Руководство по установке самостоятельного хостинга Forward Email для Debian
Обзор
Это руководство содержит пошаговые инструкции по установке решения Forward Email с собственным хостингом на системах Debian. Это руководство специально разработано для Debian 11 (Bullseye) и Debian 12 (Bookworm).
Предпосылки
Перед началом установки убедитесь, что у вас есть:
- Сервер Debian: Версия 11 (Bullseye) или 12 (Bookworm)
- Доступ с правами root: Вы должны иметь возможность запускать команды как root (доступ sudo)
- Доменное имя: Домен, который вы контролируете с помощью доступа к управлению DNS
- Чистый сервер: Рекомендуется использовать новую установку Debian
- Интернет-соединение: Требуется для загрузки пакетов и образов Docker
Системные требования
- RAM: Минимум 2 ГБ (рекомендуется 4 ГБ для производства)
- Хранилище: Минимум 20 ГБ свободного места (рекомендуется 50 ГБ+ для производства)
- CPU: минимум 1 vCPU (для производства рекомендуется 2+ vCPU)
- Сеть: Публичный IP-адрес со следующими доступными портами:
- 22 (SSH)
- 25 (SMTP)
- 80 (HTTP)
- 443 (HTTPS)
- 465 (SMTPS)
- 993 (IMAPS)
- 995 (POP3S)
Пошаговая установка
Шаг 1: Начальная настройка системы
Сначала убедитесь, что ваша система обновлена, и переключитесь на пользователя root:
# Update system packages
sudo apt update && sudo apt upgrade -y
Switch to root user (required for the installation)
sudo su -
Шаг 2: Настройка DNS-резолверов
Настройте свою систему на использование DNS-серверов Cloudflare для надежной генерации сертификатов:
# Stop and disable systemd-resolved if running
if systemctl is-active --quiet systemd-resolved; then
rm /etc/resolv.conf
systemctl stop systemd-resolved
systemctl disable systemd-resolved
systemctl mask systemd-resolved
fi
Configure Cloudflare DNS resolvers
tee /etc/resolv.conf > /dev/null <<EOF
nameserver 1.1.1.1
nameserver 2606:4700:4700::1111
nameserver 1.0.0.1
nameserver 2606:4700:4700::1001
nameserver 8.8.8.8
nameserver 2001:4860:4860::8888
nameserver 8.8.4.4
nameserver 2001:4860:4860::8844
EOF
Шаг 3: Установка системных зависимостей
Установите необходимые пакеты для пересылки электронной почты в Debian:
# Update package list
apt-get update -y
Install basic dependencies (Debian-specific package list)
apt-get install -y
ca-certificates
curl
gnupg
git
openssl
lsb-release
apt-transport-https
software-properties-common
Шаг 4: Установка и настройка Snapd
В Debian по умолчанию не включен snapd, поэтому нам необходимо установить и настроить его:
# Install snapd
apt-get install -y snapd
Enable and start snapd service
systemctl enable snapd
systemctl start snapd
Create symlink for snap to work properly
ln -sf /var/lib/snapd/snap /snap
Wait for snapd to be ready
sleep 10
Verify snapd is working
snap version
Шаг 5: Установка Snap-пакетов
Установите AWS CLI и Certbot с помощью snap:
# Install AWS CLI
snap install aws-cli --classic
Install Certbot and DNS plugin
snap install certbot --classic
snap set certbot trust-plugin-with-root=ok
snap install certbot-dns-cloudflare
Verify installations
aws --version
certbot --version
Шаг 6: Установка Docker
Установите Docker CE и Docker Compose в Debian:
# Add Docker's official GPG key (Debian-specific)
install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/debian/gpg | tee /etc/apt/keyrings/docker.asc
chmod a+r /etc/apt/keyrings/docker.asc
Add Docker repository (Debian-specific)
echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/debian $(lsb_release -cs) stable" | tee /etc/apt/sources.list.d/docker.list
Update package index and install Docker
apt-get update -y
apt-get install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
Install standalone docker-compose as fallback (if plugin doesn't work)
if ! command -v docker-compose &> /dev/null; then
apt-get install -y docker-compose
fi
Verify Docker installation
docker --version
docker compose version || docker-compose --version
Шаг 7: Настройка службы Docker
Убедитесь, что Docker запускается автоматически и работает:
# Enable and start Docker service
systemctl unmask docker
systemctl enable docker
systemctl start docker
Verify Docker is running
docker info
Если Docker не запускается, попробуйте запустить его вручную:
# Alternative startup method if systemctl fails
nohup dockerd >/dev/null 2>/dev/null &
sleep 5
docker info
Шаг 8: Установка и настройка брандмауэра UFW
Минимальные установки Debian могут не включать UFW, поэтому сначала установите его:
# Install UFW if not present
if ! command -v ufw &> /dev/null; then
apt-get update -y
apt-get install -y ufw
fi
Set default policies
ufw default deny incoming
ufw default allow outgoing
Allow SSH (important - don't lock yourself out!)
