Własny serwer SMTP na polskim VPS brzmi jak dobry pomysł — pełna kontrola nad dostarczalnością, brak limitów zewnętrznych dostawców i możliwość integracji z dowolnym narzędziem do mailingu. Problem w tym, że Mikrus i VPS home.pl mają swoje specyficzne ograniczenia, które potrafią zatopić niejedną konfigurację już na starcie. Ten poradnik przeprowadzi Cię przez cały proces: od wyboru portów, przez instalację Postfixa, po wystawienie certyfikatu SSL — z konkretnymi komendami i listą błędów, których warto uniknąć.
Zanim zaczniesz — co musisz wiedzieć o polskich VPS-ach
Mikrus to tania platforma VPS oparta na OpenVZ/LXC, popularna wśród polskich deweloperów i małych firm. VPS home.pl to oferta jednego z największych polskich hostingodawców, oparta na KVM. Obie platformy różnią się istotnie pod kątem konfiguracji poczty — i obie mają jedno wspólne: port 25 jest domyślnie zablokowany na poziomie sieci operatora.
Blokada portu 25 (SMTP) to standard wśród dostawców chmurowych i VPS-ów — stosują ją m.in. AWS, Google Cloud, OVH, Hetzner, a także polscy operatorzy. Celem jest ograniczenie spamu wychodzącego z nowych serwerów. Zanim zaczniesz konfigurować cokolwiek, sprawdź, czy port 25 jest dostępny — i jeśli nie, złóż wniosek o jego odblokowanie lub zmień strategię na port 587/465.
Jak sprawdzić dostępność portów
Na samym serwerze możesz użyć telnet lub nc, ale to nie wystarczy — musisz sprawdzić dostępność z zewnątrz. Najprostszy sposób to narzędzie online (np. portchecker.io) albo komenda z innego serwera:
nc -zv twój.adres.ip 25 587 465
Jeśli port 25 jest zablokowany, a chcesz wysyłać pocztę bezpośrednio do innych serwerów MX (bez relay), musisz skontaktować się z supportem Mikrusa lub home.pl i poprosić o odblokowanie. W przypadku home.pl wystarczy zwykle ticket — czas oczekiwania to 1–3 dni robocze. Mikrus ma formularz w panelu klienta.
Wybór portów SMTP — 25, 465 czy 587?
To jeden z najczęściej mylonych tematów. Poniżej tabela z jasnym podziałem:
| Port | Nazwa | Szyfrowanie | Zastosowanie |
|---|---|---|---|
| 25 | SMTP | STARTTLS (opcjonalnie) | Komunikacja między serwerami MX (MTA–MTA) |
| 465 | SMTPS | SSL/TLS od razu (implicit) | Klienci pocztowi — starszy standard, wciąż używany |
| 587 | Submission | STARTTLS (wymagane) | Klienci pocztowi i aplikacje — aktualny standard (RFC 6409) |
Rekomendacja praktyczna: jeśli konfigurujesz SMTP do wysyłki z aplikacji lub narzędzia do mailingu (np. MailerPRO), używaj portu 587 z STARTTLS. To aktualny standard zgodny z RFC 6409, obsługiwany przez praktycznie wszystkich klientów. Port 465 możesz włączyć dodatkowo dla zgodności ze starszymi systemami. Port 25 zostaw wyłącznie do odbioru poczty i komunikacji MTA–MTA.
Instalacja i podstawowa konfiguracja Postfixa
Postfix to najpopularniejszy MTA na Linuxie — stabilny, dobrze udokumentowany i obsługiwany przez wszystkie główne dystrybucje. Na Mikrusie (Debian/Ubuntu) instalacja wygląda tak:
apt update && apt install postfix mailutils -y
Podczas instalacji wybierz tryb „Internet Site" i podaj FQDN swojego serwera (np. mail.twojadomena.pl). To ważne — Postfix użyje tej nazwy w komunikacji SMTP (komenda EHLO/HELO), a jej brak lub niezgodność z rekordem PTR to prosta droga do trafienia na czarne listy.
