Посібник з встановлення самостійного хостингу для переадресації електронної пошти в Ubuntu

Цей посібник містить покрокові інструкції щодо встановлення самостійно розміщеного рішення Forward Email на системах Ubuntu. Цей посібник спеціально розроблений для версій Ubuntu 20.04, 22.04 та 24.04 LTS.

Перш ніж розпочати встановлення, переконайтеся, що у вас є:

• Сервер Ubuntu: 20.04, 22.04 або 24.04 LTS
• Root-доступ: Ви повинні мати можливість виконувати команди від імені root (доступ sudo)
• Доменне ім'я: Домен, яким ви керуєте з доступом до керування DNS
• Чистий сервер: Рекомендується використовувати чисту інсталяцію Ubuntu
• Підключення до Інтернету: Потрібне для завантаження пакетів та образів Docker

• ОЗП: Мінімум 2 ГБ (рекомендовано 4 ГБ для виробничої версії)
• Сховище: Мінімум 20 ГБ доступного простору (рекомендовано 50 ГБ+ для виробничої версії)
• ЦП: Мінімум 1 віртуальний ЦП (рекомендовано 2+ віртуальних ЦП для виробничої версії)
• Мережа: Публічна IP-адреса з доступними такими портами:
• 22 (SSH)
• 25 (SMTP)
• 80 (HTTP)
• 443 (HTTPS)
• 465 (SMTPS)
• 993 (IMAPS)
• 995 (POP3S)

Крок 1: Початкове налаштування системи

Спочатку переконайтеся, що ваша система оновлена, і перейдіть до root-користувача:

# Update system packages
sudo apt update && sudo apt upgrade -y

# Switch to root user (required for the installation)
sudo su -

Крок 2: Налаштування DNS-резолверів

Налаштуйте свою систему для використання DNS-серверів Cloudflare для надійної генерації сертифікатів:

# Stop and disable systemd-resolved if running
if systemctl is-active --quiet systemd-resolved; then
    rm /etc/resolv.conf
    systemctl stop systemd-resolved
    systemctl disable systemd-resolved
    systemctl mask systemd-resolved
fi

# Configure Cloudflare DNS resolvers
tee /etc/resolv.conf > /dev/null <<EOF
nameserver 1.1.1.1
nameserver 2606:4700:4700::1111
nameserver 1.0.0.1
nameserver 2606:4700:4700::1001
nameserver 8.8.8.8
nameserver 2001:4860:4860::8888
nameserver 8.8.4.4
nameserver 2001:4860:4860::8844
EOF

Крок 3: Встановлення системних залежностей

Встановіть необхідні пакети для пересилання електронної пошти:

# Update package list
apt-get update -y

# Install basic dependencies
apt-get install -y \
    ca-certificates \
    curl \
    gnupg \
    git \
    openssl \
    docker-compose \
    snapd

Крок 4: Встановлення пакетів Snap

Встановіть AWS CLI та Certbot через snap:

# Install AWS CLI
snap install aws-cli --classic

# Install Certbot and DNS plugin
snap install certbot --classic
snap set certbot trust-plugin-with-root=ok
snap install certbot-dns-cloudflare

Крок 5: Встановлення Docker

Встановлення Docker CE та Docker Compose:

# Add Docker's official GPG key
install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | tee /etc/apt/keyrings/docker.asc
chmod a+r /etc/apt/keyrings/docker.asc

# Add Docker repository
echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | tee /etc/apt/sources.list.d/docker.list

# Update package index and install Docker
apt-get update -y
apt-get install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

# Verify Docker installation
docker --version
docker compose version

Крок 6: Налаштування служби Docker

Переконайтеся, що Docker запускається автоматично та працює:

# Enable and start Docker service
systemctl unmask docker
systemctl enable docker
systemctl start docker

# Verify Docker is running
docker info

Якщо Docker не запускається, спробуйте запустити його вручну:

# Alternative startup method if systemctl fails
nohup dockerd >/dev/null 2>/dev/null &
sleep 5
docker info

Крок 7: Налаштування брандмауера

Налаштуйте брандмауер UFW для захисту вашого сервера:

# Set default policies
ufw default deny incoming
ufw default allow outgoing

# Allow SSH (important - don't lock yourself out!)
ufw allow 22/tcp

# Allow email-related ports
ufw allow 25/tcp    # SMTP
ufw allow 80/tcp    # HTTP (for Let's Encrypt)
ufw allow 443/tcp   # HTTPS
ufw allow 465/tcp   # SMTPS
ufw allow 993/tcp   # IMAPS
ufw allow 995/tcp   # POP3S
ufw allow 2993/tcp  # IMAP (alternative port)
ufw allow 2995/tcp  # POP3 (alternative port)
ufw allow 3456/tcp  # Custom service port
ufw allow 4000/tcp  # Custom service port
ufw allow 5000/tcp  # Custom service port

# Allow local database connections
ufw allow from 127.0.0.1 to any port 27017  # MongoDB
ufw allow from 127.0.0.1 to any port 6379   # Redis

# Enable firewall
echo "y" | ufw enable

# Check firewall status
ufw status numbered

Крок 8: Клонування сховища електронної пошти для пересилання

Завантажте вихідний код пересилання електронної пошти:

# Set up variables
REPO_FOLDER_NAME="forwardemail.net"
REPO_URL="https://github.com/forwardemail/forwardemail.net.git"
ROOT_DIR="/root/$REPO_FOLDER_NAME"

# Clone the repository
git clone "$REPO_URL" "$ROOT_DIR"
cd "$ROOT_DIR"

# Verify the clone was successful
ls -la

Крок 9: Налаштування конфігурації середовища

Підготуйте конфігурацію середовища:

# Set up directory variables
SELF_HOST_DIR="$ROOT_DIR/self-hosting"
ENV_FILE_DEFAULTS=".env.defaults"
ENV_FILE=".env"

# Copy default environment file
cp "$ROOT_DIR/$ENV_FILE_DEFAULTS" "$SELF_HOST_DIR/$ENV_FILE"

# Create SSL directory
mkdir -p "$SELF_HOST_DIR/ssl"

# Create database directories
mkdir -p "$SELF_HOST_DIR/sqlite-data"
mkdir -p "$SELF_HOST_DIR/mongo-backups"
mkdir -p "$SELF_HOST_DIR/redis-backups"

Крок 10: Налаштуйте свій домен

Встановіть ім'я вашого домену та оновіть змінні середовища:

# Replace 'yourdomain.com' with your actual domain
DOMAIN="yourdomain.com"

# Function to update environment file
update_env_file() {
  local key="$1"
  local value="$2"

  if grep -qE "^${key}=" "$SELF_HOST_DIR/$ENV_FILE"; then
    sed -i -E "s|^${key}=.*|${key}=${value}|" "$SELF_HOST_DIR/$ENV_FILE"
  else
    echo "${key}=${value}" >> "$SELF_HOST_DIR/$ENV_FILE"
  fi
}

# Update domain-related environment variables
update_env_file "DOMAIN" "$DOMAIN"
update_env_file "NODE_ENV" "production"
update_env_file "HTTP_PROTOCOL" "https"
update_env_file "WEB_HOST" "$DOMAIN"
update_env_file "WEB_PORT" "443"
update_env_file "CALDAV_HOST" "caldav.$DOMAIN"
update_env_file "CARDDAV_HOST" "carddav.$DOMAIN"
update_env_file "API_HOST" "api.$DOMAIN"
update_env_file "APP_NAME" "$DOMAIN"
update_env_file "SMTP_HOST" "smtp.$DOMAIN"
update_env_file "SMTP_PORT" "465"
update_env_file "IMAP_HOST" "imap.$DOMAIN"
update_env_file "IMAP_PORT" "993"
update_env_file "POP3_HOST" "pop3.$DOMAIN"
update_env_file "POP3_PORT" "995"
update_env_file "MX_HOST" "mx.$DOMAIN"
update_env_file "SMTP_EXCHANGE_DOMAINS" "mx.$DOMAIN"
update_env_file "SELF_HOSTED" "true"
update_env_file "WEBSITE_URL" "$DOMAIN"
update_env_file "AUTH_BASIC_ENABLED" "true"