ufw allow 22/tcp
Allow email-related ports
ufw allow 25/tcp # SMTP
ufw allow 80/tcp # HTTP (for Let's Encrypt)
ufw allow 443/tcp # HTTPS
ufw allow 465/tcp # SMTPS
ufw allow 993/tcp # IMAPS
ufw allow 995/tcp # POP3S
ufw allow 2993/tcp # IMAP (alternative port)
ufw allow 2995/tcp # POP3 (alternative port)
ufw allow 3456/tcp # Custom service port
ufw allow 4000/tcp # Custom service port
ufw allow 5000/tcp # Custom service port
Allow local database connections
ufw allow from 127.0.0.1 to any port 27017 # MongoDB
ufw allow from 127.0.0.1 to any port 6379 # Redis
Enable firewall
echo "y" | ufw enable
Check firewall status
ufw status numbered
Шаг 9: Клонирование репозитория пересылаемой электронной почты
Загрузите исходный код пересылки электронной почты:
# Set up variables
REPO_FOLDER_NAME="forwardemail.net"
REPO_URL="https://github.com/forwardemail/forwardemail.net.git"
ROOT_DIR="/root/$REPO_FOLDER_NAME"
Clone the repository
git clone "$REPO_URL" "$ROOT_DIR"
cd "$ROOT_DIR"
Verify the clone was successful
ls -la
Шаг 10: Настройка конфигурации среды
Подготовьте конфигурацию среды:
# Set up directory variables
SELF_HOST_DIR="$ROOT_DIR/self-hosting"
ENV_FILE_DEFAULTS=".env.defaults"
ENV_FILE=".env"
Copy default environment file
cp "$ROOT_DIR/$ENV_FILE_DEFAULTS" "$SELF_HOST_DIR/$ENV_FILE"
Create SSL directory
mkdir -p "$SELF_HOST_DIR/ssl"
Create database directories
mkdir -p "$SELF_HOST_DIR/sqlite-data"
mkdir -p "$SELF_HOST_DIR/mongo-backups"
mkdir -p "$SELF_HOST_DIR/redis-backups"
Шаг 11: Настройте свой домен
Задайте имя домена и обновите переменные среды:
# Replace 'yourdomain.com' with your actual domain
DOMAIN="yourdomain.com"
Function to update environment file
update_env_file() {
local key="$1"
local value="$2"
if grep -qE "^${key}=" "$SELF_HOST_DIR/$ENV_FILE"; then
sed -i -E "s|^${key}=.*|${key}=${value}|" "$SELF_HOST_DIR/$ENV_FILE"
else
echo "${key}=${value}" >> "$SELF_HOST_DIR/$ENV_FILE"
fi
}
Update domain-related environment variables
update_env_file "DOMAIN" "$DOMAIN"
update_env_file "NODE_ENV" "production"
update_env_file "HTTP_PROTOCOL" "https"
update_env_file "WEB_HOST" "$DOMAIN"
update_env_file "WEB_PORT" "443"
update_env_file "CALDAV_HOST" "caldav.$DOMAIN"
update_env_file "CARDDAV_HOST" "carddav.$DOMAIN"
update_env_file "API_HOST" "api.$DOMAIN"
update_env_file "APP_NAME" "$DOMAIN"
update_env_file "SMTP_HOST" "smtp.$DOMAIN"
update_env_file "SMTP_PORT" "465"
update_env_file "IMAP_HOST" "imap.$DOMAIN"
update_env_file "IMAP_PORT" "993"
update_env_file "POP3_HOST" "pop3.$DOMAIN"
update_env_file "POP3_PORT" "995"
update_env_file "MX_HOST" "mx.$DOMAIN"
update_env_file "SMTP_EXCHANGE_DOMAINS" "mx.$DOMAIN"
update_env_file "SELF_HOSTED" "true"
update_env_file "WEBSITE_URL" "$DOMAIN"
update_env_file "AUTH_BASIC_ENABLED" "true"
Шаг 12: Создание SSL-сертификатов
