Serwer pocztowy dla małej firmy – wybór i konfiguracja krok po kroku

W małej firmie liczy się niezawodność, bezpieczeństwo i dostarczalność wiadomości. Poniżej praktyczny przewodnik: wybór stosu (Postfix + Dovecot) i konfiguracja krok po kroku – od TLS i autoryzacji, po SPF/DKIM/DMARC.

Co wybrać w SMB (10–30 użytkowników)?

MTA: Postfix – stabilny, szybki, prosty w utrzymaniu.
IMAP/POP3: Dovecot – niezawodny serwer skrzynek (IMAPS/POP3S) i SASL auth.
Antyspam: Rspamd lub SpamAssassin + ClamAV (opcjonalnie AV).
Webmail: Roundcube (lekki, sprawdzony).
DKIM: OpenDKIM (podpisy wychodzącej poczty).
Backup & monitoring: kopie Dovecot Maildir + monitorowanie kolejek Postfix.

Porty i protokoły – checklist

SMTP (MTA do MTA): 25/TCP – przyjmowanie poczty z Internetu (z filtrami antyspam).
Submission: 587/TCP – wysyłka przez użytkowników (SMTP AUTH, TLS obowiązkowy).
SMTPS: 465/TCP – alternatywny port wysyłki (szyfrowanie od nawiązania).
IMAPS: 993/TCP – odbiór poczty przez klientów (TLS).

Instalacja na Debian/Ubuntu

sudo apt update
sudo apt install postfix dovecot-imapd dovecot-pop3d
# antyspam (jedna z dróg)
sudo apt install rspamd         # lub: spamassassin spamc
# DKIM
sudo apt install opendkim opendkim-tools
# webmail
sudo apt install roundcube

Postfix – podstawowa konfiguracja

main.cf – najważniejsze parametry

# /etc/postfix/main.cf (fragment)
myhostname = mail.twojadomena.pl
myorigin = /etc/mailname
mydestination = localhost
relayhost =
inet_interfaces = all
inet_protocols = ipv4

# TLS
smtpd_tls_cert_file = /etc/letsencrypt/live/twojadomena.pl/fullchain.pem
smtpd_tls_key_file  = /etc/letsencrypt/live/twojadomena.pl/privkey.pem
smtpd_tls_security_level = may
smtp_tls_security_level  = may
smtpd_tls_auth_only = yes
smtp_tls_loglevel = 1
smtpd_tls_loglevel = 1

# SASL (uwierzytelnianie przez Dovecot)
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

# Polityki przyjmowania poczty
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination

# Limity i higiena
disable_vrfy_command = yes
smtpd_helo_required = yes

# Integracja z Rspamd (milter)
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:127.0.0.1:11332
non_smtpd_milters = $smtpd_milters

master.cf – włącz submission (587) i smtps (465)

# /etc/postfix/master.cf (fragment – odkomentuj/zaktualizuj)
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

smtps      inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes

Dovecot – IMAP/POP3 + SASL

# /etc/dovecot/dovecot.conf (fragment)
protocols = imap pop3
ssl = required
ssl_cert = </etc/letsencrypt/live/twojadomena.pl/fullchain.pem
ssl_key  = </etc/letsencrypt/live/twojadomena.pl/privkey.pem

# Uwierzytelnianie (SASL dla Postfix)
service auth {
  unix_listener /var/spool/postfix/private/auth {
    mode = 0660
    user = postfix
    group = postfix
  }
}

# Skrzynki w formacie Maildir (zalecane)
mail_location = maildir:~/Maildir

DKIM – podpisy wiadomości

# /etc/opendkim.conf (fragment)
Syslog                  yes
UMask                   002
Mode                    sv
Canonicalization        relaxed/simple
Domain                  twojadomena.pl
KeyFile                 /etc/opendkim/keys/twojadomena.pl/default.private
Selector                default
Socket                  inet:8891@127.0.0.1

# Postfix → main.cf (już wyżej): dodaj milter do 127.0.0.1:8891, jeśli używasz OpenDKIM
# DNS: dodaj rekord TXT dla default._domainkey.twojadomena.pl z kluczem publicznym

Rekordy DNS – dostarczalność

; A/CNAME dla hosta pocztowego
mail         IN A      203.0.113.10

; PTR (ustaw w panelu dostawcy IP, odwrotne DNS na mail.twojadomena.pl)
; SPF (zezwól tylko własnemu hostowi / dodatkowo np. usługi transakcyjne)
twojadomena.pl. IN TXT "v=spf1 ip4:203.0.113.10 include:_spf.example.com ~all"

; DKIM (klucz publiczny)
default._domainkey.twojadomena.pl. IN TXT "v=DKIM1; k=rsa; p=MIIBI..."

; DMARC – polityka raportowania i egzekwowania
_dmarc.twojadomena.pl. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@twojadomena.pl; ruf=mailto:dmarc@twojadomena.pl; fo=1"

; MTA-STS (opcjonalnie dla wymuszania TLS między MTA)
_mta-sts.twojadomena.pl. IN TXT "v=STSv1; id=20250921"
; TLS-RPT – raporty o problemach TLS
_smtp._tls.twojadomena.pl. IN TXT "v=TLSRPTv1; rua=mailto:tlsrpt@twojadomena.pl"

Antyspam i porządkowanie poczty

Rspamd/SpamAssassin: oznaczaj spam nagłówkiem i przenoś Sieve do folderu Junk.
Sieve (Dovecot): reguły sortowania, auto-odpowiedzi, aliasy.
RBL/URIBL: włącz listy reputacyjne (w Rspamd lub Postfix).

Bezpieczeństwo i dobre praktyki

Wymuś TLS (submission 587 i smtps 465), silne szyfry, aktualne certyfikaty (Let’s Encrypt).
FCrDNS i HELO: nazwa serwera (HELO/EHLO) musi odpowiadać PTR/A.
Rate limiting / throttling: ogranicz tempo wysyłek per użytkownik → mniejsze ryzyko blacklista.
Separate auth from relay: tylko zalogowani przez submission mogą relayować.
Aktualizacje: regularnie aktualizuj Postfix/Dovecot/Rspamd i kernel.

Testy dostarczalności

Wyślij test na skrzynki Gmail/Outlook – sprawdź foldery (Inbox/Spam/Promotions).
Użyj serwisów testujących nagłówki, DKIM, SPF, DMARC (np. tzw. „mail tester”).
Monitoruj queue w Postfix: postqueue -p, logi: journalctl -u postfix -f.

Backup i monitoring

Kopie Maildir (inkrementalne, poza serwer, test odtwarzania).
Snapshoty VM (jeśli wirtualizacja) + eksport konfigów do repozytorium.
Monitoring: obciążenie, zajętość dysku, rozmiar kolejki, certyfikat (dni do wygaśnięcia).

Potrzebujesz szybko uruchomić firmowy serwer pocztowy z wysoką dostarczalnością? Przygotujemy kompletną konfigurację (Postfix/Dovecot, TLS, DKIM, Rspamd, Sieve), wdrożymy monitoring i przetestujemy dostarczalność.