Крок 11: Згенеруйте SSL-сертифікати

Варіант A: Ручний виклик DNS (рекомендовано для більшості користувачів)

# Generate certificates using manual DNS challenge
certbot certonly \
  --manual \
  --agree-tos \
  --preferred-challenges dns \
  -d "*.$DOMAIN" \
  -d "$DOMAIN"

Важливо: Коли з’явиться запит, вам потрібно буде створити TXT-записи у вашому DNS. Ви можете зіткнутися з кількома проблемами для одного й того ж домену – створіть їх УСІ. Не видаляйте перший TXT-запис під час додавання другого.

Варіант B: DNS Cloudflare (якщо ви використовуєте Cloudflare)

Якщо ваш домен використовує Cloudflare для DNS, ви можете автоматизувати генерацію сертифікатів:

# Create Cloudflare credentials file
cat > /root/.cloudflare.ini <<EOF
dns_cloudflare_email = "your-email@example.com"
dns_cloudflare_api_key = "your-cloudflare-global-api-key"
EOF

# Set proper permissions
chmod 600 /root/.cloudflare.ini

# Generate certificates automatically
certbot certonly \
  --dns-cloudflare \
  --dns-cloudflare-credentials /root/.cloudflare.ini \
  -d "$DOMAIN" \
  -d "*.$DOMAIN" \
  --non-interactive \
  --agree-tos \
  --email "your-email@example.com"

Копіювати сертифікати

Після створення сертифікатів скопіюйте їх до каталогу програми:

# Copy certificates to application SSL directory
cp /etc/letsencrypt/live/$DOMAIN*/* "$SELF_HOST_DIR/ssl/"

# Verify certificates were copied
ls -la "$SELF_HOST_DIR/ssl/"

Крок 12: Згенеруйте ключі шифрування

Створіть різні ключі шифрування, необхідні для безпечної роботи:

# Generate helper encryption key
helper_encryption_key=$(openssl rand -base64 32 | tr -d /=+ | cut -c -32)
update_env_file "HELPER_ENCRYPTION_KEY" "$helper_encryption_key"

# Generate SRS secret for email forwarding
srs_secret=$(openssl rand -base64 32 | tr -d /=+ | cut -c -32)
update_env_file "SRS_SECRET" "$srs_secret"

# Generate TXT encryption key
txt_encryption_key=$(openssl rand -hex 16)
update_env_file "TXT_ENCRYPTION_KEY" "$txt_encryption_key"

# Generate DKIM private key for email signing
openssl genrsa -f4 -out "$SELF_HOST_DIR/ssl/dkim.key" 2048
update_env_file "DKIM_PRIVATE_KEY_PATH" "/app/ssl/dkim.key"

# Generate webhook signature key
webhook_signature_key=$(openssl rand -hex 16)
update_env_file "WEBHOOK_SIGNATURE_KEY" "$webhook_signature_key"

# Set SMTP transport password
update_env_file "SMTP_TRANSPORT_PASS" "$(openssl rand -base64 32)"

echo "✅ All encryption keys generated successfully"

Крок 13: Оновіть шляхи SSL у конфігурації

Налаштуйте шляхи SSL-сертифіката у файлі середовища:

# Update SSL paths to point to the correct certificate files
sed -i -E \
  -e 's|^(.*_)?SSL_KEY_PATH=.*|\1SSL_KEY_PATH=/app/ssl/privkey.pem|' \
  -e 's|^(.*_)?SSL_CERT_PATH=.*|\1SSL_CERT_PATH=/app/ssl/fullchain.pem|' \
  -e 's|^(.*_)?SSL_CA_PATH=.*|\1SSL_CA_PATH=/app/ssl/chain.pem|' \
  "$SELF_HOST_DIR/$ENV_FILE"

Крок 14: Налаштування базової автентифікації

Створіть тимчасові базові облікові дані для автентифікації:

# Generate a secure random password
PASSWORD=$(openssl rand -base64 16)

# Update environment file with basic auth credentials
update_env_file "AUTH_BASIC_USERNAME" "admin"
update_env_file "AUTH_BASIC_PASSWORD" "$PASSWORD"

# Display credentials (save these!)
echo ""
echo "🔐 IMPORTANT: Save these login credentials!"
echo "=================================="
echo "Username: admin"
echo "Password: $PASSWORD"
echo "=================================="
echo ""
echo "You'll need these to access the web interface after installation."
echo ""

Крок 15: Розгортання за допомогою Docker Compose

Запустіть усі служби пересилання електронної пошти:

# Set Docker Compose file path
DOCKER_COMPOSE_FILE="$SELF_HOST_DIR/docker-compose-self-hosted.yml"

# Stop any existing containers
docker compose -f "$DOCKER_COMPOSE_FILE" down

# Pull the latest images
docker compose -f "$DOCKER_COMPOSE_FILE" pull

# Start all services in detached mode
docker compose -f "$DOCKER_COMPOSE_FILE" up -d

# Wait a moment for services to start
sleep 10

# Check service status
docker compose -f "$DOCKER_COMPOSE_FILE" ps

Крок 16: Перевірка встановлення

Перевірте, чи всі служби працюють коректно:

# Check Docker containers
docker ps

# Check service logs for any errors
docker compose -f "$DOCKER_COMPOSE_FILE" logs --tail=50

# Test web interface connectivity
curl -I https://$DOMAIN

# Check if ports are listening
netstat -tlnp | grep -E ':(25|80|443|465|587|993|995)'

Налаштування DNS-записів

Вам потрібно налаштувати такі DNS-записи для вашого домену:

Запис MX

@ MX 10 mx.yourdomain.com

Записи A

@ A YOUR_SERVER_IP
mx A YOUR_SERVER_IP
smtp A YOUR_SERVER_IP
imap A YOUR_SERVER_IP
pop3 A YOUR_SERVER_IP
api A YOUR_SERVER_IP
caldav A YOUR_SERVER_IP
carddav A YOUR_SERVER_IP

Запис SPF

@ TXT "v=spf1 mx ~all"

Запис DKIM

Отримайте свій відкритий ключ DKIM:

# Extract DKIM public key
openssl rsa -in "$SELF_HOST_DIR/ssl/dkim.key" -pubout -outform DER | openssl base64 -A

Створити DNS-запис DKIM:

default._domainkey TXT "v=DKIM1; k=rsa; p=YOUR_DKIM_PUBLIC_KEY"

Запис DMARC

_dmarc TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com"

Перший вхід

1. Відкрийте веббраузер і перейдіть до https://yourdomain.com
2. Введіть основні облікові дані автентифікації, які ви зберегли раніше
3. Завершіть роботу майстра початкового налаштування
4. Створіть свій перший обліковий запис електронної пошти

Налаштування резервного копіювання, сумісного з S3

Налаштуйте автоматичне резервне копіювання на сховище, сумісне з S3:

# Create AWS credentials directory
mkdir -p ~/.aws

# Configure AWS credentials
cat > ~/.aws/credentials <<EOF
[default]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY
EOF

# Configure AWS settings
cat > ~/.aws/config <<EOF
[default]
region = auto
output = json
EOF

# For non-AWS S3 (like Cloudflare R2), add endpoint URL
echo "endpoint_url = YOUR_S3_ENDPOINT_URL" >> ~/.aws/config

Налаштувати резервне копіювання завдань Cron

# Make backup scripts executable
chmod +x "$ROOT_DIR/self-hosting/scripts/backup-mongo.sh"
chmod +x "$ROOT_DIR/self-hosting/scripts/backup-redis.sh"

# Add MongoDB backup cron job (runs daily at midnight)
(crontab -l 2>/dev/null; echo "0 0 * * * $ROOT_DIR/self-hosting/scripts/backup-mongo.sh >> /var/log/mongo-backup.log 2>&1") | crontab -

# Add Redis backup cron job (runs daily at midnight)
(crontab -l 2>/dev/null; echo "0 0 * * * $ROOT_DIR/self-hosting/scripts/backup-redis.sh >> /var/log/redis-backup.log 2>&1") | crontab -

