随着互联网的发展,人们的通信方式逐渐多样化。网络上出现了众多的通讯软件,例如Telegram、QQ、WeChat、Whatsapp等等。然而这是实时性的,而对于传统的通信方式,例如电邮、BBS这些仍然继续发展,对于重要场合他们具有着非常重要的作用。
拥有具有大品牌可信度的通用邮箱的,例如:Outlook、Gmail、对于大多数人来说足够在日常生活的使用需求了。如果您有特别的需求,可以购买支持开放25端口的VPS,再搭建开箱即用的轻型邮箱软件,例如:
- 使用 Mailcow 搭建自己的域名邮箱:https://blog.abyss.moe/posts/Mailcow/ (简单易用)
- 自建域名邮箱 – Mailcow:https://blog.iswiftai.com/posts/self-hosted-email/ (更加详细)
- [自建邮局]vps+iredmail搭建个人专属邮箱–手把手教程、亲测有效 (低性能的VPS用这个更好)
- 自建邮局 | Poste.io邮箱服务搭建教程 (Docker版,简单快速上手)
- 如何安装和配置Roundcube Webmail (适用于Linux的SMTP&IMAP邮箱系统软件)
这些轻型邮箱软件对于特别需求的人群来说,具有比通用邮箱的更加丰富的功能,更好管理发布自己的邮件。但是毕竟是轻型的,对于SMTP、POP3、IMAP这三个主流的邮件协议,他们只有支持SMTP以及剩下的二个中的一个,或者三个协议的功能是残版的,而且轻型邮箱系统在管理邮件方面上比较欠缺,对于多用户使用来说比较麻烦,一个是注册问题,一个是邮件存储问题,还有一个是邮件收发策略不全面的问题。
因此选用重型邮箱系统软件是大型客户的不二之选,可选的有:Ewomail、Winmail等驰名品牌的重型邮箱系统软件制造商,本次我这里选择 Winmail 。
跳过介绍 —> (点击)
Winmail 应用领域
Winmail 是一款功能强大的邮件服务器软件,适用于多种网络环境和应用场景。无论是作为 Internet 互联网邮件服务器,还是 Intranet 局域网邮件服务器,Winmail 都能提供稳定高效的邮件服务。同时,它完美支持 宽带/FTTB 光纤/LAN/主机托管/VPS/云主机 等多种接入方式,可作为邮件服务器或邮件网关,满足不同规模企业的需求。
Winmail 是 公司企业、大专院校、中小学校、集团组织、政府部门 构建企业邮局系统的理想选择。其低成本、高性能、易维护的特点,特别适合需要自建邮件系统的机构。 此外,Winmail 还为 跨境电商独立站 提供完整的自建邮件系统解决方案,助力业务全球化发展。
Winmail 主要功能
SMTP 服务
SMTP 服务可以支持多域名、域别名、ESMTP发信验证等功能。可以将外发邮件通过MX记录直接递送给目的域名的邮件服务器,也可以将其递送某台外发邮件服务器(如:中继服务商的SMTP服务器), 并支持 SSL 加密通信。
POP3 服务
用户可以通过通用邮件客户端软件 Outlook、Foxmail、网易邮箱大师等来收取服务器上的邮件, 并支持 SSL 加密通信。
IMAP 服务
用户可以通过通用邮件客户端软件 Outlook、Foxmail、网易邮箱大师等来直接操作服务器上的邮件,支持中文邮件夹和子邮件夹, 并支持 SSL 加密通信。
Webmail 服务
内置 Web 服务器,提供多功能的 Webmail,可以进行在网页上在线注册新邮箱、收发邮件、修改密码、设置外部 POP3 邮箱、自动转发、自动回复等操作,并支持 HTTPS 加密端口,目前支持简体中文/繁体中文/英文/法语/德语/日语/韩语/西班牙语等多种语言,提供多风格界面。
提供多种 Webmail 页面类型,支持移动设备:智能手机、平板电脑。 支持使用 Winmail APP 扫码登录。 可发送加密码邮件, 同时也兼容 Foxmail 和腾讯邮箱系统相关功能。 可以查看本邮箱的访问记录、发信记录、删信记录、隔离邮件。 系统后台经过配置后,Webmail 可以在线预览 Office 附件。
MySQL 等数据库支持
系统配置和认证信息默认使用内嵌的本地数据文件,企业版、旗舰版支持内置 MySQL、外部兼容 MySQL 接口的数据库包含 MariaDB、外部兼容 PostgreSQL 接口的数据库、ODBC 包含武汉达梦,几种方式可以切换,数据可以互相迁移。
公用地址簿( 内置 LDAP 服务)
用户可以通过 Webmail 查看公用地址簿中的用户信息,Outlook 也直接访问公用地址簿。
IMAP 公共邮件夹
支持 IMAP 公共邮件夹功能,可以设置读写删除权限,可以通过 Webmail、Office Outlook、Foxmail 等软件查看公共邮件夹里的信息。
密码安全策略
支持密码安全策略,可以设定密码强度,支持定期改密码,可以设置下次登录必须修改密码,不符合规则强制修改密码,批量更新用户密码,支持邮件客户端授权码。 提供邮箱密码被猜解行为检测功能,提供邮箱被盗用转发垃圾邮件行为检测功能,支持异地登录提醒功能。 结合短信平台,支持登录 Webmail 时要求短信验证,实现双因素认证。整合企业微信或者阿里钉钉后,Webmail 登录可以企业微信扫码或者阿里钉钉扫码双因素认证。支持 TOTP APP 双因素认证。用户属性里可以查看密码修改记录。
