Mailcow – instalacja i aktualizacja serwera poczty w Dockerze
Mailcow to jedno z ciekawszych rozwiązań dla osób, które chcą uruchomić własny serwer poczty bez ręcznego składania Postfixa, Dovecota, Rspamd, SOGo, antywirusa, webmaila i całej reszty usług. Wszystko działa w kontenerach Dockera, a administracja odbywa się z poziomu wygodnego panelu WWW.
W tym artykule pokażę praktyczną instalację Mailcow na serwerze Linux z Dockerem oraz bezpieczną procedurę aktualizacji. Nie będzie to opis „kliknij i zapomnij”, bo serwer poczty wymaga poprawnego DNS, portów, certyfikatów i kopii zapasowych. Będzie za to prosta checklista, która pozwala uniknąć typowych błędów.
W artykule pokażę:
- co sprawdzić przed instalacją Mailcow,
- jak przygotować system i Dockera,
- jak pobrać i uruchomić Mailcow,
- jakie rekordy DNS są potrzebne,
- jak zrobić backup,
- jak bezpiecznie wykonać aktualizację.
Uwaga: własny serwer poczty to nie tylko kontener Docker. Najważniejsze są: poprawny DNS, rekord PTR, otwarty port 25, reputacja adresu IP oraz regularne aktualizacje.
Dlaczego Mailcow?
Mailcow jest wygodny, bo zbiera w jednym projekcie większość elementów potrzebnych do uruchomienia pełnego serwera poczty. W praktyce dostajemy gotowy zestaw usług: SMTP, IMAP, webmail, filtrowanie spamu, obsługę domen, skrzynek, aliasów, certyfikatów oraz panel administracyjny.
Dla małej firmy, laboratorium, homelabu albo środowiska testowego jest to dużo prostsze niż ręczna konfiguracja każdego komponentu osobno. Nadal jednak trzeba pamiętać, że poczta elektroniczna jest wrażliwa na błędy konfiguracyjne. Źle ustawiony DNS albo zablokowany port 25 potrafi sprawić, że technicznie wszystko działa, ale poczta nie dochodzi albo trafia do spamu.
Zanim zaczniesz
Przed instalacją warto przygotować kilka rzeczy:
- serwer VPS lub maszynę wirtualną z publicznym adresem IP,
- pełną wirtualizację, np. KVM, ESXi, Hyper-V lub podobne rozwiązanie,
- system Debian albo Ubuntu,
- minimum 6 GB RAM oraz dodatkowy swap,
- wolne porty usług pocztowych i WWW,
- domenę, którą będziesz obsługiwać w Mailcow,
- możliwość ustawienia rekordu PTR/reverse DNS u operatora serwera.
Ważne: Mailcow nie powinien być uruchamiany w LXC/OpenVZ. To rozwiązanie najlepiej traktować jako usługę dla normalnej maszyny wirtualnej lub serwera fizycznego.
Porty, które muszą być wolne
Na początku sprawdź, czy na serwerze nie działa już inny serwer WWW albo inny MTA, np. Exim, Postfix z systemu albo stary kontener pocztowy.
ss -tlpn | grep -E -w '25|80|110|143|443|465|587|993|995|4190'Najważniejsze porty dla Mailcow to:
25/tcp– SMTP, odbieranie poczty z Internetu,465/tcp– SMTPS,587/tcp– Submission, wysyłka poczty przez użytkowników,143/tcpi993/tcp– IMAP i IMAPS,110/tcpi995/tcp– POP3 i POP3S,4190/tcp– ManageSieve,80/tcpi443/tcp– panel WWW, webmail i certyfikaty.
Jeżeli któryś z tych portów jest już zajęty, instalacja może się uruchomić częściowo albo zakończyć błędem. Warto rozwiązać ten problem przed startem kontenerów, a nie dopiero po fakcie.
DNS – najważniejszy element całej instalacji
Dla przykładu przyjmijmy, że serwer Mailcow będzie działał pod adresem:
mail.example.plMinimalnie warto przygotować:
- rekord
Adlamail.example.plwskazujący na publiczny adres IPv4 serwera, - opcjonalnie rekord
AAAA, jeśli używasz IPv6, - rekord
MXdomeny wskazujący namail.example.pl, - rekord
PTRdla adresu IP, również wskazujący namail.example.pl, - rekordy SPF, DKIM i DMARC – część z nich Mailcow podpowie po dodaniu domeny w panelu.