Kluczowe parametry w main.cf
Plik konfiguracyjny Postfixa to /etc/postfix/main.cf. Poniżej najważniejsze parametry, które musisz ustawić poprawnie:
- myhostname — pełna nazwa hosta (FQDN), np.
mail.twojadomena.pl. Musi być zgodna z rekordem PTR (rDNS). - mydomain — domena główna, np.
twojadomena.pl. - myorigin — domena używana w adresie nadawcy, ustaw na
$mydomain. - inet_interfaces — na serwerze wysyłkowym ustaw
alllub konkretny adres IP. - inet_protocols — jeśli nie masz IPv6, ustaw
ipv4, aby uniknąć problemów z timeoutami. - smtpd_relay_restrictions — koniecznie ogranicz relay do autoryzowanych użytkowników:
permit_sasl_authenticated, reject.
Włączenie portu 587 (submission)
Domyślnie Postfix nasłuchuje tylko na porcie 25. Aby włączyć port 587, edytuj plik /etc/postfix/master.cf i odkomentuj (lub dodaj) linię:
submission inet n - y - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
Po każdej zmianie w plikach konfiguracyjnych uruchom: systemctl reload postfix. Sprawdź nasłuchiwanie komendą ss -tlnp | grep master.
Certyfikat SSL/TLS — Let's Encrypt krok po kroku
Bez ważnego certyfikatu SSL Twój serwer SMTP będzie odrzucany przez coraz więcej odbiorców — Google i Microsoft już od 2024 roku zaostrzają wymagania wobec serwerów wysyłkowych. Na szczęście Let's Encrypt pozwala wystawić certyfikat bezpłatnie w kilka minut.
Wystawienie certyfikatu przez Certbot
Zainstaluj Certbota i wystaw certyfikat dla domeny mailowej:
apt install certbot -y
certbot certonly --standalone -d mail.twojadomena.pl
Tryb --standalone uruchamia tymczasowy serwer HTTP na porcie 80 — upewnij się, że port 80 jest otwarty w firewallu i żaden inny proces go nie zajmuje. Jeśli na serwerze działa już nginx lub Apache, użyj trybu --webroot lub odpowiedniego pluginu.
Podpięcie certyfikatu do Postfixa
Po wystawieniu certyfikatu dodaj do main.cf:
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.twojadomena.pl/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.twojadomena.pl/privkey.pem
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
Parametr smtpd_tls_security_level = may oznacza, że TLS jest oferowane, ale nie wymagane (dla kompatybilności z MTA–MTA). Na porcie 587 wymuszasz szyfrowanie przez opcję w master.cf (smtpd_tls_security_level=encrypt). Certbot automatycznie odnawia certyfikaty — dodaj hook, który przeładuje Postfixa po odnowieniu:
echo 'deploy-hook = systemctl reload postfix' >> /etc/letsencrypt/cli.ini
Rekordy DNS, które decydują o dostarczalności
Konfiguracja samego Postfixa to połowa sukcesu. Bez poprawnych rekordów DNS Twoje maile trafią do spamu albo zostaną odrzucone w całości. Oto lista rekordów, które musisz skonfigurować:
- Rekord A / AAAA —
mail.twojadomena.plwskazuje na IP serwera. - Rekord MX —
twojadomena.pl MX 10 mail.twojadomena.pl— wskazuje serwer odbierający pocztę. - Rekord PTR (rDNS) — IP serwera musi rozwiązywać się na
mail.twojadomena.pl. Na Mikrusie ustawiasz to w panelu klienta (zakładka „Reverse DNS"). Na VPS home.pl — przez panel hPanel lub ticket do supportu. - Rekord SPF — np.
v=spf1 ip4:TWOJE.IP mx ~all— autoryzuje Twój serwer do wysyłki w imieniu domeny. - Rekord DKIM — podpis kryptograficzny wiadomości. Do konfiguracji użyj
opendkim. - Rekord DMARC — polityka obsługi wiadomości niespełniających SPF/DKIM, np.
v=DMARC1; p=quarantine; rua=mailto:dmarc@twojadomena.pl.
Brak rekordu PTR to najczęstszy powód, dla którego maile z nowych VPS-ów trafiają do spamu lub są odrzucane przez Gmaila i Outlook. Sprawdź poprawność rDNS komendą: dig -x TWOJE.IP +short.