邮件撤回功能
支持邮件撤回功能,支持 Webmail 和 Outlook,其他客户端发送的邮件满足条件的也可以在 Webmail 上进行撤回。 邮件撤回详细说明
网络磁盘
提供网络磁盘功能,并且可以设置有密码保护的共享。可以通过 Webmail 或 通用的 FTP 客户端软件来上传与下载网络磁盘中的文件。 可以将网络磁盘上的文件以附件方式或者链接方式发邮件。 网络磁盘及共享详细说明
网络行事历与记事本
Webmail 提供网络行事历功能和记事本,用户可以设置事件与任务来提醒完成某项任务,部分功能兼容 Outlook、Foxmail,支持 Webmail 共享。
中继转发
通过别人的邮件服务器(中继服务器)将你的邮件系统的邮件递送到目标地址。 Winmail 支持多中继,即使您服务器的IP在对方的垃圾邮件黑名单中,邮件照发不误。 Winmail 如何使用中继转发(全球收发保证)
邮件监控
管理员可以设置后台监控规则,对系统内的指定邮箱账号所有的接到和发出邮件进行监控,可以设置复杂的规则和多级邮件监控,满足条件的邮件才被监控。
邮件签核
管理员可以限制一些用户发信是否要经过指定管理员签核。签核管理员可以允许和拒绝需要签核的用户发送邮件。可以设置要签核邮件的条件,满足条件的邮件才签核。 支持收件签核。
邮件杀毒
[Windows 平台]:本系统能支持集成查毒引擎在内等多种模式, 有效的隔离和清除带毒邮件。企业版和旗舰版支持内嵌查毒引擎,支持自动更新。 Winmail for Windows 和杀毒引擎配合。 [Linux 平台]支持开源杀毒。
邮件密级
企业版、旗舰版支持用户密级与邮件密级控制,密级从低到高分为“无”、“限制”、“秘密”、“机密”,对应的邮件也分“无”、“限制”、“秘密”、“机密”三个密级,邮箱用户不可以发送和阅读高于自己密级的邮件。
手机 APP
Winmail 专用手机邮件客户端,支持安卓手机、iPhone、iPad,使用 Webmail URL 登录,可支持 https,提供收发邮件、新邮件消息通知、个人地址簿、公共地址簿等功能。 APP 界面截图 APP 下载
微信整合
支持与已认证微信服务号、企业微信整合,可以实现新邮件微信通知(企业微信),微信中登录 Webmail 收发邮件,微信里可以定制邮件相关菜单项。可使用企业微信 APP 扫描登录 Webmail。支持同步企业微信用户和组,后台绑定新邮件通知。 Webmail 登录可以企业微信扫码或发验证码双因素认证。 Winmail 微信绑定
钉钉整合
支持与阿里钉钉企业号整合,钉钉中登录 Webmail 收发邮件,钉钉里可以增加邮件微应用。支持同步钉钉用户和组,后台绑定新邮件通知。可使用钉钉 APP 扫描登录 Webmail。 Webmail 登录可以钉钉扫码或发验证码双因素认证。 Winmail 钉钉绑定
短信提醒
支持短信提醒,有新邮件到达时,可在手机上获得通知。短信支持阿里云和网易云信等服务。可通过短信验证码重设密码。也支持登录 Webmail 时要求短信验证码检查,实现双因素认证。 Winmail 短信功能
双因子验证
Webmail 可配置双因素认证,同时验证邮箱用户密码 + 短信验证码/企业微信扫码或发验证码/钉钉扫码或发验证码/TOTP APP,用户属性密码策略中可设置是否开启双因素认证。
邮箱代理
企业版、旗舰版支持这个功能,邮箱代理也叫邮件秘书,邮箱用户可以授权其他人代为处理邮件,可设置不同权限;一般用于领导授权秘书(代理人)代理处理他的邮件;也可以用在业务员对公用邮箱操作。 可以支持多个代理人。
快速设置向导和系统迁移
本系统的提供快速设置向导工具,只需输入几个简单参数,让您一分钟内设置好邮件系统。支持自动迁移第三方邮件系统账户和邮件数据,自动增加账号,后台使用POP3、IMAP下载原系统邮件,也支持不同域名之间的迁移,以满足更新域名的要求。
多域
支持多域(虚拟域),可以在单机中安装多个邮件域。
AD 认证和第三方认证
系统中的邮箱用户可以与 Windows 系统 AD 用户进行整合,收发邮件的认证采用 AD 进行认证,提高系统的安全性,降低系统维护的复杂性。还支持第三方 LDAP 认证。 企业版[Windows 平台]、旗舰版[Linux 平台]支持自动同步 AD/LDAP 中账户,企业版支持自动同步 AD 组。
用户管理
管理员可以新建、删除、禁用用户邮箱和设置用户邮箱大小、最多的邮件数、最大的允许发邮件字节数,以及用户信息是否公开等。可控制单用户发外部邮件,收外部邮件,修改密码等多项功能权限,可设置有效时间。可按部门管理用户。可以设置只读邮箱,用户无法删除邮件,包括客户端和 Webmail。 用户可以导入和导出。
系统通信组(邮件组、用户组)
