自建 SMTP 邮件发送服务

搭建自己的 SMTP 邮件发送服务器
序言
SMTP 可以直接购买云厂商的服务，比如 :

Amazon SES SMTP
阿里云邮件推送
也可以自己搭建邮件服务器 —— 发送不限量，综合成本低。

下面，我们一步一步的演示如何自建邮件服务器。

服务器选购
自托管的 SMTP 服务器需要开放了 25、456、587 端口的公网 IP。

常用的公有云默认都封禁了这些端口，发工单可能可以开通，但终归很麻烦。

我建议从那些开放了这些端口并支持设置反向域名的主机商中选购。

在这里，我推荐下 Contabo 。

Contabo 是总部位于德国慕尼黑的主机提供商，成立于 2003 年，价格极具竞争力。

购买币种选择欧元，价格会更便宜 (8GB 内存 4 CPU 的服务器约 529 元人民币每年，买一年免初装费)。

下单时备注 prefer AMD, 选用 AMD CPU 的服务器，性能更佳。

后文，我将以 Contabo 的 VPS 为例，演示如何搭建自己的邮件服务器。

Ubuntu 系统配置
这里操作系统选用 Ubuntu 22.04

如果 ssh 上服务器显示 Welcome to TinyCore 13!（如下图），表示这时候系统还没装完，请断开 ssh，等待几分钟再次登录。

出现 Welcome to Ubuntu 22.04.1 LTS 就是初始化完成，可以继续下面的步骤了。

[可选] 初始化开发环境
这一步是可选的。

为了方便，我把 ubuntu 软件的安装、系统配置放到了 github.com/user-tax-dev/docker_dev_build/tree/main/ubuntu。

运行以下指令可一键安装。

bash <(curl -s https://raw.githubusercontent.com/user-tax-dev/docker_dev_build/main/ubuntu/boot.sh)
中国用户请改用下面的指令，会自动设置语言、时区等。

CN=1 bash <(curl -s https://ghproxy.com/https://raw.githubusercontent.com/user-tax-dev/docker_dev_build/main/ubuntu/boot.sh)
Contabo 启用 IPV6
启用 IPV6 ，这样 SMTP 也可以发送 IPV6 地址的邮件了。

编辑 /etc/sysctl.conf

修改或加入下面几行

net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0
然后运行 sysctl -p /etc/sysctl.conf 启用配置

接下来参考 contabo 教程 : 将 IPv6 连接添加到您的服务器

在管理后台找到你的 IPV6 地址，如下图：

然后编辑运行下面的命令

ip addr add YOUR_IPV6_ADDRESS dev eth0
ip route add default via fe80::1 dev eth0
配置成功后，可使用 curl 6.ipw.cn 查看自己外网的 ipv6 地址。

以上操作只是临时启用 ipv6，重启之后会失效。

想永久启用 ipv6，编辑 /etc/netplan/01-netcfg.yaml, 加上如下图所示几行 ( Contabo 默认系统的配置文件已经有这些行，取消注释即可 )

克隆配置仓库 ops
git clone https://github.com/user-tax/ops.git
生成域名 免费 SSL 证书
发送邮件需要 SSL 证书加密和签名。

我们使用 acme.sh 来生成证书。

acme.sh 是开源的自动化证书签发工具，

进入配置仓库 ops ，运行 ./ssl.sh，会在上一级目录创建 conf 文件夹。

目录结构如下图：

从 acme.sh dnsapi 中找到你的 DNS 服务商，编辑 conf/conf.sh 。

然后运行 ./ssl.sh 123.com，就可以为你的域名生成 123.com 以及*.123.com 证书。

首次运行会自动安装acme.sh，并添加自动续期的定时任务。crontab -l 就可以看到，有如下这么一行。

52 0 * * * “/mnt/www/.acme.sh”/acme.sh --cron --home “/mnt/www/.acme.sh” > /dev/null
生成的证书的路径类似 /mnt/www/.acme.sh/123.com_ecc。

证书续期会调用 conf/reload/123.com.sh 脚本，编辑这个脚本，可以添加诸如 nginx -s reload 的指令来刷新相关应用的证书缓存。

用 chasquid 搭建 SMTP 服务器
chasquid 是 Go 语言编写的开源 SMTP 服务器。

作为 Postfix、Sendmail 这些古老的邮件服务器程序的替代品，chasquid 更加简单易上手，也更容易二次开发。

运行 chasquid 配置仓库中的 ./chasquid/init.sh 123.com 会全自动一键安装（替换 123.com 为你的发信域名）。

配置邮件签名 DKIM
DKIM 用于发送邮件的签名，避免信件被当成垃圾邮件。

命令成功运行后，会提示你去设置 DKIM 记录（如下图）。

到你的 DNS 添加 TXT 记录即可（如下图）。

查看服务状态 & 日志
systemctl status chasquid 查看服务状态。

正常运行时状态如下图

grep chasquid /var/log/syslog 或者 journalctl -xeu chasquid 可以查看出错日志。

反向域名配置
反向域名是让 IP 地址可以解析为对应的域名。

设置反向域名，能避免邮件被识别为垃圾邮件。

当邮件接收后，接收服务器将对发送服务器的 IP 地址进行反向域名解析，以确认发送服务器是否具有有效的反向域名。

如果发送服务器没有反向域名或者反向域名与发送服务器的 IP 地址不匹配，接收服务器可能会将该邮件识别为垃圾邮件或拒绝接收。

访问 https://my.contabo.com/rdns，配置如下图

设置完反向域名后，记得配置此域名 ipv4 和 ipv6 的正向解析到该服务器。

编辑 chasquid.conf 的 hostname
修改 conf/chasquid/chasquid.conf 为反向域名的值。

接着运行 systemctl restart chasquid 重启服务。

备份 conf 到 git 仓库

比如我备份 conf 文件夹到自己的 github 流程如下

首先创建私有仓库

进入 conf 目录，然后提交到仓库

git init
git add .
git commit -m “init”
git branch -M main
git remote add origin git@github.com:user-tax-key/conf.git
git push -u origin main
添加发件用户
运行