Вариант A: Ручной DNS-запрос (рекомендуется для большинства пользователей)
# Generate certificates using manual DNS challenge
certbot certonly \
--manual \
--agree-tos \
--preferred-challenges dns \
-d "*.$DOMAIN" \
-d "$DOMAIN"
Важный: При появлении запроса вам необходимо создать записи TXT в DNS. Вы можете увидеть несколько проблем для одного и того же домена - создайте ВСЕ из них. Не удаляйте первую запись TXT при добавлении второй.
Вариант Б: Cloudflare DNS (если вы используете Cloudflare)
Если ваш домен использует Cloudflare для DNS, вы можете автоматизировать генерацию сертификатов:
# Create Cloudflare credentials file
cat > /root/.cloudflare.ini <<EOF
dns_cloudflare_email = "your-email@example.com"
dns_cloudflare_api_key = "your-cloudflare-global-api-key"
EOF
Set proper permissions
chmod 600 /root/.cloudflare.ini
Generate certificates automatically
certbot certonly
--dns-cloudflare
--dns-cloudflare-credentials /root/.cloudflare.ini
-d "$DOMAIN"
-d "*.$DOMAIN"
--non-interactive
--agree-tos
--email "your-email@example.com"
Копии сертификатов
После генерации сертификата скопируйте их в каталог приложения:
# Copy certificates to application SSL directory
cp /etc/letsencrypt/live/$DOMAIN*/* "$SELF_HOST_DIR/ssl/"
Verify certificates were copied
ls -la "$SELF_HOST_DIR/ssl/"
Шаг 13: Генерация ключей шифрования
Создайте различные ключи шифрования, необходимые для безопасной работы:
# Generate helper encryption key
helper_encryption_key=$(openssl rand -base64 32 | tr -d /=+ | cut -c -32)
update_env_file "HELPER_ENCRYPTION_KEY" "$helper_encryption_key"
Generate SRS secret for email forwarding
srs_secret=$(openssl rand -base64 32 | tr -d /=+ | cut -c -32)
update_env_file "SRS_SECRET" "$srs_secret"
Generate TXT encryption key
txt_encryption_key=$(openssl rand -hex 16)
update_env_file "TXT_ENCRYPTION_KEY" "$txt_encryption_key"
Generate DKIM private key for email signing
openssl genrsa -f4 -out "$SELF_HOST_DIR/ssl/dkim.key" 2048
update_env_file "DKIM_PRIVATE_KEY_PATH" "/app/ssl/dkim.key"
Generate webhook signature key
webhook_signature_key=$(openssl rand -hex 16)
update_env_file "WEBHOOK_SIGNATURE_KEY" "$webhook_signature_key"
Set SMTP transport password
update_env_file "SMTP_TRANSPORT_PASS" "$(openssl rand -base64 32)"
echo "✅ All encryption keys generated successfully"
Шаг 14: Обновите пути SSL в конфигурации
Настройте пути сертификатов SSL в файле среды:
# Update SSL paths to point to the correct certificate files
sed -i -E \
-e 's|^(.*_)?SSL_KEY_PATH=.*|\1SSL_KEY_PATH=/app/ssl/privkey.pem|' \
-e 's|^(.*_)?SSL_CERT_PATH=.*|\1SSL_CERT_PATH=/app/ssl/fullchain.pem|' \
-e 's|^(.*_)?SSL_CA_PATH=.*|\1SSL_CA_PATH=/app/ssl/chain.pem|' \
"$SELF_HOST_DIR/$ENV_FILE"
Шаг 15: Настройте базовую аутентификацию
Создайте временные базовые учетные данные аутентификации:
# Generate a secure random password
PASSWORD=$(openssl rand -base64 16)
Update environment file with basic auth credentials
update_env_file "AUTH_BASIC_USERNAME" "admin"
update_env_file "AUTH_BASIC_PASSWORD" "$PASSWORD"
Display credentials (save these!)
echo ""
echo "🔐 IMPORTANT: Save these login credentials!"
echo "=================================="
echo "Username: admin"
echo "Password: $PASSWORD"
echo "=================================="
echo ""
echo "You'll need these to access the web interface after installation."
echo ""
Шаг 16: Развертывание с помощью Docker Compose
Запустите все службы пересылки электронной почты:
# Set Docker Compose file path
DOCKER_COMPOSE_FILE="$SELF_HOST_DIR/docker-compose-self-hosted.yml"
Stop any existing containers
if command -v docker-compose &> /dev/null; then
docker-compose -f "$DOCKER_COMPOSE_FILE" down
else
docker compose -f "$DOCKER_COMPOSE_FILE" down
fi
Pull the latest images
if command -v docker-compose &> /dev/null; then
docker-compose -f "$DOCKER_COMPOSE_FILE" pull
else
docker compose -f "$DOCKER_COMPOSE_FILE" pull
fi
Start all services in detached mode
if command -v docker-compose &> /dev/null; then
docker-compose -f "$DOCKER_COMPOSE_FILE" up -d
else
docker compose -f "$DOCKER_COMPOSE_FILE" up -d
fi
Wait a moment for services to start
sleep 10
Check service status
if command -v docker-compose &> /dev/null; then
docker-compose -f "$DOCKER_COMPOSE_FILE" ps
else
docker compose -f "$DOCKER_COMPOSE_FILE" ps
fi
Шаг 17: Проверка установки
Проверьте, что все службы работают правильно:
# Check Docker containers
docker ps
Check service logs for any errors
if command -v docker-compose &> /dev/null; then
docker-compose -f "$DOCKER_COMPOSE_FILE" logs --tail=50
else
docker compose -f "$DOCKER_COMPOSE_FILE" logs --tail=50
fi
Test web interface connectivity
curl -I https://$DOMAIN
Check if ports are listening
ss -tlnp | grep -E ':(25|80|443|465|587|993|995)'
Конфигурация после установки
Настройка записей DNS
Вам необходимо настроить следующие записи DNS для вашего домена:
Запись MX
@ MX 10 mx.yourdomain.com
А-Рекорды
@ A YOUR_SERVER_IP
mx A YOUR_SERVER_IP
smtp A YOUR_SERVER_IP
imap A YOUR_SERVER_IP
pop3 A YOUR_SERVER_IP
api A YOUR_SERVER_IP
caldav A YOUR_SERVER_IP
carddav A YOUR_SERVER_IP
Запись SPF
@ TXT "v=spf1 mx ~all"
Записи DKIM
Получите свой открытый ключ DKIM:
# Extract DKIM public key
openssl rsa -in "$SELF_HOST_DIR/ssl/dkim.key" -pubout -outform DER | openssl base64 -A
Создайте DNS-запись DKIM:
default._domainkey TXT "v=DKIM1; k=rsa; p=YOUR_DKIM_PUBLIC_KEY"
Запись DMARC
_dmarc TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com"
Первый вход
- Откройте веб-браузер и перейдите на страницу
https://yourdomain.com - Введите базовые учетные данные аутентификации, которые вы сохранили ранее.