管理员可以根据情况设置一些系统通信组,系统会将发往系统通信组的邮件自动分发给每个组成员,支持 Everyone 组,支持外部邮箱地址。支持多层级系统通信组,实现树形企业通讯录。系统通讯组可以导入和导出。 企业版、旗舰版: 系统通信组可以排序,系统通信组成员可以排序。
邮件网关
本系统还可以作为局域网的邮件网关,自动收取远程服务器上指定账号的邮件,然后按照预设定的规则进行邮件分发给本地用户的功能。系统主要以 POP3 收取方式来收取远程邮件。
Push Mail
企业版、旗舰版可以用常用的智能手机和移动设备同步邮件、联系人和日历,支持 iPhone、iPad、Android等, 也支持 Outlook 2013 同步。
远程管理
本系统的管理工具可以远程管理邮件服务器,让管理员可以管理远在托管中心的邮件服务器,并支持同时管理多台服务器,协议采用SSL加密。 允许创建多个管理员,支持单独的域管理员和角色(功能)管理员。 支持 Web 管理,管理员可以进行在网页上在线管理系统的邮箱和域名。
垃圾过滤
本邮件系统还提供了 IP 地址,域名,邮件来源,邮件头内容,邮件信体等方式的过滤,有效的的防止垃圾邮件和非法信息;支持 SPF 、RBL(Real-time Black List)、DBL(Domain Black List) 检查;支持拒绝没有设置 SPF 的域名发信;支持拒绝 IP 不存在 PTR 记录的连接;支持白名单和识别虚假信头;支持过滤指定的附件文件名,类型和附件个数过滤功能。 提供自定义的系统级和邮箱级过滤规则。过滤整合 SpamAssassin,实现智能化自学习过滤。 邮箱用户可以设置个人级发件人黑白名单,个人地址簿中的联系人自动加入白名单。 支持 DKIM 过滤和签名,设置 DKIM 也可以提高外发邮件的到达率。 支持内嵌图片里文字识别(OCR)过滤,支持内嵌图片里二维码内容过滤。 支持垃圾邮件规则库在线更新功能。 垃圾邮件处理方式支持放入隔离区,邮箱用户和管理员可以取回和设置白名单,用户每天会收到系统发的隔离通知邮件。 服务期内支持在线更新垃圾邮件规则库。
分布式部署
企业版、旗舰版支持分布式部署邮件系统,支持单域名多主机,满足多分支机构系统架设需求,支持不同地点不同网络下系统整体化部署,支持同环境下不同主机分但式部署。支持组织内账号、用户组信息同步,支持账号批量迁移。 分布式需要购买多套授权;
计划任务
管理员可以设置一些在某个特定时间或按某一个周期运行的任务,可以设置定期清理用户指定邮件夹下的邮件,处理长期不使用的邮箱。
访问控制
提供 SMTP/POP3/IMAP 服务 IP 访问频率限制的功能。 提供 SMTP/POP3/IMAP 同一 IP 同时连接次数限制的功能。 可以针对特定用户设置特定服务访问控制。
系统日志和流量统计图
提供详细的系统运行日志,分 system(系统)、smtp、pop3、imap、queue(队列)、webmail、admin(管理) ,以便管理员能随时的了解系统运行情况或分析错误信息。 系统日志可以设置记录语言,支持简体、繁体、英文。 显示各系统服务流量统计图。 多种邮箱用户使用情况系统报表,让管理员及时了解系统运行状况。
统计和控制
企业版、旗舰版可以记录用户邮箱访问记录、收信记录和发信记录,记录可以导出,支持发信流量控制,可以设置系统、域、邮箱可以设置每小时和每日发信量。
系统备份和恢复、归档
支持系统级备份和恢复功能,可选择备份系统设置数据和用户邮件数据,可以自动进行。企业版、旗舰版支持实时邮件归档功能,用户和管理员可以在 Web 上查询、下载和恢复系统归档邮件。可以设置备份和归档数据文件保留时间。 Winmail 系统邮件归档
二次开发接口
[Windows/Linux 平台]提供 OpenAPI 二次开发接口,HTTP 协议请求使用 GET/POST 方式,返回数据采用 JSON 格式,可以与其他企业应用整合。
[Windows 平台]提供 COM 接口组件,可以编程操作用户账号,域名,管理员,提供 asp.net、php、Java、C++ 实例。提供远程 http url 开发接口和 Webmail 部分页面嵌入开发说明。
本篇目录
- 安装 Winmail
- 设置 Web 服务反代
- 设置端口转发(如果您安装的是在 Windows VPS 而非虚拟机上的 Windows,只需到开放端口这一步即可)
- 设置邮件路由
- 配置SSL证书(可选)
- 测试邮件服务
- Winmail进程守护
Winmail 目前更新到 7.3 版本,推荐最新版本来安装,本篇使用 Winmail 6.3 版本进行安装。4.8 版本不推荐,因为已经落后了,不适配现在的电子邮件路由的需求,其中 STARTTLS 命令(SSL/TLS 传输)是现在的电子邮件传输必须启用的选项,4.8 是没有这种选项的。关于什么是 STARTTLS ,可从SSL vs TLS vs STARTTLS For CSDN来了解。
Step 1 : 安装 Winmail
1.下载Winmail安装包,选择足够空闲空间的分区
2.点击以开始安装
3.选择安装目录,目录路径不能包含中文!
