1.

准备工作与选购VPS

选择台湾节点的VPS（例如GCP、AWS台湾区域或本地服务商），推荐Ubuntu 20.04/22.04。准备一个域名（example.com），并确保能管理DNS与申请反向DNS（PTR）。拿到SSH登录信息后先登录：ssh root@your_vps_ip。

2.

系统更新与基础软件安装

更新系统：apt update && apt upgrade -y。安装常用工具：apt install -y vim curl wget git ufw mailutils net-tools telnet.

3.

设置主机名与DNS基础记录

设置主机名：hostnamectl set-hostname mail.example.com。DNS控制台添加：A记录 mail -> VPS公网IP；MX记录 @ -> mail.example.com 优先级10。稍后添加SPF/DKIM/DMARC/TXT记录。

4.

配置防火墙与开放端口

使用ufw：ufw allow OpenSSH; ufw allow 25/tcp; ufw allow 587/tcp; ufw allow 143/tcp; ufw allow 993/tcp; ufw enable。若只提供SMTP提交可只开放587/465。确保云服务商安全组也开放相应端口。

5.

安装Postfix作为SMTP服务器

安装：apt install -y postfix. 在安装时选择“Internet Site”，设置邮件域为 example.com。安装后编辑 /etc/postfix/main.cf，关键设置示例：myhostname = mail.example.com；mydomain = example.com；myorigin = /etc/mailname；inet_interfaces = all；mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain；mynetworks = 127.0.0.0/8。启用TLS与SASL设置见后续。

6.

安装Dovecot接收与SASL认证

安装：apt install -y dovecot-core dovecot-imapd dovecot-pop3d dovecot-lmtpd。配置 /etc/dovecot/dovecot.conf 与 /etc/dovecot/conf.d/10-mail.conf：mail_location = maildir:~/Maildir。启用 auth socket：在 /etc/dovecot/conf.d/10-master.conf 添加 unix_listener /var/spool/postfix/private/auth { mode = 0660 user = postfix group = postfix }。在Postfix main.cf 中添加：smtpd_sasl_type = dovecot；smtpd_sasl_path = private/auth；smtpd_sasl_auth_enable = yes。

7.

启用TLS证书（Let's Encrypt）

安装certbot：apt install -y certbot。停止占用80/443的服务或使用 webroot：certbot certonly --standalone -d mail.example.com。证书路径通常在 /etc/letsencrypt/live/mail.example.com/。在Postfix中设置：smtpd_tls_cert_file=/etc/letsencrypt/live/mail.example.com/fullchain.pem；smtpd_tls_key_file=/etc/letsencrypt/live/mail.example.com/privkey.pem；smtpd_use_tls = yes。Dovecot同样指向相应cert与key。

8.

配置OpenDKIM生成DKIM密钥并与Postfix整合

安装：apt install -y opendkim opendkim-tools。生成密钥：mkdir -p /etc/opendkim/keys/example.com && opendkim-genkey -D /etc/opendkim/keys/example.com/ -d example.com -s default。将 private key 移到 /etc/opendkim/keys/example.com/default.private。配置 /etc/opendkim.conf 和 /etc/default/opendkim，设置域与Selector（default），在Postfix main.cf 添加：milter_default_action = accept；milter_protocol = 2；smtpd_milters = inet:127.0.0.1:8891；non_smtpd_milters = inet:127.0.0.1:8891。然后在DNS添加TXT记录：default._domainkey.example.com 的值为生成的 public key。

9.

添加SPF与DMARC策略

SPF记录（TXT @）："v=spf1 mx a ip4:你的VPS公网IP -all"。DMARC记录（TXT _dmarc）："v=DMARC1; p=quarantine; rua=mailto:postmaster@example.com; ruf=mailto:postmaster@example.com; pct=100"。这个配置能减少被标记为垃圾邮件的概率。

10.

设置PTR（反向DNS）与发件信誉

PTR必须指向 mail.example.com，通常需要在VPS面板或联系供应商设置反向DNS。检查并通过 MXToolbox 等服务检测是否在黑名单。若被列入黑名单需申请解封。

11.

测试发送、接收与排查日志

重启服务：systemctl restart postfix dovecot opendkim。测试SMTP连接：openssl s_client -starttls smtp -crlf -connect mail.example.com:587。用 mail 命令或第三方邮箱发送邮件并检查 /var/log/mail.log 与 /var/log/mail.err。使用 online tools 检查 SPF/DKIM/DMARC 是否生效。

12.

安全性与运维注意事项

限制发信率、防止开放中继：在Postfix设置 smtpd_recipient_restrictions、smtpd_client_restrictions。定期更新系统与密钥，监控 /var/log/mail.log 并设置日志轮转。为防止账户被滥用可启用 fail2ban 针对 postfix/dovecot 的规则。

13.

常见故障与解决思路

若邮件被拒绝：检查 rDNS、SPF、DKIM 签名是否通过；查看 Postfix 报错如 "550 5.7.1"；若无法认证，检查 SASL socket 权限与 dovecot 登录日志。端口被阻断时联系VPS提供商解封25端口或使用外发转发服务。

14.

问：如何确认我的DKIM签名是否生效？

答：发送一封测试邮件到 Gmail 或 use 一个 DKIM 验证工具，查看邮件头是否包含 "DKIM-Signature" 且在 Gmail 的 "原始邮件" 中显示 "Signed-by: example.com"。也可在命令行用 opendkim-testmsg 校验。

15.

问：为什么收件方拒收或进入垃圾箱，如何改进送达率？

答：主要检查 rDNS、SPF、DKIM、DMARC 是否正确，IP是否在黑名单，以及邮件内容是否像垃圾邮件。遵循最佳实践：少量分批发送、合理退订机制、维护良好发送历史。

16.

问：如果VPS被封禁25端口，有替代方案吗？

答：可联系VPS商解封或使用外部SMTP中继（如 SendGrid、Mailgun）通过587/465提交，或使用第三方托管邮件服务结合域名的MX记录迁移。

来源：从零开始搭建台湾vps云服务器邮件系统的完整操作指南