chasquid-util user-add i@user.tax
可以添加发件用户

效验密码是否设置正确
chasquid-util authenticate i@user.tax --password=xxxxxxx

添加完成用户 , chasquid/domains/user.tax/users 会有更新，记得提交到仓库。

DNS 添加 SPF 记录
SPF ( Sender Policy Framework ) 是一种邮件验证技术，用于防范电子邮件欺诈。

它通过检查发件人的 IP 地址与其所声称的域名的 DNS 记录是否匹配来验证邮件发送者的身份，从而防止欺诈者发送伪造的电子邮件。

添加 SPF 记录，能尽可能避免邮件被识别为垃圾邮件。

如果你的域名服务器不支持 SPF 类型，添加 TXT 类型记录即可。

比如，user.tax 的 SPF 如下

v=spf1 a mx include:_spf.user.tax include:_spf.google.com ~all

_spf.user.tax 的 SPF

v=spf1 a:smtp.user.tax ~all

注意，我这里有 include:_spf.google.com, 这是因为后续我将在谷歌邮箱配置用 i@user.tax 做发信地址。

DNS 配置 DMARC
DMARC 是（Domain-based Message Authentication, Reporting & Conformance）的缩写。

它用于获取 SPF 退信的情况（可能是配置错误导致，也可能是别人在冒充你发送垃圾邮件）。

添加 TXT 记录 _dmarc，

内容如下

v=DMARC1; p=quarantine; fo=1; ruf=mailto:ruf@user.tax; rua=mailto:rua@user.tax

各个参数含义如下

p (Policy)
表示如何处理未通过 SPF (Sender Policy Framework) 或 DKIM (DomainKeys Identified Mail) 验证的邮件。p 参数可以设置为以下三个值之一：

none：不采取任何行动，仅将验证结果通过邮件报告机制反馈给发件人。
quarantine：将未通过验证的邮件放入垃圾邮件文件夹，但不会直接拒绝邮件。
reject：直接拒绝未通过验证的邮件。
fo (Failure Options)
指定报告机制返回的信息量。它可以设置为以下值之一 :

0：报告所有邮件的验证结果
1：仅报告未通过验证的邮件
d：仅报告域名验证失败
s：仅报告 SPF 验证失败
l：仅报告 DKIM 验证失败
rua & ruf
rua（Reporting URI for Aggregate reports）：接收聚合报告的邮件地址
ruf（Reporting URI for Forensic reports）：接收详细报告的邮件地址
添加 MX 记录转发来信到谷歌邮箱
因为没找到免费的支持万能地址 （Catch-All，能接收任何发送到此域名的邮件，不限制前缀）的企业邮箱，所以我用 chasquid 把所有的邮件都转发到 我的 Gmail 信箱。

如果你有自己付费的企业邮箱，请不要修改 MX，并跳过这一步。

编辑 conf/chasquid/domains/user.tax/aliases, 设置转发邮箱

• 表示所有邮件，i 是上面创建的发信用户邮箱前缀。想转发邮件，每个用户都需要添加一行。

然后添加 MX 记录即可 (我这里直接指向反向域名的地址，如下图第一行) 。

配置完成后，可以用其他邮箱发件到 i@user.tax 和 any123@user.tax 看看是否能在 Gmail 收到信件。

如果不能收到，请检查 chasquid 的日志 ( journalctl -n 10 --no-pager --no-hostname -u chasquid -f 或者grep chasquid /var/log/syslog)。

用谷歌邮箱发送 i@user.tax 的邮件
谷歌邮箱收件之后，自然希望回信也用 i@user.tax 而不是 i.user.tax@gmail.com 。

访问 https://mail.google.com/mail/u/1/#settings/accounts ，点击 『添加其他电子邮件地址』。

接着，输入被转发到的邮箱收到的验证码即可。

最后，可以将其设置为默认发信地址（同时选择以相同地址回复）。

如此，我们就完成了 SMTP 发信服务器的搭建以及同时用谷歌邮箱收发邮件。

发送测试邮件，检查配置是否成功
进入 ops/chasquid

运行 direnv allow 安装依赖 (前文一键初始化过程中已经安装 direnv 并且在 shell 添加了 hook)

然后运行

user=i@user.tax pass=xxxx to=iuser.link@gmail.com ./sendmail.coffee
参数含义如下

user: SMTP 的用户名
pass: SMTP 的密码
to: 收件人
就可以发送测试邮件了。

建议用 Gmail 收测试邮件，方便查看各项配置是否成功。

TLS 标准加密
如下图，有这个小锁，表示 SSL 证书已经成功启用。

然后点击『显示原始邮件』

DKIM
如下图，Gmail 原始邮件页面显示 DKIM，即为 DKIM 配置成功。

检查原始邮件头部的 Received，还可以看到发信地址是 IPV6，这表示 IPV6 也配置成功了。

https://zhuanlan.zhihu.com/p/612674402?utm_id=0