4.选择组件,最好选择完全安装
5.安装配置,以下图为准
6.设置后台管理密码
7.安装完成,但请取消勾选“现在就启动 Winmail Mail Server”
8.关闭安装界面,打开第二个文件夹,将下面的三个程序,第一个的请复制并覆盖到 Magic Winmail 安装目录 /admin 下,下面的两个请复制并覆盖到 Magic Winmail 安装目录 /server 下
9.打开开始菜单上的Winmail服务器
10.首次设置界面请输入您的选择,设置完成之后会开启Winmail服务器
11.设置完成之后,打开桌面上的Winmail管理工具,会进入连接界面
12.在此界面中请选择“本地主机”,输入你设置的管理用户密码。
13.Winmail管理工具的管理界面
Step 2 : 设置 Web 服务反代
Windows Server版:
1.打开服务器管理器
2.点击“管理(M)”,旋转“添加角色和功能”
3.进入添加向导界面
4.下一步,选择“基于角色或基于功能的安装”
5.下一步,默认选择
6.下一步,勾选“Web 服务器(IIS)”
7.下一步,勾选与IIS相关的功能,并开始安装,跳转此处
Windows 版:
1.打开控制面板,在地址栏上选择“所有控制面板项”
2.打开“程序和功能”,点击“启用或关闭 Windows 功能”
3.会打开添加向导界面,与Windows Server版流程相同,请参照此:跳转此处
8.安装完成之后,打开 IIS 管理器
9.进入管理器界面
10.在“网站”右键,选择“添加网站”
11.按下图操作添加网站,域名请按自己的想法设置,并记录下来因为后面会有用到的。
12.确定后,进入该网站的管理界面
中场休息
13.为了实现IIS反代功能,请下载以下两个模块:
- Application Request Routing:https://www.iis.net/downloads/microsoft/application-request-routing
- URL Rewrite:http://iis.net/downloads/microsoft/url-rewrite
14.设置ARR,进入 IIS 管理器上的服务器总项:
15.选择 IIS 下的“Application Request Routing”
16.打开,在此界面选择“Server Proxy Settings…”
17.进入之后,在此界面上勾选“Enable proxy”,并点击“Apply(应用)”
18.回到我们已经创建的网站界面,确认以下内容:类型:http;端口号:80。再点击“URL 重写”
19.打开之后,点击“添加规则”
20.在此界面中选择“反向代理”
21.在“入站规则”输入Webmail的http端口:127.0.0.1:6080。并勾选“启用SSL卸载”。
22.确定保存之后,打开刚才添加的规则,在“操作”下面检查是否与下图一致,不一致就修改他们,再点“应用”。
23.(可选)在“入站规则”输入Webmail的https端口:127.0.0.1:6443。并勾选“启用SSL卸载”。保存后与22步一样检查是否与第二张图一致。
24.打开游览器,输入http://127.0.0.1:6080,检查web服务运行状态
25.打开您的域名管理,例如:Cloudflare – DNS,添加记录:mail.xxxxx.com ,内容为您的IP(v4和v6均可)
26.打开您的主机上的游览器,输入您设置的域名,即可打开该web页面
Step 3 : 设置端口转发
需要注意的是,如果是您的云主机是Windows VPS,则只需要做到“端口开放”即可。对于Windows虚拟机,则需要使用iptables进行端口转发以实现邮件传出/传入。
由于邮件滥发层出不穷,垃圾邮件比比皆是。因此各大主机服务商都选择把25端口默认上禁用,但是除了国内这非常奇葩的解除限制要求,国外其实是很好地做到解除限制,大多只需要提交工单即可解除限制要求,但是除了AWS等知名主机服务大户,因为AWS是非常地看运气的,给不给是看对面客服的心情和股票涨跌情况,故而不推荐用来当邮件服务器。我所在的Hetzner就更简单了,只需要正常使用一个月左右并按时交付费用,可以申请简单的工单,快速解除限制,甚至的是交完费用后几天就不需要工单,他是可以直接解除的。不过默认开放25端口的主机服务商也有,例如搬瓦工(BandwagonHost)、Racknerd、Greencloudvps等。而且不只是25端口,110、143、465、993、995等端口是否能够开放也是考虑范围之中的。
以本人的 Hetzner 独立服务器为例,使用PVE上的Windows Server 2022 VM,来设置Winmail的端口转发。
1.在Hetzner 独立服务器管理界面上,打开防火墙设置界面
2.设置防火墙传入传出规则,确保以下端口正在开放中
3.由于Hetzner的防火墙是无状态防火墙,就算是点击“save”,可能会出现实际不生效的情况,具体检查方法请在宿主机上打开SSH,输入以下命令:
telnet outlook.com 25
telnet smtp.qq.com 25
输出结果应该是如下:
root@BSX05 ~ # telnet smtp.qq.com 25
Trying 240e:ff:f100:1009::120...
Connected to smtp.qq.com.
Escape character is '^]'.
220 newxmesmtplogicsvrsza29-0.qq.com XMail Esmtp QQ Mail Server.
quti
502 Invalid input from 2a01:4f9:xxxx:xxxx::2 to newxmesmtplogicsvrsza29-0.qq.com
quti^H^Hit
502 Invalid input from 2a01:4f9:xxxx:xxxx::2 to newxmesmtplogicsvrsza29-0.qq.com
quit
221 Bye.
Connection closed by foreign host.
root@BSX05 ~ # telnet -4 smtp.qq.com 25
Trying 43.129.255.54...
Connected to smtp.qq.com.
Escape character is '^]'.
220 newxmesmtplogicsvrszb16-1.qq.com XMail Esmtp QQ Mail Server.
quit
221 Bye.
Connection closed by foreign host.
root@BSX05 ~ # telnet outlook.com 25
Trying 52.96.91.34...
Connected to outlook.com.
Escape character is '^]'.
