Почтовый веб-сервер: выбор и настройка для корпоративной почты
Корпоративная почта на собственном сервере — это базовая инфраструктура для бизнеса, который хочет контролировать свои коммуникации. Когда письма не теряются в черных ящиках облачных провайдеров, когда вы сами решаете, кто и как получает доступ к переписке, и когда доставляемость писем зависит от ваших настроек, а не от алгоритмов Google. Разберемся, как это работает и что нужно для запуска.
Из чего состоит почтовый сервер
Почтовый веб-сервер — это не одна программа, а связка из трех компонентов, каждый из которых отвечает за свой участок работы.
MTA (Mail Transfer Agent) — это агент, который отправляет и получает письма по протоколу SMTP. Самый популярный вариант в Linux-мире — Postfix. Он принимает письмо от вашего сотрудника, смотрит, куда его нужно доставить, и передает на сервер получателя. Обратный процесс тоже на нем: когда вам пишут, Postfix принимает письмо и сохраняет.
MDA/IMAP-сервер — это Dovecot в большинстве случаев. Он хранит полученные письма и раздает их клиентам по протоколам IMAP или POP3. Когда сотрудник открывает Outlook или Thunderbird, он подключается именно к Dovecot и скачивает свою почту.
Веб-интерфейс — это Roundcube, Rainloop или похожие решения. Нужен, чтобы читать почту через браузер, без установки почтовых клиентов. Удобно для тех, кто работает с разных устройств или не хочет настраивать программы.
Эта троица покрывает полный цикл: отправка, получение, хранение и доступ. Можно обойтись без веб-интерфейса, если все пользуются десктопными клиентами, но в 2025 году это редкость.
Свой сервер или облако: что выбрать
Классическая развилка для IT-директора: поднимать свою инфраструктуру или платить за облачный сервис? Оба варианта работают, но под разные задачи.
| Критерий | Self-hosted (Postfix+Dovecot) | Облако (Яндекс 360, VK WorkSpace) |
|---|---|---|
| Стоимость для 100 ящиков | Сервер ~150 000 ₽ + работа админа | От 20 000 ₽/мес (240 000 ₽/год) |
| Контроль данных | Полный (ФЗ-152 на своей площадке) | Ограниченный (данные у провайдера) |
| Масштабирование до 1000+ | Требует кластеризации | Просто добавляешь ящики |
| Время развертывания | 1-2 недели с настройкой | 1-2 дня |
| Резервное копирование | Настраиваешь сам | Входит в тариф |
Для небольших компаний до 50 человек облачные решения часто удобнее: не надо держать админа, который будет следить за обновлениями и чинить сервер в три часа ночи. Но если у вас 200+ сотрудников, строгие требования по хранению данных (банки, медицина, госсектор) или большие объемы рассылок — свой сервер окупается за полтора-два года.
Импортозамещение добавило в этот расклад российские опции. TEGU Enterprise, RuPost, МойОфис Почта — решения, которые заточены под работу в кластерах и интеграцию с российскими системами безопасности.
| Решение | Архитектура | Масштабируемость | Особенности |
|---|---|---|---|
| TEGU Enterprise | СУБД вместо maildir | До 1 млн+ ящиков | Пароли в LDAP, защита от компрометации |
| RuPost | Кластер PostgreSQL + SDS | До 500 000 ящиков | Готовые шаблоны, интеграция с ИБ |
| МойОфис Почта | Гибридная (файлы + БД) | До 1 млн ящиков | Веб-клиент на русском, поддержка ГОСТ |
TEGU интересен тем, что отказался от традиционного хранения писем в maildir-файлах (это когда каждое письмо — отдельный файл на диске). Вместо этого все складывается в СУБД, что позволяет масштабироваться до сумасшедших объемов и защищает пароли: они хранятся отдельно в LDAP, а не рядом с письмами. Взломал почтовый сервер — не получил автоматически доступ к паролям.
RuPost пошел другим путем: готовые конфигурационные шаблоны для кластеров и интеграция с российскими DLP-системами без допиливания. Установил, настроил пару параметров — и работает. Для тех, кто не хочет месяц разбираться с документацией.
Какое железо нужно для сервера
Если решили поднимать свое, железо подбирается исходя из количества пользователей и объема почты.
Для компании на 100-150 человек стартовый минимум: 8 ядер CPU, 32 ГБ оперативки, 500 ГБ SSD для почтовой базы. Это если считать, что средний ящик весит 2-3 ГБ, а письма не хранятся годами. HDD можно использовать для архивных писем, но активная работа должна идти с SSD — иначе IMAP будет тормозить на больших ящиках.
Для 500-1000 пользователей уже нужна отказоустойчивость: два сервера в кластере, общий массив хранения (NAS или SDS), балансировка нагрузки. И да, обязательно ИБП — почтовый сервер не любит внезапных отключений, это прямой путь к поврежденным базам.
Базовая настройка: быстрый старт
Стандартная связка для Linux — Postfix + Dovecot + Roundcube на Debian или Ubuntu. Процесс занимает несколько часов, если знаешь, что делаешь.
