自建邮件服务器：你需要了解的一切

关于在 2026 年运行自托管邮件服务器的真实、技术性概述——你必须正确处理的组件、DNS 记录、送达率规则和安全标准，以及何时托管式境内方案更为合理。

自建邮件服务器：你需要了解的一切

自托管电子邮件是你能运行的服务中最有成就感、也最不容出错的服务之一。Web 服务器配置出错时，页面会显示破损。而邮件服务器配置出错时，则会悄无声息地把你的发票投递进垃圾箱，或者让你的 IP 被列入黑名单。本指南是对在 2026 年自建邮件服务器实际涉及内容的诚实概述，帮助你判断是要自行搭建，还是改用托管式企业邮件托管。

你真正需要的组件

一台可用的邮件服务器并非单个程序。你至少需要运行四种角色：

• MTA（邮件传输代理） —— 通过 SMTP 发送和接收邮件。Postfix 是标准选择。
• MDA / IMAP-POP3 服务器 —— 存储邮箱并将其提供给客户端。Dovecot 是标准选择。
• DKIM 签名器 —— 对外发邮件进行签名。由 OpenDKIM 或 rspamd 处理。
• 垃圾邮件与策略过滤 —— 入站过滤与出站速率控制。rspamd 是现代选择。

在 Ubuntu/Debian 上的典型安装：

sudo apt update
sudo apt install postfix dovecot-imapd dovecot-pop3d opendkim opendkim-tools rspamd

许多人更喜欢一体化技术栈 —— Mailcow（Docker）或 Mail-in-a-Box —— 它们将上述组件以及网页邮件和管理界面捆绑在一起。它们减少了拼装工作，但并不减少运维责任。

你必须理解的端口

关键在于，许多住宅 ISP 和某些云服务商会封锁出站 25 端口。没有它，你就无法将邮件投递到其他服务器。你需要一个明确允许出站 25 端口的主机 —— 大多数面向邮件用途的云服务器和 VPS 套餐都允许。

DNS 决定邮件的生死

送达率主要由 DNS 决定，而非你的配置文件。下面每一条记录你都需要配置正确。

MX —— 将你的域名指向邮件主机：

example.sa.   IN  MX  10  mail.example.sa.

A / AAAA —— 邮件主机解析到你服务器的 IP。

PTR（反向 DNS） —— 你的 IP 必须反向解析回 mail.example.sa.。这由你的托管服务商设置，而非你的 DNS 区域；主流接收方会拒收来自没有匹配 PTR 的 IP 的邮件。

SPF —— 授权哪些 IP 可以为你的域名发信：

example.sa.   IN  TXT  "v=spf1 mx -all"

DKIM —— 发布与你的签名器选择器（selector）匹配的公钥：

mail._domainkey.example.sa.  IN  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSq..."

DMARC —— 告诉接收方在 SPF/DKIM 验证失败时该如何处理，以及将报告发送到何处：

_dmarc.example.sa.  IN  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@example.sa; adkim=s; aspf=s"

请将 DMARC 从 p=none 起步以收集报告，待报告干净后再收紧为 p=quarantine，最终收紧为 p=reject。对于 SPF，-all（硬失败）比 ~all（软失败）更严格；只有在你确信每一个发信来源都已列出之后，才使用 -all。

2026 年你无法忽视的发件人规则

自 2024 年起，Gmail 和 Yahoo 对批量发件人（即每天向其用户发送超过 5,000 封邮件的发件人）强制执行相关要求，目前它们正在主动拒收不合规的邮件。即使是小型发件人，满足这些要求也能受益：

• SPF 和 DKIM 均已配置，且至少有一项与可见的 From: 域名对齐（aligned）。
• 一条有效的 DMARC 记录（策略可以是 p=none，但必须存在）。
• 营销邮件上的一键退订（RFC 8058 List-Unsubscribe-Post 头），并在两天内执行。
• 垃圾邮件投诉率保持在 0.3% 以下 —— Gmail 将高于此值的情况视为严重问题。

传输安全：MTA-STS 与 TLS-RPT

STARTTLS 可能被攻击者悄无声息地降级。MTA-STS（RFC 8461）告诉发件方你的域名要求使用 TLS，而 TLS-RPT 则请求他们报告失败情况。请通过 HTTPS 在 https://mta-sts.example.sa/.well-known/mta-sts.txt 发布一份策略，并配置两条 DNS 记录：

_mta-sts.example.sa.  IN  TXT  "v=STSv1; id=2026060801"
_smtp._tls.example.sa. IN  TXT  "v=TLSRPTv1; rua=mailto:tlsrpt@example.sa"

请先以 mode: testing 运行 MTA-STS，观察 TLS-RPT 报告一周，待报告干净后再切换到 mode: enforce。如果你的注册商支持 DNSSEC，DANE（基于 DNSSEC）是一个替代方案。

持续的运维现实

搭建是最简单的部分。真正的工作在于之后：

• 打补丁 —— Postfix、Dovecot、操作系统以及 TLS 证书（Let's Encrypt 续期）。
• 备份 —— 邮件存储和配置的备份，并经过恢复测试。
• 声誉监控 —— 每周检查黑名单（Spamhaus 等）以及你的 DMARC/TLS-RPT 报告。
• 容量 —— 磁盘很快就会被填满；邮件存储会不停地增长。

如果你的 IP 被列入黑名单，在你申请移除期间，送达率可能会在数天内大幅下降。这正是团队转向托管式托管的最大原因。

关于沙特数据驻留的说明

对于王国境内受 PDPL 和 NCA 指导约束的组织而言，邮箱在物理上存放于何处至关重要。在境内服务器上自托管可使数据保留在本地，但所有合规与正常运行时间方面的工作都由你自己承担。托管式替代方案可以在将数据保留在王国境内的同时，将运维工作转移出去。请参阅企业邮件托管集群，了解这如何对应到沙特的要求。

那么，你应该自托管吗？

如果你想要完全的控制权、拥有 Linux 运维技能，并且能够投入持续的维护和声誉工作，那就自托管。如果你想要符合 PDPL、位于王国境内的邮箱，而又不必自己处理黑名单移除和 7×24 正常运行时间，那就选择托管式方案。Skyline 在王国境内基础设施上运行企业邮件，提供本地阿拉伯语支持和透明定价。

准备好省去维护的烦恼了吗？ 创建你的 Skyline Cloud 账户，几分钟内即可让境内企业邮件运行起来。