220 MW3PR06CA0017.outlook.office365.com Microsoft ESMTP MAIL Service ready at Fri, 16 May 2025 09:21:17 +0000 [08DD92D13EB838C7]
quit
221 2.0.0 Service closing transmission channel
Connection closed by foreign host.
root@BSX05 ~ #
输出以上结果即可,如果没有请重新在防火墙保存生效一下。一般 Windows VPS 在此步即可,检查方法是在您本地电脑上面打开命令提示符(cmd),确定安装好telnet之后输入以下命令:
C:\Users\123>telnet <您的公网IP> 25
4.(重点)设置iptables端口转发规则:
在宿主机的SSH上面安装好iptables,添加规则命令如下:
iptables -t nat -A PREROUTING -d <公网IP>/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination <Windows 虚拟机 IP>:25
iptables -t nat -A PREROUTING -d <公网IP>/32 -p tcp -m tcp --dport 110 -j DNAT --to-destination <Windows 虚拟机 IP>:110
iptables -t nat -A PREROUTING -d <公网IP>/32 -p tcp -m tcp --dport 143 -j DNAT --to-destination <Windows 虚拟机 IP>:143
iptables -t nat -A PREROUTING -d <公网IP>/32 -p tcp -m tcp --dport 465 -j DNAT --to-destination <Windows 虚拟机 IP>:465
iptables -t nat -A PREROUTING -d <公网IP>/32 -p tcp -m tcp --dport 587 -j DNAT --to-destination <Windows 虚拟机 IP>:587
iptables -t nat -A PREROUTING -d <公网IP>/32 -p tcp -m tcp --dport 993 -j DNAT --to-destination <Windows 虚拟机 IP>:993
iptables -t nat -A PREROUTING -d <公网IP>/32 -p tcp -m tcp --dport 995 -j DNAT --to-destination <Windows 虚拟机 IP>:995
其中,25为SMTP端口、110为POP3端口、143为IMAP端口、465为安全SMTP端口、993为安全IMAP端口、995为安全POP3端口、587为SMTP(MSA)端口。
执行添加规则之后,如果您有iptables持续化工具,请执行以下命令以保存生效:(墙裂建议)
netfilter-persistent save
netfilter-persistent restart #若修改了位于/etc/iptables下的rules.v4,请执行此命令以重新生效。
没有工具则请执行以下命令以生效:
sudo iptables-save >/dd/iptables.bak #备份规则
sudo iptables-restore </dd/iptables.bak #恢复规则
service iptables save
5.测试SMTP传输
在保存好iptables规则后,为了测试本地邮件传输是否正常,请在宿主机上的SSH输入以下命令以检查:
root@BSX05 ~ # telnet 10.0.0.8 25
Trying 10.0.0.8...
Connected to 10.0.0.8.
Escape character is '^]'.
220 ypvf.org »¶ӭʹԃ´½»¥jԊФ ESMTP ready; Fri, 16 May 2025 13:00:27 +0300
quit
221 closing connection
Connection closed by foreign host.
root@BSX05 ~ # telnet 10.0.0.8 465
Trying 10.0.0.8...
Connected to 10.0.0.8.
Escape character is '^]'.
^C^H^Hquti
Connection closed by foreign host.
root@BSX05 ~ #
###显示乱码,通常是xshell未使用UTF-8编码显示导致的,以220连接为准,这表示邮件端口转发本地有效###
测试本地传输正常,请在本地电脑上面使用命令提示符上的telnet命令以检查在互联网传输情况:
C:\Users\123>telnet 65.108.xxx.xxx 25
输出结果如下:
Step 4 : 设置邮件路由
设置好了邮件端口转发,我们可以利用IP来进行收发互联网邮件,但是暴露IP地址实在不明智,因此要跟上步伐,采用域名方式进行收发邮件是为最好的选择,处理这样的方法比较麻烦但收获颇丰~~~
这次我们使用Cloudflare来进行设置域名方式收发邮件。参考教程:自建邮件服务器,基于iRedMail搭建域名邮局不进垃圾箱
1.在 Windows 虚拟机上,请先设置好DNS,一般宿主机上你设置的DHCP服务的时候顺便把dns也设置了,如果您照我提供的方法,Windows虚拟机会正常接收到DHCP的DNS地址:
Winmail需要正确且速度快的DNS,以此用来使用下面会提到的功能。
2.打开Winmail管理工具,打开“SMTP设置”,在“基本参数”界面上,设置好 HELO/EHLO 主机名,此处可以选择填写公网IP,但极度建议要求填写域名,例如:mail.xxxx.com。
同时请勾选“支持 STARTTLS 命令(SSL/TLS传输)”,这是非常重要的。
3.打开“SMTP设置”的“外发递送”,在此界面上,勾选“直接递送失败后,启用下面递送规则”和“通过 DNS 查询 MX(邮件交换)记录递送”,同时勾选最下面的“远程服务器支持 STARTTLS 时,启用 SSL/TLS 连接”,这是Microsoft Outlook的递送要求,是邮件能在outlook上接收的重要因素。
4.打开“高级设置”下的“系统参数”,进入“基本参数”,本机主机名/IP地址请输入您的根域名:xxxx.com
5.打开同一目录下的“DNS 设置”,选择“使用 Windows 系统中 TCP/IP 设置的 DNS 服务器地址”
6.在您的主机上打开 Cloudflare,在您的域名下点击“DNS”,再次点击“记录”,出现如下界面
7.在邮件路由设置上,我们需要添加A记录、PTR记录、MX记录、Reverse PTR记录、SPF记录、 DKIM记录和DMARC记录,后四个是保证邮件不被进入垃圾邮件下、保证邮箱不被ban的重要因素。请认真对待!
