ابدأ DMARC بـ p=none لجمع التقارير، ثم شدّد إلى p=quarantine وأخيراً p=reject حالما تصبح تقاريرك نظيفة. أما في SPF، فإن -all (الفشل الصارم) أكثر تشدداً من ~all (الفشل اللين)؛ استخدم -all فقط بعد أن تتأكد من إدراج كل مصدر إرسال.
قواعد المُرسِلين لعام 2026 التي لا يمكنك تجاهلها
منذ عام 2024، تفرض Gmail وYahoo متطلبات على المُرسِلين بكميات كبيرة (من يرسلون أكثر من 5,000 رسالة يومياً إلى مستخدميهم)، وهي الآن ترفض فعلياً البريد غير المتوافق. وحتى المُرسِلون الصغار يستفيدون من الالتزام بها:
- إعداد SPF وDKIM معاً، مع توافق (alignment) واحد منهما على الأقل مع نطاق
From:الظاهر. - سجل DMARC صالح (قد تكون السياسة
p=none، لكن يجب أن يوجد). - إلغاء اشتراك بنقرة واحدة (ترويسة
List-Unsubscribe-Postوفق RFC 8058) في البريد التسويقي، مع تنفيذه خلال يومين. - إبقاء معدل شكاوى البريد المزعج دون 0.3% — تَعُدّ Gmail أي قيمة أعلى مشكلةً جوهرية.
أمان النقل: MTA-STS وTLS-RPT
يمكن أن يُخفَّض STARTTLS بصمت من قبل مهاجم. يُخبر MTA-STS (RFC 8461) المُرسِلين بأن نطاقك يتطلب TLS، ويطلب منهم TLS-RPT الإبلاغ عن حالات الفشل. انشر سياسة عبر HTTPS على https://mta-sts.example.sa/.well-known/mta-sts.txt وسجلَّي DNS:
_mta-sts.example.sa. IN TXT "v=STSv1; id=2026060801"
_smtp._tls.example.sa. IN TXT "v=TLSRPTv1; rua=mailto:tlsrpt@example.sa"
شغّل MTA-STS بوضع mode: testing أولاً، وراقب تقارير TLS-RPT لمدة أسبوع، ثم انتقل إلى mode: enforce حالما تصبح نظيفة. ويُعد DANE (عبر DNSSEC) بديلاً إذا كان مسجّل نطاقك يدعم DNSSEC.
الواقع التشغيلي المستمر
الإعداد هو الجزء السهل. العمل الحقيقي هو ما يأتي بعده:
- التحديثات الأمنية لـ Postfix وDovecot ونظام التشغيل وشهادات TLS (تجديدات Let's Encrypt).
- النسخ الاحتياطية لمخازن البريد والإعدادات، مع اختبار الاستعادة فعلياً.
- مراقبة السمعة — فحص القوائم السوداء (Spamhaus وغيرها) وتقارير DMARC/TLS-RPT أسبوعياً.
- السعة — يمتلئ القرص بسرعة؛ مخازن البريد تنمو بلا توقف.
إذا أُدرج عنوان IP الخاص بك في قائمة سوداء، فقد تنخفض قابلية التسليم لأيام بينما تطلب إزالته. وهذا أكبر سبب منفرد يدفع الفرق إلى الانتقال للاستضافة المُدارة.
ملاحظة حول إقامة البيانات في السعودية
بالنسبة للمؤسسات داخل المملكة الخاضعة لإرشادات نظام حماية البيانات الشخصية (PDPL) والهيئة الوطنية للأمن السيبراني (NCA)، فإن مكان وجود صناديق البريد فعلياً أمر مهم. الاستضافة الذاتية على خادم داخل المملكة تُبقي البيانات محلية، لكنك تتحمّل كل أعمال الامتثال ووقت التشغيل. ويمكن للبديل المُدار أن يُبقي البيانات داخل المملكة مع إعفائك من العمليات. اطّلع على مجموعة استضافة بريد الأعمال لمعرفة كيف يرتبط ذلك بالمتطلبات السعودية.
إذاً، هل ينبغي أن تستضيف ذاتياً؟
استضِف ذاتياً إن أردت تحكماً كاملاً، وامتلكت مهارات تشغيل Linux، وقدرت على الالتزام بالصيانة المستمرة وأعمال السمعة. واختر الاستضافة المُدارة إن أردت صناديق بريد داخل المملكة ومتوافقة مع PDPL دون أن تتحمّل عبء إزالة الإدراج من القوائم السوداء ووقت التشغيل على مدار الساعة. تُشغّل سكايلاين بريد الأعمال على بنية تحتية داخل المملكة مع دعم عربي محلي وتسعير شفّاف.
جاهز لتجاوز الصيانة؟ أنشئ حسابك في سكايلاين كلاود واحصل على بريد أعمال داخل المملكة يعمل خلال دقائق.
Comments
0 total · 0 threads