A 记录与 CNAME#

MX 记录#

反垃圾邮件 DNS 记录（SPF / DKIM / DMARC）#

邮件送达率（尤其是发送到 Gmail、Outlook 等大厂邮箱）很大程度上取决于这三条记录是否配置正确。

DKIM 记录需要在 Poste.io 部署完成后，从后台 “Virtual domains → 域名 → DKIM” 生成，再添加到 DNS。不要在部署前猜测 DKIM 值。

PTR 记录（反向 DNS） 也非常重要。如果你的 IP 的 PTR 记录是类似 ip-87-45.isp.com 的格式，邮件几乎必定进垃圾箱。联系你的服务器提供商，将 IP 的 PTR 记录设置为 mail.example.com。大部分海外 VPS 在控制面板提供自助设置。

DNS 生效检查#

1
# 检查 A 记录
2
dig +short mail.example.com
3
# 应返回 1.2.3.4
4

5
# 检查 MX 记录
6
dig +short MX example.com
7
# 应返回 mail.example.com
8

9
# 检查 TXT (SPF)
10
dig +short TXT example.com
11
# 应包含 v=spf1 mx ~all

DNS 记录修改后可能需 10 分钟到数小时全球生效，建议在部署前提前配置好，等待 TXT 记录确认生效后再启动容器。

⚠️ Cloudflare 用户注意：如果域名使用 Cloudflare 的 DNS 代理（橙色云朵图标），务必关闭 mail、smtp、imap、pop 等主机记录的 CDN 代理（设为”仅 DNS”）。MX 记录也绝对不能开启代理，否则邮件流量被 Cloudflare 拦截，邮件服务将完全失效。

项目目录结构#

1
poste/
2
├── docker-compose.yml
3
└── data/                # 自动创建，持久化所有数据

docker-compose.yml#

1
services:
2
  mailserver:
3
    container_name: mailserver
4
    hostname: mail.example.com          # 替换为你的域名
5
    image: analogic/poste.io
6
    network_mode: host                   # 必须使用 host 模式
7
    restart: always
8
    environment:
9
      - TZ=Asia/Shanghai
10
      - HTTP_PORT=80
11
      - HTTPS_PORT=443
12
      # 低配机器可开启以下两项以节省内存
13
      # - DISABLE_CLAMAV=TRUE
14
      # - DISABLE_RSPAMD=TRUE
15
    volumes:
16
      - ./data:/data

network_mode: host 是 Poste.io 推荐的网络模式。邮件协议涉及大量端口，host 模式避免了逐个映射的麻烦，也避免了 NAT 导致的性能和安全问题。不要改用 bridge 模式，否则 DKIM 签名等多项功能会出问题。

data/ 目录包含所有邮件数据、SSL 证书、用户信息和配置，备份这个目录就等于备份了整个邮件系统。

启动#

1
mkdir poste && cd poste
2
# 创建 docker-compose.yml
3
docker compose up -d

查看日志确认启动状态：

1
docker compose logs -f

首次启动需要下载镜像（约 400 MB）并初始化数据库，可能需要 1–2 分钟。建议固定使用特定版本号（如 analogic/poste.io:2.3.18）以避免自动更新带来的不确定性。看到 HTTP server started 之类的日志后即可访问。

第一步：访问管理后台#

浏览器打开 https://mail.example.com，首次访问会进入初始化向导。

设置管理员账号（如 admin@example.com）和管理员密码。管理员账号同时也是一个普通邮箱，可以正常收发邮件。

第二步：申请 SSL 证书#

进入后台 → System settings → TLS Certificate：

1. 选择 “Let’s Encrypt” 作为证书来源
2. 填入域名 mail.example.com
3. 填入管理员邮箱
4. 勾选 “Include wildcard” 和 “Auto renew”
5. 点击 “Create certificate”

证书申请需要 80 端口公网可达（Let’s Encrypt HTTP-01 验证），请确保服务器防火墙已开放 80/443 端口。证书获取后，HTTPS 和邮件加密（STARTTLS / SSL/TLS）会自动生效，有效期 90 天，到期自动续期。