7.1.接下来我们设置A记录,这里同样也设置AAAA记录,是可以在IPv4和IPv6地址上都能收发邮件。当然可以使用CNAME记录,但是禁止使用根域名作为CNAME记录,否则会出现邮件无法收发的情况。
因为邮件交换的特殊性,这里路由设置全部必须把“代理状态”全部改成“仅DNS”,保证邮件交换地址是与设置的MX记录一样,下面是为什么必须改变的原因:
代理状态:仅DNS
7.2.设置MX(邮件交换)记录,用来指示外来的邮件服务端与本地的邮件服务端的地址记录,保证邮件正常派发和接收。
优先级:以10为最高,大于10的优先级是是一个数字地降低。例如:优先级为10的mail.xxxx.com > 优先级为11的mx1.xxxx.com。而且域名设置是有优先级的,在约定俗成下,mail为最高等级,mx1,mx2,mx3等等是次级的,因此通常我们把mail的为10,剩余的相关邮件地址指向记录逐级设置(mx1的为11,mx2的为12等等)。
7.3.设置特定协议的域名,像:smtp.qq.com、pop.qq.com等,习惯于把协议名写在二级域名的位置以使用特定协议来收发邮件。请注意,同样把代理状态设置为“仅DNS”。
这样我们可以做到跟smtp.qq.com一样,使用特定协议域名来使用特定协议收发邮件,大大的方便!
7.4.设置PTR记录,这个是指:把指定的指向邮箱的域名拥有正向的A记录作为指向地址。例如:mail.xxxx.com,正向的A记录应该为您的邮箱所在的公网IP地址。跟上面的A记录设置相同,故而不需要重复一遍。但是这是必须要做的,因为后面的反向PTR记录是要跟这个记录相互搭配,这样外面的邮箱系统有个参考,从而判定此域名所指向的IP地址是否正确,是保证邮箱不被ban和不会进入垃圾箱的重要因素(除了马化腾那个,不给钱都是一律丢垃圾邮件处)。
7.5.设置反向PTR记录,也称为rDNS(反向DNS)记录,一般在云主机的管理界面上面有的,用来将该主机的公网IP解析为关联的域名/主机名,例如,如果您想要让你的邮件找到这个指向域名所在IP是否正确,应该把您的公网IP的解析值设置为mail.xxxx.com,与MX记录一致。
7.6.设置SPF记录,SPF 记录是为了防止垃圾邮件,用于告知收件方从我们所设置的允许列表中发出的邮件都是合法的。SPF记录的设置值可在邮箱配置中的SPF、DKIM、DMARC记录中了解到,如果您希望设置更加严格的话可以从那里修改一下即可。设置SPF记录请添加TXT记录,名称为空或‘@’,并且在内容里面输入您的SPF记录值。这里我设置的为:”v=spf1 mx ~all”,意思是仅允许存在mx记录的通过,其他不允许通过。而且根域名和mail的都要设置SPF记录。
7.7.设置DMARC记录,DMARC记录是基于域的消息身份验证、报告和一致性的缩写。它使用SPF记录或DKIM记录来检查发件人域的授权。它还可以指定如何处理未通过验证的电子邮件,以及向发件人发送反馈报告。设置DMARC记录请添加TXT记录,名称为“ _dmarc ”,并且在内容里面输入您的DMARC记录值。
7.8.(winmail 6.3及更新版本拥有)设置DKIM记录,DKIM记录是域名密钥识别邮件的缩写。它使用加密技术,让发件人域对电子邮件的标题和正文进行签名。这样,接收电子邮件的服务器可以检查电子邮件是否被篡改或伪造。相当于您发送的邮件经过了数字密钥签名,保证邮件在传输中不受恶意篡改。
要设置它,先到Winmail的管理工具上,打开“域名设置”,进入“域名管理”:
点击你使用的邮箱关联的根域名,例如图上的那条根域名,点击“DKIM设置”:
选择器请输入:dkim 或其他名称。然后点击“生成私钥”,同时下方的TXT记录已生成,将TXT记录复制到文本编辑器上进行分解。
回到Cloudflare上面,新建TXT记录,按如下所图进行输入:
名称:dkim._domainkey.xxxx.com的其中:dkim._domainkey或 <您设置的其他名称> ._domainkey
内容:“v=DKIM1(必写); k=rsa; p= <连续的生成私钥> ”。
设置邮件路由必需过程到这里结束了,这样您的邮件可以正常派发了,但是先不着急,因为我们正在使用http类型的域名,Outlook、Gmail这些海外知名邮箱是需要https类型的域名,也就是需要有域名证书才能能够让他们接收您的邮件。
Step 5 : 配置SSL证书
上面说到,我们要与时俱进,保证能够让您的邮件进入“收件箱”而不是“垃圾邮件”的,因此我们需要设置SSL证书在Web服务器上面生效。
由于我们使用IIS进行对Winmail内置的Apache发出的Web服务反向代理到公网上,按照HTTPS连接逻辑,我们只需要对IIS进行设置SSL证书,以此能够在443端口上访问IIS反向代理的Web服务。而且Cloudflare是允许的,不会报证书错误什么的。
因为Cloudflare要求我的网站必须都配置上SSL证书,因此Linux好说,Cloudflare的源证书足够适合的,但是Windows不支持cloudflare提供的源证书:Cloudflare提供的是PEM格式,Windows只支持PFX格式。因此我们采用另一个方法,Cloudflare支持很多家的证书,其中知名的Let’s Encrypt证书也包含在内,它可以提供Windows的PFX格式SSL证书,故而使用它。
在Let‘s Encrypt上面,提供了关于Windows/IIS的证书管理器列表:https://letsencrypt.org/docs/client-options/#clients-windows-/-iis。其中我建议各位使用第二项:Win-ACME。