# Verify cron jobs were added
crontab -l

Налаштуйте автоматичні оновлення для вашої інсталяції Forward Email:

# Create auto-update command
DOCKER_UPDATE_CMD="docker compose -f $DOCKER_COMPOSE_FILE pull && docker compose -f $DOCKER_COMPOSE_FILE up -d"

# Add auto-update cron job (runs daily at 1 AM)
(crontab -l 2>/dev/null; echo "0 1 * * * $DOCKER_UPDATE_CMD >> /var/log/autoupdate.log 2>&1") | crontab -

# Verify the cron job was added
crontab -l

Розташування журналів

• Журнали Docker Compose: docker compose -f $DOCKER_COMPOSE_FILE logs
• Системні журнали: /var/log/syslog
• Журнали резервного копіювання: /var/log/mongo-backup.log, /var/log/redis-backup.log
• Журнали автоматичного оновлення: /var/log/autoupdate.log

Регулярні завдання з технічного обслуговування

1. Моніторинг дискового простору: df -h
2. Перевірка стану служби: docker compose -f $DOCKER_COMPOSE_FILE ps
3. Перегляд журналів: docker compose -f $DOCKER_COMPOSE_FILE logs --tail=100
4. Оновлення системних пакетів: apt update && apt upgrade
5. Поновлення сертифікатів: Сертифікати автоматично поновлюються, але відстежується термін їх дії

Поновлення сертифіката

Сертифікати повинні автоматично поновлюватися, але за потреби ви можете поновити їх вручну:

# Manual certificate renewal
certbot renew

# Copy renewed certificates
cp /etc/letsencrypt/live/$DOMAIN*/* "$SELF_HOST_DIR/ssl/"

# Restart services to use new certificates
docker compose -f "$DOCKER_COMPOSE_FILE" restart

Поширені проблеми

1. Служба Docker не запускається

# Check Docker status
systemctl status docker

# Try alternative startup
nohup dockerd >/dev/null 2>/dev/null &

2. Не вдалося створити сертифікат

• Переконайтеся, що порти 80 та 443 доступні
• Перевірте, чи записи DNS вказують на ваш сервер
• Перевірте налаштування брандмауера

3. Проблеми з доставкою електронної пошти

• Перевірте правильність записів MX
• Перевірте записи SPF, DKIM та DMARC
• Переконайтеся, що порт 25 не заблоковано вашим хостинг-провайдером

4. Веб-інтерфейс недоступний

• Перевірте налаштування брандмауера: ufw status
• Перевірте SSL-сертифікати: openssl x509 -in $SELF_HOST_DIR/ssl/fullchain.pem -text -noout
• Перевірте основні дані для авторизації

Отримання допомоги

• Документація: https://forwardemail.net/self-hosted
• Проблеми GitHub: https://github.com/forwardemail/forwardemail.net/issues
• Підтримка спільноти: Перегляньте обговорення проєкту на GitHub

1. Оновлюйте систему: Регулярно оновлюйте Ubuntu та пакети
2. Моніторинг журналів: Налаштуйте моніторинг журналів та сповіщення
3. Регулярне резервне копіювання: Тестуйте процедури резервного копіювання та відновлення
4. Використовуйте надійні паролі: Створюйте надійні паролі для всіх облікових записів
5. Увімкніть Fail2Ban: Розгляньте можливість встановлення fail2ban для додаткової безпеки
6. Регулярні аудити безпеки: Періодично переглядайте свою конфігурацію

Ваша власна інсталяція Forward Email тепер має бути завершена та працювати в Ubuntu. Пам’ятайте:

1. Правильно налаштуйте записи DNS
2. Перевірте надсилання та отримання електронної пошти
3. Налаштуйте регулярне резервне копіювання
4. Регулярно контролюйте свою систему
5. Оновлюйте інсталяцію

Щоб дізнатися про додаткові параметри налаштування та розширені функції, зверніться до офіційної документації Forward Email за адресою https://forwardemail.net/self-hosted#configuration.