如果 80 端口被封锁（部分家庭宽带场景），可以手动上传已有证书，或通过 DNS-01 方式申请 Let’s Encrypt 证书后手动导入。

第三步：配置 DKIM#

进入 Virtual domains → example.com → DKIM：

1. 点击 “Create a new key”
2. 复制生成的 DNS TXT 记录（类似 s20160910378._domainkey.example.com）
3. 添加到你域名的 DNS 配置中
4. 等待 DNS 生效后，回到后台确认显示绿色

作为良好的安全实践，可考虑定期（如每年）轮换 DKIM 密钥，但非强制要求，请根据实际安全策略决定。轮换时在后台生成新密钥并更新 DNS 记录，旧密钥可保留一段时间后再删除。

第四步：创建邮箱账号#

进入 Email accounts → Create a new email：

• 设置用户名的本地部分（如 hello）
• 设置密码
• 选择域名

创建后即可用该账号登录 Webmail 或配置邮件客户端。

Webmail#

直接访问 https://mail.example.com/roundcube（当前主流版本的默认路径），用邮箱地址和密码登录。https://mail.example.com/ 进入管理面板，登录后也可从导航菜单跳转至 Webmail。请以实际部署版本显示为准。内置 Roundcube，界面现代，支持文件夹管理、搜索、附件等常规功能。

桌面/移动客户端#

推荐使用 IMAP + SMTP 465 (SSL/TLS)，兼容性最好。

常见邮件客户端设置要点：

• Outlook / Thunderbird：手动配置时选择 “IMAP/SMTP”，填入上述服务器和端口
• Apple Mail：选择 “其他邮件账户”，填入邮箱地址和密码后手动输入服务器信息
• 移动端：选择 “手动设置” → “IMAP 账号”，填入服务器信息

防火墙端口清单#

确保以下端口已在服务器防火墙（iptables / firewalld / 云服务商安全组）中开放：

发送测试#

用 Webmail 或客户端向自己的外部邮箱（Gmail、QQ 邮箱等）发送一封测试邮件，检查是否收到。

如果邮件进了垃圾箱，参考下一节”提升邮件送达率”进行系统排查。

命令行测试#

1
# 测试 SMTP 连接
2
openssl s_client -connect mail.example.com:465 -crlf
3
EHLO example.com

1
# 测试 IMAP 连接
2
openssl s_client -connect mail.example.com:993 -crlf

1. PTR 记录（反向 DNS）#

大多数邮件服务商会检查发送方 IP 的 PTR 记录。如果你的 IP 的 PTR 是 ip-87-45.isp.com 这种格式，邮件几乎必定进垃圾箱。联系服务器提供商，将 IP 的 PTR 设置为 mail.example.com。

2. SPF 记录#

检查 SPF 是否生效：发送一封邮件到 Gmail，查看原始邮件头中的 spf=pass。

初期可使用 ~all（软拒绝）降低风险，确认一切正常后建议收紧为 -all（硬拒绝）：

1
v=spf1 mx -all

3. DKIM 签名#

检查原始邮件头中的 dkim=pass。如果显示 dkim=none 或 dkim=fail，在 Poste.io 后台确认 DKIM 密钥已生成且 DNS 记录已生效。

4. DMARC 策略#

初期使用 p=none 监控模式，观察一段时间确认无正常邮件被误判：

1
v=DMARC1; p=none; rua=mailto:admin@example.com

稳定后（通常 2–4 周）可逐步收紧为 p=quarantine（可疑邮件进垃圾箱）或 p=reject（直接拒收）。

5. IP 声誉#

新 IP 没有历史信誉记录，送达率天然偏低。持续发送正常邮件（非群发、非营销）2–4 周后，各大邮件服务的信誉评分会逐步提升。

在线检测工具#

• MXToolbox — 检查 MX、SPF、DKIM、DMARC、PTR 等记录
• Mail Tester — 发送一封邮件到测试地址获取详细评分
• DKIMValidator — 验证 DKIM 签名配置