Сервер працює. Postfix стартував, логи чисті, ви надсилаєте тестовий лист на свій Gmail — і він лягає в спам. Або просто зникає. У конфізі нічого не зламано. Софт зробив рівно те, що ви йому сказали.
Проблема в тому, що сервер на іншому кінці поки вам не довіряє. У пошти є цілий набір дрібних перевірок довіри, і всі вони мають зійтися, перш ніж чужа скринька вас впустить. Налаштуєте їх — доставка далі йде майже сама. Пропустите одну — і ви кричите в теку «Спам».
Основну вагу несуть три речі: зворотний DNS, автентифікація відправника і те, чи дозволяє хостер узагалі говорити через порт 25. Жодна з них не складна. Їх просто легко забути, і кожна — тихе право вето.
Те, що забувають усі: зворотний DNS
Прямий DNS ви знаєте — ім'я вказує на IP. Зворотний DNS — дзеркало: IP вказує назад на ім'я. Цей запис називається PTR, і живе він у того, хто володіє IP, а не в зоні вашого домену.
Ось чому це важливо. Коли ваш сервер відкриває з'єднання зі SMTP Gmail, одна з перших дій сторони-отримувача — зворотний запит за вашим IP: а хто це взагалі? Перевірте самі:
dig -x 203.0.113.19 +short
Якщо у відповідь приходить щось на кшталт static.203-0-113-19.rev.example-isp.net або не приходить нічого — ви вже втратили бали. Це шаблонне ім'я каже «якийсь випадковий VPS», і гірше того — воно не збігається з іменем, яким сервер представляється у привітанні HELO. Неузгодженість сервери-отримувачі штрафують жорстко. Дехто просто відхиляє лист.
Їм треба побачити PTR, що збігається з іменем вашого поштового хоста. Якщо сервер каже HELO mail.example.com, то зворотний запит за його IP має повернути mail.example.com. Прямий і зворотний записи сходяться, історія несуперечлива — і ви маєте вигляд справжнього поштового сервера, а не викраденої машини.
Раніше поставити PTR означало відкрити тикет тому, хто володіє блоком адрес, і чекати. На тарифах EQVPS із виділеним IP це поле в особистому кабінеті — вписуєте ім'я хоста, воно йде прямо в реєстр через API провайдера і застосовується за секунди. У цьому й суть self-service: зворотний DNS — саме той крок, який пропускають, бо раніше він був занудним.
Автентифікація: SPF, DKIM, DMARC
Ці три DNS-записи кажуть серверам-отримувачам, що лист, нібито надісланий від вашого домену, справді ваш. Без них ви — неперевірений незнайомець.
- SPF — це TXT-запис зі списком серверів, яким дозволено слати від імені вашого домену. Gmail звіряється з ним: лист прийшов з IP, який ви авторизували?
- DKIM криптографічно підписує кожен вихідний лист. Отримувач бере ваш відкритий ключ із DNS і перевіряє, що підпис не підробили дорогою.
- DMARC пов'язує дві попередні й каже отримувачу, що робити при провалі перевірки — нічого, у карантин чи відхилити, — і куди слати звіти.
Потрібні всі три. SPF і DKIM доводять, що лист законно ваш; DMARC перетворює це доведення на політику. Це хвилин двадцять правок у DNS — і різниця між «перевірений відправник» та «а ви хто?».
Порт 25 і чому він закритий
А ось це дивує багатьох. Вихідний порт 25 — той, яким поштові сервери спілкуються між собою, — закритий за замовчуванням практично в будь-якого хостера. У нас теж.
Це зроблено навмисно. Порт 25 — класична спам-гармата, тож він закритий, доки ви не попросите його відкрити й не розкажете, що насправді збираєтеся слати. Ми відкриваємо його на запит, а не тримаємо навстіж для всіх, хто підняв сервер.
І тут є чесне застереження, яке варто проговорити прямо: відкритий порт 25 — це відповідальність. Один зламаний скрипт чи криво налаштований релей, що ллє спам, — і репутація вашого IP іде в мінус, іноді на тижні. На спільній підмережі цей бруд бризкає й на сусідів — саме тому хостери з цим обережні. Якщо попросите нас відкрити 25 — тримайте сервер у чистоті, бо репутація, яку ви бережете, почасти й наша.
Чому виділений IP — не опція
Усе це впирається в одну вимогу: IP має бути вашим. На NAT чи спільній адресі ви не поставите власний PTR — адреса не належить вам одноосібно, щоб нею розпоряджатися. До того ж ви успадковуєте ту репутацію, що вже висить на спільному IP, — а що там робив попередній мешканець, ви не знаєте.
Виділений IP дає PTR під вашим контролем, репутацію, яку ви будуєте самі, і чисту відправну точку. Для вихідної пошти це не приємний бонус, а нижня планка.
Чесний підсумок
Тримати власну пошту у 2026-му — це реальна, постійна робота. Не «поставив і забув»: доведеться стежити за блок-листами, міняти DKIM-ключі й іноді з'ясовувати, чому якийсь конкретний провайдер раптом почав вас грейлистити. Якщо це пет-проєкт без великих ставок — чесно, пересилання через готового провайдера збереже вам нерви.
Але якщо потрібен справжній контроль — свої дані, свій домен, ніхто не читає заголовки — це цілком реально на невеликому VPS. Уся ця обв'язка довіри — відсотків 90 успіху, і нічого екзотичного в ній немає. Візьміть виділений IP, поставте PTR під ім'я свого хоста, опублікуйте SPF/DKIM/DMARC, попросіть нас відкрити порт 25, а потім проженіть тест через щось на кшталт mail-tester.com і полагодьте те, на що він вкаже. Зробите це — і ви більше не кричите в теку «Спам». Ви поштовий сервер, якому чужі скриньки справді довіряють.