Praktyczna rada: bez poprawnego PTR poczta może działać technicznie, ale z dużym ryzykiem problemów z dostarczalnością. W przypadku VPS rekord PTR zwykle ustawia się w panelu operatora.
Instalacja Mailcow krok po kroku
Krok 1: Aktualizacja systemu
Na początku aktualizujemy system i instalujemy podstawowe narzędzia wymagane przez instalator.
apt update
apt upgrade -y
apt install -y git openssl curl gawk coreutils grep jqKrok 2: Instalacja Dockera
Mailcow zaleca używanie aktualnego Dockera, a nie bardzo starej wersji z repozytorium dystrybucji. Najprostsza metoda instalacji na Debianie/Ubuntu wygląda tak:
curl -sSL https://get.docker.com/ | CHANNEL=stable sh
systemctl enable --now dockerPo instalacji sprawdź wersję:
docker versionKrok 3: Instalacja Docker Compose jako plugin
W nowych instalacjach najwygodniej używać składni docker compose, czyli bez myślnika.
apt update
apt install -y docker-compose-pluginSprawdzenie wersji:
docker compose versionKrok 4: Pobranie Mailcow
Przechodzimy do katalogu /opt, pobieramy oficjalne repozytorium i uruchamiamy generator konfiguracji.
cd /opt
git clone https://github.com/mailcow/mailcow-dockerized
cd mailcow-dockerized
./generate_config.shPodczas generowania konfiguracji podaj pełną nazwę hosta, np.:
mail.example.plPo wygenerowaniu konfiguracji warto zajrzeć do pliku:
nano mailcow.confNa tym etapie można sprawdzić m.in. nazwę hosta, ustawienia IPv6, porty oraz ewentualne dodatkowe parametry.
Krok 5: Uruchomienie Mailcow
Gdy konfiguracja jest gotowa, pobieramy obrazy i uruchamiamy kontenery:
docker compose pull
docker compose up -dPierwsze pobieranie obrazów może potrwać dłuższą chwilę. Po starcie sprawdź stan kontenerów:
docker compose psLogi można podejrzeć poleceniem:
docker compose logs --tail=100Pierwsze logowanie
Panel administracyjny powinien być dostępny pod adresem:
https://mail.example.pl/adminDomyślne dane logowania to:
login: admin
hasło: moohooUwaga: hasło administratora należy zmienić od razu po pierwszym logowaniu. Warto też włączyć dodatkowe zabezpieczenia konta administracyjnego.
Dodanie domeny i rekordów DNS
Po zalogowaniu dodaj domenę pocztową, np. example.pl. Mailcow podpowie rekordy DNS, które należy ustawić u operatora domeny. Szczególnie ważne są:
- MX – wskazanie serwera poczty,
- SPF – informacja, kto może wysyłać pocztę z domeny,
- DKIM – podpisywanie poczty kluczem domeny,
- DMARC – polityka obsługi wiadomości, które nie przejdą SPF/DKIM.
Po zmianach DNS trzeba odczekać na propagację rekordów. W praktyce część zmian działa po kilku minutach, ale pełna propagacja może potrwać dłużej.
Backup Mailcow
Przed każdą większą zmianą i przed aktualizacją warto wykonać backup. Mailcow dostarcza do tego gotowy skrypt:
cd /opt/mailcow-dockerized
./helper-scripts/backup_and_restore.sh backup all --delete-days 14Można też wskazać katalog backupu przez zmienną środowiskową:
MAILCOW_BACKUP_LOCATION=/mnt/backup/mailcow \
./helper-scripts/backup_and_restore.sh backup all --delete-days 14W środowisku produkcyjnym warto dodatkowo wykonywać snapshot maszyny wirtualnej albo kopię katalogów na zewnętrzny system backupu. Sam fakt, że usługa działa w Dockerze, nie zastępuje kopii zapasowej.
Moja zasada: najpierw backup, potem aktualizacja. Nigdy odwrotnie.