在Win-ACME上下载:https://github.com/win-acme/win-acme/releases/download/v2.2.9.1701/win-acme.v2.2.9.1701.x64.pluggable.zip
在Windows虚拟机上解压缩到您的Web服务器所在的分区,得到的是:
打开wacs.exe,出现一个命令提示符:
其中 N 的表示是创建证书(默认设置),M 的表示是创建证书(全部选项),R 的表示是运行证书续订,A 的表示是管理证书续订,O 的表示是更多选项,Q 的表示是退出。
我们选择M,输入M之后回车,显示如下:
其中 1 的表示是从 IIS 读取绑定信息,2 的表示是手动输入,3 的表示是由另一个程序创建的CSR,C 的表示是中止
我们选择从 IIS 读取信息,这样更好。输入 1 后回车下一步:
这里的意思是从 IIS 读取到的绑定域名信息如上图,这里我们选择<回车>以选中全部,回车下一步:
翻译:
以上列出了在所选网站上找到的绑定。默认情况下,所有这些绑定都将被包含,但您可以通过输入主机名或标识符(用逗号分隔)选择特定的绑定,或者使用菜单中的选项进行过滤。
P:根据搜索模式选择绑定
R:根据正则表达式选择绑定
A:选择*所有*绑定
绑定标识符或菜单选项:
这里我们建议选择 A ,输入 A 并回车下一步
这里让我们选择主要的主机名,以此作为证书上面的根域名,这里选择默认选项(标绿的那个),回车下一步:
输入 Y 并回车
友好名称,<回车>将会从IIS里面自动提取,或者输入你觉得适合的名称,这里不需要费心,直接<回车>自动提取即可。
翻译:
默认情况下,您的源标识符由单个证书覆盖。但
如果您想避免 100 个域的限制,想要阻止信息
通过 SAN 列表进行披露,和/或减少单个
验证失败,您可以选择将一个源转换为多个源
证书,使用不同的策略。
1:每个域的单独证书(例如 *.example.com)
2:每个主机的单独证书(例如 sub.example.com)
3:每个 IIS 站点的单独证书
4:单个证书
C:中止
是否要将此源拆分为多个证书?:
一般情况下我们选择 1 即可,但是由于上面有个网站的有不同的域名,因此建议选择 4 即可。输入 4 并回车:
翻译:
ACME 服务器需要验证您是域的所有者名称。这种情况发生在初始设置 *and* 用于未来的每次续订。有两种主要方法执行此作:
应答特定 HTTP 请求 (HTTP-01)
或
创建特定 DNS 记录 (DNS-01)。
对于通配符标识符,后者是唯一的选项。
各种附加插件可从
https://github.com/win-acme/win-acme/
上面获取
1:[http] 将验证文件保存在(网络)路径上
2:[http] 从内存中提供验证文件
3: [http] 通过 FTP(S) 上传验证文件
4: [http] 通过 SSH-FTP 上传验证文件
5: [http] 通过 WebDav 上传验证文件
6:[dns] 手动创建验证记录(无法自动续订)
7:[dns] 使用 acme-dns 创建验证记录 (https://github.com/joohoi/acme-dns)
8: [dns] 使用您自己的脚本创建验证记录
9: [tls-alpn] 应答来自 win-acme 的 TLS 验证请求
C:中止
您希望如何证明域的所有权?
这里我们选择默认选项即可,输入 2 并回车:
翻译:
在证明域名的所有权后,我们将创建一个证书签名请求(CSR)以获取实际的证书。CSR 确定证书的属性,例如使用哪种(类型的)密钥。如果您不确定选择什么,RSA 是一个安全的默认选项。
1: 椭圆曲线密钥
2: RSA 密钥
C: 终止
应使用哪种私钥来为证书提供支持?
直接选择 RSA 密钥,输入 2 并回车:
翻译:
当我们获得证书后,您可以通过一种或多种方式进行存储,以便您的应用程序能够访问。Windows 证书存储是互联网信息服务 (IIS) 的默认位置(除非您正在管理一个群集)。
1: IIS 中央证书存储(每个主机的 .pfx 文件)
2: PEM 编码文件(Apache、nginx 等)
3: PFX 压缩包
4: Windows 证书存储(本地计算机)
5: 无(额外)存储步骤
您希望如何存储证书?:
这里我们先存储在Windows 证书存储上,输入 4 回车:
这里我们选择 3 默认,即IIS独立证书存储,输入 3 回车:
下一步我们选择 3 ,把证书以PFX格式存储,输入 3 回车:
提示您输入要存储证书的路径,最好是真实地址,例如您的分区下有已建立的文件夹,如:F:\win-acme 。
回车之后如下图:
翻译:
说明:为导出到文件夹的 .pfx 文件设置的密码。
1:无
2:在控制台中键入/粘贴
3:在 Vault 中搜索
从菜单中选择:
这里我们选择 2 ,因为PFX证书除了本身证书还有密码以验证证书的,输入 2 以回车:
输入您设置的密码,回车:
提示您需要将密码存储在 vault 以未来要使用?这里随您选择,个人选择 y ,输入并回车:
输入您设置的名称,回车:
接下来再存储PEM格式证书以备不时之需,输入 2 回车:
同样这里输入您要存储证书的路径,输入并回车:
为KEY私钥文件设置私钥,这里可以输入您的密码也可以使用生成的随机十六进制密钥。输入 2 或 3,回车:
证书存储完成,输入 5 以退出:
翻译:
将证书保存到您选择的商店后,您可以选择一个
或更新应用程序的更多步骤,例如配置新的
Thumbprint,或更新绑定。
1:在 IIS 中创建或更新绑定
2:启动外部脚本或程序
3:无(额外)安装步骤
应首先运行哪个安装步骤?