Typowe pułapki i jak ich uniknąć
Na podstawie problemów zgłaszanych przez użytkowników polskich VPS-ów — oto lista błędów, które najczęściej blokują działanie serwera SMTP:
1. Brak autoryzacji SASL — otwarty relay
Jeśli skonfigurujesz Postfixa bez SASL (Simple Authentication and Security Layer), serwer może działać jako open relay — każdy z zewnątrz będzie mógł przez niego wysyłać maile. To nie tylko problem bezpieczeństwa, ale też gwarancja natychmiastowego trafienia na czarne listy. Zainstaluj libsasl2-modules i sasl2-bin, skonfiguruj smtpd_sasl_auth_enable = yes i bezwzględnie ustaw smtpd_relay_restrictions.
2. Zły hostname w EHLO
Jeśli myhostname w Postfixie nie zgadza się z rekordem PTR, wiele serwerów odbiorczych odrzuci połączenie lub oznaczy wiadomość jako podejrzaną. Sprawdź spójność: postconf myhostname powinien zwrócić tę samą wartość, co dig -x TWOJE.IP +short.
3. IPv6 bez rekordu AAAA i PTR
Na Mikrusie serwery często mają przypisany adres IPv6, a Postfix domyślnie próbuje przez niego nawiązać połączenie. Jeśli nie masz skonfigurowanego rekordu PTR dla IPv6, połączenia będą odrzucane. Rozwiązanie: ustaw inet_protocols = ipv4 w main.cf lub skonfiguruj pełny PTR dla IPv6.
4. Certyfikat wystawiony na złą domenę
Certyfikat musi być wystawiony na dokładnie tę samą nazwę hosta, którą Postfix podaje w komendzie EHLO (myhostname). Jeśli certyfikat jest dla twojadomena.pl, a Postfix przedstawia się jako mail.twojadomena.pl, klienci pocztowi zgłoszą błąd weryfikacji TLS.
5. Firewall blokujący porty wychodzące
Na Mikrusie (OpenVZ) reguły iptables mogą być nadpisywane przez hosta. Sprawdź aktywne reguły: iptables -L -n -v. Jeśli używasz UFW, upewnij się, że porty 25, 465, 587 są otwarte zarówno dla ruchu przychodzącego, jak i wychodzącego.
6. Wysyłka z adresu IP na czarnej liście
Nowe adresy IP VPS-ów — szczególnie z puli współdzielonych — bywają już na czarnych listach (np. Spamhaus PBL). Sprawdź swoje IP na mxtoolbox.com/blacklists przed uruchomieniem produkcyjnej wysyłki. Jeśli IP jest na liście PBL (Policy Block List), wystarczy złożyć wniosek o usunięcie — procedura jest automatyczna i trwa zwykle kilka godzin.
Integracja z narzędziem do mailingu
Po skonfigurowaniu serwera SMTP możesz podłączyć go do dowolnego narzędzia obsługującego własne serwery SMTP. W przypadku MailerPRO wystarczy podać dane w ustawieniach konta: host (mail.twojadomena.pl), port (587), login i hasło użytkownika SASL oraz wybrać szyfrowanie STARTTLS. Dzięki temu całość ruchu pocztowego przechodzi przez Twój serwer — masz pełną kontrolę nad nagłówkami, kolejką i logami.
Warto też skonfigurować monitoring kolejki Postfixa. Komenda mailq pokazuje wiadomości oczekujące na dostarczenie — jeśli kolejka rośnie bez powodu, to sygnał problemu z dostarczalnością lub błędu konfiguracji DNS. Logi Postfixa znajdziesz w /var/log/mail.log (Debian/Ubuntu) lub /var/log/maillog (CentOS/RHEL).
Konfiguracja SMTP na polskim VPS nie jest skomplikowana, ale wymaga uwagi na szczegóły — szczególnie w kwestii rekordów DNS, certyfikatu TLS i autoryzacji SASL. Zacznij od sprawdzenia dostępności portów, skonfiguruj Postfixa z poprawnym hostname, wystaw certyfikat Let's Encrypt i uzupełnij rekordy SPF, DKIM oraz DMARC. Jeśli zrobisz to w tej kolejności, unikniesz 90% problemów, z którymi borykają się administratorzy stawiający własny serwer pocztowy po raz pierwszy.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