Устанавливаешь пакеты через apt: postfix для SMTP, dovecot-imapd и dovecot-pop3d для доступа к письмам, postfixadmin для веб-управления ящиками, roundcube для веб-клиента. Все это крутится поверх MySQL или PostgreSQL — база нужна для хранения учетных записей, паролей и настроек.
Postfix настраивается через файл main.cf: прописываешь домен, указываешь путь к хранилищу писем, включаешь TLS для шифрования. Dovecot подключаешь к той же базе, чтобы он знал, какие ящики существуют. Roundcube ставишь в веб-сервер (Apache или Nginx), связываешь с IMAP-сервером — и базовая конфигурация готова.
Но это только половина дела.
DNS-записи: без них никуда
Почтовый сервер без правильных DNS-записей — это машина без номеров. Технически она едет, но на дорогу ее не пустят.
MX-запись указывает, куда доставлять почту для вашего домена. Без нее письма вообще не придут.
SPF (Sender Policy Framework) — это список IP-адресов, с которых можно отправлять почту от имени вашего домена. Если письмо пришло с другого адреса — получатель имеет право его отклонить.
DKIM (DomainKeys Identified Mail) — цифровая подпись письма. Ваш сервер подписывает каждое исходящее письмо закрытым ключом, а получатель проверяет подпись открытым ключом из DNS. Если подпись не совпадает — письмо подделано или изменено по пути.
DMARC (Domain-based Message Authentication) — это политика, которая говорит получателю, что делать с письмами, не прошедшими проверку SPF или DKIM. Можно настроить карантин (отправка в спам) или полный отказ (письмо даже не доставляется).
MTA-STS (Mail Transfer Agent Strict Transport Security) — принудительное TLS-шифрование между почтовыми серверами. Без него письма могут передаваться открытым текстом, даже если оба сервера поддерживают шифрование.
Настройка всех этих записей — это 90% доставляемости. Остальное — репутация вашего IP-адреса, но это уже история про то, как не попасть в спам-базы.
Безопасность: чего боятся почтовые серверы
Корпоративная почта — это лакомый кусок для атакующих. Тут и данные, и доступ к внутренним системам, и возможность рассылать фишинг от имени компании.
Первый уровень защиты — фильтры спама и антивирус. RSPAMD анализирует входящие письма и отсеивает мусор. ClamAV проверяет вложения на вирусы. Это базовый минимум, который должен стоять на любом почтовом сервере.
Второй уровень — двухфакторная аутентификация (2FA). Пароли компрометируются регулярно, а 2FA добавляет второй барьер. Настраивается через Dovecot с поддержкой TOTP (приложения вроде Google Authenticator).
Третий уровень — интеграция с корпоративными системами безопасности. 38% компаний перехватывают корпоративную почту для контроля утечек и сохранения коммерческой тайны. Это требует подключения DLP (Data Loss Prevention) и SIEM (Security Information and Event Management). DLP ловит письма с конфиденциальной информацией (номера карт, коммерческие данные), SIEM собирает логи для анализа инцидентов.
Для интеграции с Active Directory или LDAP нужен модуль аутентификации в Dovecot и Postfix. Это позволяет использовать единую базу пользователей: завел учетку в AD — автоматически получил доступ к почте. Уволили сотрудника — отключили учетку, и почта сразу стала недоступна.
Шифрование end-to-end (например, через PGP или S/MIME) — это уже для параноиков или для тех, кто работает с реально чувствительными данными. Но если нужно, почтовый сервер можно настроить на поддержку и этого.
Масштабирование: когда одного сервера мало
При росте компании почтовый сервер упирается в производительность. 1000+ активных ящиков, большие вложения, рассылки на тысячи адресов — один сервер начинает задыхаться.
Кластеризация решает проблему: несколько серверов работают как единая система. Постфикс можно запустить на нескольких машинах с балансировщиком (например, HAProxy), который распределяет нагрузку. Хранилище писем выносится на SAN или SDS — отказоустойчивый массив, доступный всем серверам.
Миграция из Google Workspace или Microsoft Exchange — отдельная боль. Письма переносятся через IMAP-синхронизацию (инструменты вроде imapsync), но пароли не мигрируют — пользователи получают новые. Календари и контакты переносятся отдельно, через экспорт/импорт или специализированные утилиты.
Энергопотребление и охлаждение — это не абстрактные параметры. Почтовый сервер работает 24/7, и если у вас on-premise решение, счета за электричество будут весомыми. Плюс серверная требует кондиционирования. Для малого бизнеса VPS в дата-центре (от 5000 рублей в месяц за приличную конфигурацию) может быть выгоднее собственного железа.
Что в итоге
Почтовый веб-сервер — это инфраструктура, которая требует времени на запуск и внимания в эксплуатации. Но взамен вы получаете контроль над доставляемостью писем, безопасностью данных и возможностью настроить все под свои задачи.
Для кого-то достаточно облачного сервиса — быстро, просто, без головной боли. Для других свой сервер — это вопрос не удобства, а необходимости: требования регуляторов, объемы трафика, интеграция с внутренними системами. Выбор зависит от масштаба компании и того, насколько критична почта для бизнеса. Но если решение принято в пользу своего сервера — оно окупается и долгосрочной экономией, и независимостью от внешних провайдеров.