这里使用默认选项,即 1 ,输入并回车:
翻译:
此插件将在两个Web 和 FTP 站点,无论这些绑定是否是手动创建的或按程序本身。因此,您永远不需要运行此安装步进两次。
在初始设置期间,它将尝试对 IIS 进行尽可能少的更改
以覆盖源标识符。如果需要新的绑定,默认情况下它会
将在该主机的 HTTP 绑定所在的同一站点上创建这些
发现。
在不同的站点中创建新绑定?(是/否*)
这里选择 n,输入 n 并回车:
输入 3 以退出:
这里表示:已经有证书存在,是否覆写?其实我之前已经做过一次了,各位初次安装可能不会有这个步骤,我这里直接 y ,输入并回车:
等待证书安装
证书已安装,按 Q 退出。
打开 IIS ,点击其中一个网站界面,可以发现“游览网站”下面出现了443(https),代表正式启用了安全HTTPS连接,在游览器输入您的网站域名,可以发现您的网站证书已正式生效:
接下来打开Winmail管理工具,依次点击:系统设置 -> 高级设置 -> SSL/TLS 证书。
点击 “导入” -> “导入新证书”,主机名设置为您设置的 HELO/EHLO 主机名,证书文件和私钥文件选择泛域名 SSL/TLS 证书,如图所示:
点击“确定”,您的证书在Winmail上实时生效:
这样您的服务器和邮箱系统都有了 SSL/TLS 证书,可以使用HTTPS访问邮箱的Web服务,邮箱系统也可以能使用 STARTTLS 协议进行收发邮件。
Step 6 : 测试邮件服务
1.在邮箱系统所在的服务器上检查端口连通情况:
telnet smtp.qq.com 25
2.在您的主机上进行检查端口连通情况:
telnet mail.xxxx.com 25
3. 在刚才的命令提示符上面检查DNS解析情况:
3.1 A记录
nslookup -q=a abc.com
3.2 AAAA记录
nslookup -q=aaaa abc.com
3.3 MX记录
nslookup -q=mx abc.com
3.4 PTR记录(反向)
nslookup -q=ptr <您的公网IP>
3.5 TXT记录
nslookup -q=txt abc.com
3.6 DKIM记录
nslookup -q=txt <您设置的其他名称>._domainkey.xxxx.com
3.7 DMARC记录
nslookup -q=txt _dmarc.xxxx.com
4.打开您的常用邮箱上,发送一封测试用的收件人为您的管理员邮箱的邮件:
打开在您的邮箱上的Web网站,以管理员登录之后,可以看到您发送的TEST邮件:
5.在您的管理员邮箱反向发送TEST邮件到您的常用邮箱上:
6.在您的主机上打开游览器,进入测试你发出邮件的垃圾邮件匹配度网站,将那个收件箱地址复制:
在您的管理员邮箱上发送一封收件人为上图的邮件,内容随意,最好带有图片链接之类的:
发送之后检查“已发送”,如下表示已经正确发送:
然后回到那个邮件检查网站,点击之后:
如上所示是邮件检查结果,可能会有不准确的地方。
Step 7 : Winmail 进程守护
为了确保您的邮箱应该是24小时启用,在您的邮箱服务器上面设置进程守护是最为正确的做法!
1.打开您的邮箱服务器的远程桌面,进入到您的邮箱系统所在位置:
2.进入 Server 文件夹 -> data 文件夹:
3.在此文件夹下方新建一个txt文件,命名为 “mail993”,打开文本:
输入以下内容:
@echo off
setlocal EnableDelayedExpansion
set PORT=993
set "PORT_IN_USE="
:: 查找端口25是否被使用
for /f "tokens=1-5" %%a in ('netstat -ano ^| findstr :!PORT!') do (
set "PID=%%d"
set "PORT_IN_USE=True"
echo Port 993 is in use by PID: !PID!
)
if not defined PORT_IN_USE (
echo Port 993 is not in use. Starting MagicWinmailServer...
net start MagicWinmailServer
if !errorlevel! equ 0 (
echo MagicWinmailServer started successfully.
) else (
echo Failed to start MagicWinmailServer.
)
) else (
echo Port 993 is already in use.
)
endlocal
保存并退出,将后缀名改为“bat”:
4.打开任务计划程序:
点击“创建任务”:
按以下的图示进行设置:
点击“触发器”,再点击“新建”:
按以下的图示进行设置:
点击“操作”,再点击“新建”:
按以下的图示进行设置,位置为您创建的“mail993.bat”的位置:
点击“确定”,再点击“条件”,按如下设置:
点击“设置”,按如下设置:
点击“确定”,弹出验证管理员密码,输入后即可生效:
这样任务计划就生效了,为了测试,请把您的邮箱服务器设置关闭:
再设置任务计划为结束:
如上图所示,点击“运行”,观察那个图标,如显示:
则您设置的进程守护是有效的!
本教程到此,这是一个非常有用的教程,搭建属于自己的真正邮箱是一件开心的事情。
