今天折腾了一天邮件服务器，差点没把我给整崩溃。本来以为就是个简单的配置活儿，结果发现安全设置要是没做分分钟变成垃圾邮件中转站。

先从系统环境搞起

我用的还是那台老掉牙的云服务器，装了个Ubuntu系统。第一步就是装Postfix和Dovecot这两个老伙计，安装倒是一路顺风，敲几行命令就完事了。但装完一测试就傻眼了——telnet连上去发现居然能用明文传密码，这要是放公网上不就是裸奔吗？

重点来了：四个保命设置

第一个必须改的是SSL证书。我本来图省事直接用自签名证书，结果发现现在主流邮箱都把这当骗子处理。连夜去申请了个免费证书，虽然折腾到半夜，但好歹把那个烦人的安全警告给消灭了。

第二个关键操作是关掉弱加密算法。默认配置里竟然还留着MD5这种老古董，我直接打开主配置文件，把SSL协议限定在TLSv1.2以上，密码套件只留了AES和CHACHA20这些硬茬子。

第三个狠招是设置反向DNS解析。这个最坑爹，我一开始根本不知道还有这回事。直到发现发的邮件老被扔进垃圾箱，查了半天才知道IP地址得能反查到域名。又跑去云服务商后台折腾了半天解析记录。

一个杀手锏是SPF和DKIM记录。我在DNS里加了TXT记录声明发送权限，还配了DKIM密钥对。现在想想最悬的就是这一步，差点把私钥误传到公开目录里，幸亏测试的时候多看了一眼日志。

踩坑总结

• 千万别用自签名证书，现在连QQ邮箱都直接拒收
• 加密算法宁可少选不能滥选，把RC4这种老弱病残全踢出去
• IP反解析不做好的话，发十封邮件有九封进垃圾箱
• DKIM签名就像给邮件盖钢印，少了这个很多邮箱直接判死刑

现在测试下来基本能稳定送达了，不过哪天要是突然抽风我也毫不意外。这玩意儿就跟养孩子似的，得天天盯着日志看有没有异常登录。反正我算是明白了，建邮件服务器容易，想让它活过三天太难了。