Montar un servidor de correo propio es una de esas tareas que muchos administradores de sistemas postergan indefinidamente. La complejidad percibida, la configuración de DNS, los problemas de deliverability y el spam son barreras que parecen insuperables. Sin embargo, tener control total sobre tu infraestructura de correo electrónico ofrece ventajas significativas: privacidad absoluta, control de costos, y la satisfacción de gestionar tu propia comunicación.

En este artículo voy a documentar la implementación de un servidor de correo completo basado en Postfix y Dovecot para AlmaLinux 10, con todas las características necesarias para un entorno de producción moderno.

Arquitectura del Sistema

La solución se compone de varios elementos que trabajan conjuntamente:

Postfix actúa como MTA (Mail Transfer Agent), gestionando el envío y recepción de correos mediante SMTP. Es robusto, ampliamente documentado y relativamente sencillo de configurar una vez entiendes su filosofía modular.

Dovecot proporciona los servicios IMAP y POP3, permitiendo a los usuarios acceder a sus buzones desde clientes de correo. Su diseño enfocado en seguridad y rendimiento lo convierte en la elección natural para este componente.

OpenDKIM firma digitalmente los correos salientes, añadiendo una capa crucial de autenticación que mejora significativamente la reputación del servidor frente a otros sistemas de correo.

SpamAssassin se encarga del filtrado antispam mediante análisis bayesiano y reglas predefinidas. Aunque existen alternativas más modernas, SpamAssassin sigue siendo efectivo y está muy bien integrado con Postfix.

Procmail procesa y filtra correos según reglas personalizadas, permitiendo implementar lógica de negocio específica en el manejo de mensajes.

Puertos y Protocolos

La configuración contempla todos los puertos estándar:

Para SMTP utilizamos el puerto 25 para comunicación servidor-a-servidor, el 465 para SMTPS con SSL directo, y el 587 para submission con STARTTLS (este último es el recomendado para clientes).

Para IMAP: puerto 143 con STARTTLS y 993 con SSL directo. Para POP3: puerto 110 con STARTTLS y 995 con SSL directo.

La tendencia actual favorece las conexiones SSL directas (puertos 993 y 995) sobre STARTTLS, aunque ambas opciones están disponibles.

Proceso de Instalación

La instalación se automatiza mediante un script que guía al administrador a través de los pasos necesarios. El proceso solicita información básica: dominio, email administrativo, IP pública e interfaz de red (estos últimos se detectan automáticamente).

Lo crucial aquí es la configuración DNS previa. No tiene sentido continuar sin tener correctamente configurados los registros A, MX, SPF, DKIM y DMARC. La ausencia de estos registros garantiza que tus correos terminarán en carpetas de spam o directamente rechazados.

El registro SPF define qué servidores están autorizados a enviar correo en nombre de tu dominio. El registro DKIM proporciona la clave pública para verificar las firmas digitales. El registro DMARC establece la política de manejo para correos que fallen las validaciones anteriores.

Una vez confirmado el DNS, el instalador obtiene certificados SSL mediante Let's Encrypt y configura todos los servicios necesarios.

Gestión de Usuarios

He implementado dos scripts para simplificar la administración: uno para crear usuarios y otro para eliminarlos.

El script de creación genera automáticamente una contraseña segura (o permite definir una manualmente), crea el usuario en el sistema, configura su buzón y envía un email con instrucciones detalladas de configuración. Este último punto es especialmente útil en entornos corporativos donde los usuarios no son técnicos.

El script de eliminación incluye la opción de realizar backup antes de borrar, evitando pérdidas de datos accidentales.

Control de Spam mediante Expresiones Regulares

Más allá de SpamAssassin, he añadido un sistema de bloqueo basado en expresiones regulares que opera a nivel de Postfix. Esto permite rechazar correos antes de que entren al sistema, ahorrando recursos y mejorando la seguridad.

El archivo /etc/postfix/sender_access_regexp contiene las reglas en formato simple:

/expresion_regular/ ACCION mensaje_opcional

Algunos ejemplos prácticos: bloquear dominios específicos conocidos por spam, rechazar remitentes con patrones sospechosos (muchos números consecutivos, caracteres no ASCII), bloquear TLDs problemáticos, o rechazar correos donde el remitente usa una IP en lugar de un dominio.

Este enfoque es extremadamente eficiente porque el rechazo ocurre durante el handshake SMTP, antes de que el correo sea aceptado. El servidor remitente recibe inmediatamente el código de rechazo y puede informar al usuario.

Seguridad

La configuración implementa varias medidas de seguridad esenciales:

• TLS 1.2+ obligatorio (no se permite SSL ni versiones antiguas de TLS)
• Suite de cifrados restringida a algoritmos fuertes
• Autenticación SASL obligatoria para envío
• Rate limiting de conexiones
• Firma DKIM de todos los correos salientes

Adicionalmente, recomiendo instalar fail2ban para bloquear automáticamente IPs que intenten ataques de fuerza bruta contra los servicios de autenticación.

Mantenimiento

Los certificados SSL se renuevan automáticamente mediante certbot. SpamAssassin debería actualizarse periódicamente con sa-update.

Es buena práctica implementar tareas programadas para limpiar correos antiguos de carpetas como Spam y Papelera, evitando que los buzones crezcan indefinidamente.

El comando mailq muestra la cola de correos pendientes de envío, útil para diagnosticar problemas. pflogsumm genera estadísticas detalladas a partir de los logs de Postfix.

Resolución de Problemas

Los principales problemas suelen estar relacionados con DNS mal configurado, certificados SSL expirados o problemas de conectividad de red.

Los logs son tus mejores aliados: /var/log/maillog para Postfix, /var/log/dovecot.log para Dovecot, y journalctl para los servicios systemd.

Para verificar DKIM: opendkim-testkey -d ejemplo.com -s default -vvv te dirá exactamente qué está mal con tu configuración.

Conclusión

Montar un servidor de correo propio ya no es el proceso arcano que era hace una década. Con las herramientas adecuadas y una comprensión básica de los protocolos involucrados, es perfectamente factible tener un sistema de correo funcional y seguro.

¿Vale la pena el esfuerzo? Depende de tus necesidades. Para proyectos pequeños o personales, probablemente un servicio gestionado sea más práctico. Pero si valoras la privacidad, necesitas control total, o simplemente disfrutas entendiendo cómo funcionan las cosas, montar tu propio servidor de correo es un ejercicio altamente educativo y gratificante.

La clave está en no subestimar la importancia de la configuración DNS y la reputación de tu IP. Sin estos elementos correctamente establecidos, incluso el servidor de correo mejor configurado técnicamente tendrá problemas de deliverability.