Aktualizacja Mailcow
Aktualizacja Mailcow jest bardzo prosta, ale nie należy jej wykonywać „w ciemno”. Najpierw warto sprawdzić, czy aktualizacja jest dostępna:
cd /opt/mailcow-dockerized
./update.sh --checkJeżeli wszystko wygląda poprawnie, wykonujemy backup:
./helper-scripts/backup_and_restore.sh backup all --delete-days 14Dopiero po backupie uruchamiamy właściwą aktualizację:
./update.shSkrypt sam pobierze zmiany, obrazy kontenerów i w razie potrzeby zada dodatkowe pytania. Po aktualizacji sprawdzamy stan usług:
docker compose ps
docker compose logs --tail=100Jeżeli chcesz tylko posprzątać stare obrazy po aktualizacjach, można użyć:
./update.sh --gcCo sprawdzić po aktualizacji?
Po aktualizacji warto wykonać krótką checklistę:
- czy wszystkie kontenery są uruchomione,
- czy panel administracyjny działa,
- czy webmail SOGo działa,
- czy można wysłać wiadomość na zewnątrz,
- czy można odebrać wiadomość z zewnątrz,
- czy certyfikat TLS jest poprawny,
- czy w logach nie ma powtarzających się błędów.
Przydatne polecenia:
docker compose ps
docker compose logs --tail=200 -f
ss -tlpn | grep -E -w '25|80|110|143|443|465|587|993|995|4190'Najczęstsze problemy
Port 25 jest zablokowany
To jeden z najczęstszych problemów. Wielu operatorów VPS blokuje port 25 wychodzący lub przychodzący, szczególnie na nowych kontach. Bez portu 25 serwer poczty nie będzie poprawnie wymieniał wiadomości z Internetem.
Brak rekordu PTR
Jeżeli adres IP nie ma poprawnego reverse DNS, część serwerów może odrzucać pocztę albo traktować ją jako podejrzaną. PTR powinien wskazywać na nazwę hosta Mailcow, np. mail.example.pl.
Inna usługa zajmuje port 80 lub 443
Jeżeli na serwerze działa już Apache, Nginx albo inny reverse proxy, Mailcow może nie wystartować poprawnie. Wtedy trzeba zdecydować, czy Mailcow ma używać tych portów bezpośrednio, czy ma działać za istniejącym reverse proxy.
Instalacja w LXC
Mailcow nie jest dobrym kandydatem do LXC. Jeżeli używasz Proxmoxa, najbezpieczniej przygotować normalną maszynę wirtualną, a nie kontener LXC.
Brak backupu przed aktualizacją
Aktualizacja zwykle przebiega bezproblemowo, ale serwer poczty przechowuje ważne dane: skrzynki, konfigurację domen, klucze DKIM, bazę SQL, Redis, ustawienia Rspamd. Backup przed aktualizacją powinien być standardem.
Podsumowanie
Mailcow bardzo ułatwia uruchomienie własnego serwera poczty, bo większość trudnych elementów jest gotowa w jednym projekcie. Nie zwalnia to jednak administratora z myślenia o DNS, portach, certyfikatach, backupach i aktualizacjach.
Najbezpieczniejsza procedura wygląda tak:
- przygotuj poprawny DNS i PTR,
- sprawdź porty,
- zainstaluj aktualnego Dockera i Docker Compose,
- wygeneruj konfigurację Mailcow,
- uruchom kontenery,
- dodaj domenę i rekordy SPF/DKIM/DMARC,
- regularnie wykonuj backup,
- aktualizuj przez
./update.sh.
Mailcow jest świetnym narzędziem, ale wymaga porządku administracyjnego. Jeśli potraktujesz go jak normalną usługę produkcyjną, z backupem i checklistą aktualizacji, potrafi odwdzięczyć się stabilną pracą.
Twoja kolej
Masz własne doświadczenia z Mailcow? Udało Ci się uruchomić go w homelabie, firmie albo na VPS? A może największym problemem okazał się DNS, port 25 albo reputacja adresu IP?
Daj znać w komentarzu. Takie praktyczne uwagi są często bardziej wartościowe niż sama dokumentacja.
G
Tagi: Docker, e-mail, Linux, serwer, webmail