Сервер работает. Postfix стартовал, логи чистые, вы отправляете тестовое письмо на свой Gmail — и оно ложится в спам. Или просто исчезает. В конфиге ничего не сломано. Софт сделал ровно то, что вы ему сказали.
Проблема в том, что сервер на другом конце пока вам не доверяет. У почты есть целый набор мелких проверок доверия, и все они должны сойтись, прежде чем чужой ящик вас впустит. Настроите их — доставка дальше идёт почти сама. Пропустите одну — и вы кричите в папку «Спам».
Основной вес несут три вещи: обратный DNS, аутентификация отправителя и то, разрешает ли хостер вообще говорить по порту 25. Ни одна из них не сложная. Их просто легко забыть, и каждая — тихое право вето.
То, что забывают все: обратный DNS
Прямой DNS вы знаете — имя указывает на IP. Обратный DNS — зеркало: IP указывает обратно на имя. Эта запись называется PTR, и живёт она у того, кто владеет IP, а не в зоне вашего домена.
Вот почему это важно. Когда ваш сервер открывает соединение с SMTP Gmail, одно из первых действий принимающей стороны — обратный запрос по вашему IP: а кто это вообще? Проверьте сами:
dig -x 203.0.113.19 +short
Если в ответ приходит что-то вроде static.203-0-113-19.rev.example-isp.net или не приходит ничего — вы уже потеряли очки. Это шаблонное имя говорит «какой-то случайный VPS», и хуже того — оно не совпадает с именем, которым сервер представляется в приветствии HELO. Несовпадение принимающие серверы штрафуют жёстко. Некоторые просто отклоняют письмо.
Им нужно увидеть PTR, совпадающий с именем вашего почтового хоста. Если сервер говорит HELO mail.example.com, то обратный запрос по его IP должен вернуть mail.example.com. Прямая и обратная записи сходятся, история непротиворечива — и вы выглядите как настоящий почтовый сервер, а не как угнанная машина.
Раньше поставить PTR означало открыть тикет тому, кто владеет блоком адресов, и ждать. На тарифах EQVPS с выделенным IP это поле в личном кабинете — вписываете имя хоста, оно уходит прямо в реестр через API провайдера и применяется за секунды. В этом и смысл self-service: обратный DNS — как раз тот шаг, который пропускают, потому что раньше он был занудным.
Аутентификация: SPF, DKIM, DMARC
Эти три DNS-записи говорят принимающим серверам, что письмо, якобы отправленное от вашего домена, действительно ваше. Без них вы — непроверенный незнакомец.
- SPF — это TXT-запись со списком серверов, которым разрешено слать от имени вашего домена. Gmail сверяется с ней: письмо пришло с IP, который вы авторизовали?
- DKIM криптографически подписывает каждое исходящее письмо. Получатель берёт ваш открытый ключ из DNS и проверяет, что подпись не подделали по дороге.
- DMARC связывает две предыдущие и говорит получателю, что делать при провале проверки — ничего, в карантин или отклонить, — и куда слать отчёты.
Нужны все три. SPF и DKIM доказывают, что письмо законно ваше; DMARC превращает это доказательство в политику. Это минут двадцать правок в DNS — и разница между «проверенный отправитель» и «а вы кто?».
Порт 25 и почему он закрыт
А вот это удивляет многих. Исходящий порт 25 — тот, по которому почтовые серверы общаются между собой, — закрыт по умолчанию практически у любого хостера. У нас тоже.
Это сделано намеренно. Порт 25 — классическая спам-пушка, поэтому он закрыт, пока вы не попросите его открыть и не расскажете, что на самом деле собираетесь слать. Мы открываем его по запросу, а не держим нараспашку для всех, кто поднял сервер.
И тут есть честная оговорка, которую стоит проговорить прямо: открытый порт 25 — это ответственность. Один взломанный скрипт или криво настроенный релей, льющий спам, — и репутация вашего IP уходит в минус, иногда на недели. На общей подсети эта грязь брызжет и на соседей — именно поэтому хостеры с этим осторожны. Если попросите нас открыть 25 — держите сервер в чистоте, потому что репутация, которую вы бережёте, отчасти и наша.
Почему выделенный IP — не опция
Всё это упирается в одно требование: IP должен быть вашим. На NAT или общем адресе вы не поставите собственный PTR — адрес не принадлежит вам единолично, чтобы им распоряжаться. Плюс вы наследуете ту репутацию, что уже висит на общем IP, — а что там делал прошлый жилец, вы не знаете.
Выделенный IP даёт PTR под вашим контролем, репутацию, которую вы строите сами, и чистую отправную точку. Для исходящей почты это не приятный бонус, а нижняя планка.
Честный итог
Держать свою почту в 2026-м — это реальная, постоянная работа. Не «поставил и забыл»: придётся следить за блок-листами, менять DKIM-ключи и иногда выяснять, почему какой-то конкретный провайдер вдруг начал вас грейлистить. Если это пет-проект без больших ставок — честно, пересылка через готового провайдера сбережёт вам нервы.
Но если нужен настоящий контроль — свои данные, свой домен, никто не читает заголовки — это вполне реально на небольшом VPS. Вся эта обвязка доверия — процентов 90 успеха, и ничего экзотического в ней нет. Возьмите выделенный IP, поставьте PTR под имя своего хоста, опубликуйте SPF/DKIM/DMARC, попросите нас открыть порт 25, а потом прогоните тест через что-то вроде mail-tester.com и почините то, на что он укажет. Сделаете это — и вы больше не кричите в папку «Спам». Вы почтовый сервер, которому чужие ящики действительно доверяют.