- Завершите работу мастера первоначальной настройки
- Создайте свой первый аккаунт электронной почты
Резервная конфигурация
Настройте резервное копирование, совместимое с S3
Настройте автоматическое резервное копирование на S3-совместимое хранилище:
# Create AWS credentials directory
mkdir -p ~/.aws
Configure AWS credentials
cat > ~/.aws/credentials <<EOF
[default]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY
EOF
Configure AWS settings
cat > ~/.aws/config <<EOF
[default]
region = auto
output = json
EOF
For non-AWS S3 (like Cloudflare R2), add endpoint URL
echo "endpoint_url = YOUR_S3_ENDPOINT_URL" >> ~/.aws/config
Настройка заданий Cron для резервного копирования
# Make backup scripts executable
chmod +x "$ROOT_DIR/self-hosting/scripts/backup-mongo.sh"
chmod +x "$ROOT_DIR/self-hosting/scripts/backup-redis.sh"
Add MongoDB backup cron job (runs daily at midnight)
(crontab -l 2>/dev/null; echo "0 0 * * * $ROOT_DIR/self-hosting/scripts/backup-mongo.sh >> /var/log/mongo-backup.log 2>&1") | crontab -
Add Redis backup cron job (runs daily at midnight)
(crontab -l 2>/dev/null; echo "0 0 * * * $ROOT_DIR/self-hosting/scripts/backup-redis.sh >> /var/log/redis-backup.log 2>&1") | crontab -
Verify cron jobs were added
crontab -l
Конфигурация автоматического обновления
Настройте автоматические обновления для вашей установки пересылки электронной почты:
# Create auto-update command (use appropriate docker compose command)
if command -v docker-compose &> /dev/null; then
DOCKER_UPDATE_CMD="docker-compose -f $DOCKER_COMPOSE_FILE pull && docker-compose -f $DOCKER_COMPOSE_FILE up -d"
else
DOCKER_UPDATE_CMD="docker compose -f $DOCKER_COMPOSE_FILE pull && docker compose -f $DOCKER_COMPOSE_FILE up -d"
fi
Add auto-update cron job (runs daily at 1 AM)
(crontab -l 2>/dev/null; echo "0 1 * * * $DOCKER_UPDATE_CMD >> /var/log/autoupdate.log 2>&1") | crontab -
Verify the cron job was added
crontab -l
Особенности Debian
Различия в управлении пакетами
- Снапд: Не устанавливается по умолчанию в Debian, требует ручной установки
- Докер: Использует специфичные для Debian репозитории и ключи GPG
- UFW: Может не входить в минимальную установку Debian
- системд: Поведение может немного отличаться от Ubuntu
Управление услугами
# Check service status (Debian-specific commands)
systemctl status snapd
systemctl status docker
systemctl status ufw
Restart services if needed
systemctl restart snapd
systemctl restart docker
Конфигурация сети
Debian может иметь разные имена сетевых интерфейсов или конфигурации:
# Check network interfaces
ip addr show
Check routing
ip route show
Check DNS resolution
nslookup google.com
Техническое обслуживание и мониторинг
Расположение журналов
- Журналы Docker Compose: Используйте соответствующую команду docker compose в зависимости от установки
- Системные журналы:
/var/log/syslog - Резервное копирование журналов:
/var/log/mongo-backup.log,/var/log/redis-backup.log - Автоматическое обновление журналов:
/var/log/autoupdate.log - Журналы Snapd:
journalctl -u snapd
Регулярные задачи по техническому обслуживанию
- Мониторинг дискового пространства:
df -h - Проверить статус услуги: Используйте соответствующую команду docker compose
- Просмотр журналов: Проверьте журналы приложений и системы
- Обновление системных пакетов:
apt update && apt upgrade - Монитор snapd:
snap listа такжеsnap refresh
Продление сертификата
Сертификаты должны обновляться автоматически, но при необходимости вы можете обновить их вручную:
# Manual certificate renewal
certbot renew
Copy renewed certificates
cp /etc/letsencrypt/live/$DOMAIN*/* "$SELF_HOST_DIR/ssl/"
Restart services to use new certificates
if command -v docker-compose &> /dev/null; then
docker-compose -f "$DOCKER_COMPOSE_FILE" restart
else
docker compose -f "$DOCKER_COMPOSE_FILE" restart
fi
Поиск неисправностей
Проблемы, специфичные для Debian
1. Snapd не работает
# Check snapd status
systemctl status snapd
Restart snapd
systemctl restart snapd
Check snap path
echo $PATH | grep snap
Add snap to PATH if missing
echo 'export PATH=$PATH:/snap/bin' >> ~/.bashrc
source ~/.bashrc
2. Команда Docker Compose не найдена
# Check which docker compose command is available
command -v docker-compose
command -v docker
Use the appropriate command in scripts
if command -v docker-compose &> /dev/null; then
echo "Using docker-compose"
else
echo "Using docker compose"
fi
3. Проблемы с установкой пакета
# Update package cache
apt update
Fix broken packages
apt --fix-broken install
Check for held packages
apt-mark showhold
Распространенные проблемы
1. Служба Docker не запускается
# Check Docker status
systemctl status docker
Check Docker logs
journalctl -u docker
Try alternative startup
nohup dockerd >/dev/null 2>/dev/null &
2. Сбой генерации сертификата
- Убедитесь, что порты 80 и 443 доступны.
- Убедитесь, что записи DNS указывают на ваш сервер
- Проверьте настройки брандмауэра с помощью
ufw status
3. Проблемы с доставкой электронной почты
- Проверьте правильность записей MX.
- Проверьте записи SPF, DKIM и DMARC
- Убедитесь, что порт 25 не заблокирован вашим хостинг-провайдером.
Получение помощи
- Документация: https://forwardemail.net/self-hosted
- Проблемы с GitHub: https://github.com/forwardemail/forwardemail.net/issues
- Документация Debian: https://www.debian.org/doc/
Лучшие практики безопасности
- Регулярно обновляйте систему: Регулярно обновляйте Debian и пакеты
- Журналы мониторинга: Настройка мониторинга журналов и оповещений
- Регулярно делайте резервные копии: Тестовые процедуры резервного копирования и восстановления
- Используйте надежные пароли: Создавайте надежные пароли для всех учетных записей
- Включить Fail2Ban: Рассмотрите возможность установки fail2ban для дополнительной безопасности
- Регулярные проверки безопасности: Периодически проверяйте свою конфигурацию
- Монитор Snapd: Обновляйте пакеты snap с помощью
snap refresh
Заключение
Ваша самостоятельная установка Forward Email теперь должна быть завершена и запущена на Debian. Не забудьте:
- Правильно настройте записи DNS
- Тестовая отправка и получение электронной почты
- Настройте регулярное резервное копирование
- Регулярно контролируйте свою систему
- Обновляйте свою установку
- Мониторинг пакетов snapd и snap
Главные отличия от Ubuntu — это установка snapd и конфигурация репозитория Docker. После их правильной настройки приложение Forward Email ведет себя одинаково на обеих системах.
Дополнительные параметры конфигурации и расширенные функции см. в официальной документации по пересылке электронной почты по адресу https://forwardemail.net/self-hosted#configuration.