servercontainers/mail-gateway

Docker Mail Gateway Postfix (servercontainers/mail-gateway)

由ServerContainers维护

版本控制

所有镜像标签格式为 d11.2-p3.5.6-1_b1，其中 d<debian版本>-p<postfix版本（含部分转义字符）>。通过此标签可将安装/配置固定到特定版本，或在遇到问题时轻松回滚（如有问题请提交issue）。

latest 标签会在新固定版本在生产环境测试通过后更新，以确保容器更稳定，减少对用户的影响。

更新日志

• 2022-01-08
  • 新构建脚本
  • 版本标签化
  • 升级至Debian bullseye
• 2021-07-28
  • 健康检查：当证书有效期不足3天或已过期时失败
• 2021-06-04
  • 添加健康检查（证书更新但未重启容器时失败）
• 2020-12-01
  • 修复容器/构建问题
  • 优化TLS设置（支持TLS 1.3）
• 2020-11-05
  • 多架构构建

镜像概述

本Docker镜像（镜像名为 servercontainers/mail-gateway）提供Postfix邮件网关，适用于以下场景：

• 智能主机配置（随机IP可信节点的出站邮件）
  • 允许内部邮件服务器通过此容器，使用SSL客户端认证加密发送邮件
• 入站邮件垃圾/病毒过滤网关（Amavis）
  • 部署在外部网络与***处理服务器之间，进行垃圾邮件和病毒扫描
• 入站邮件网关
  • 提供缓存和负载均衡功能
• 出站邮件网关与DKIM签名器
  • 自动为多个域名的邮件进行DKIM签名
• Docker容器出站邮件网关
  • 自动信任所有连接到此容器的网络
• 指定网络的出站邮件
  • 信任特定网络发送邮件

配置通过环境变量和卷文件实现。基于 https://registry.hub.docker.com/_/debian/ 镜像构建。

注意：本容器不是存储邮件和处理的邮件服务器，仅作为外部网络与处理服务器之间的网关。如需带***/IMAP功能的邮件服务器，可查看 https://github.com/ServerContainers/mail-box%E3%80%82

核心功能与特性

• 多场景支持：智能主机、入站过滤、DKIM签名等
• 安全增强：集成Amavis（垃圾邮件过滤）、ClamAV（病毒扫描）
• 灵活网络配置：自动信任连接网络、自定义可信网络
• TLS支持：支持TLS 1.2/1.3，可配置入站/出站SSL证书
• 多架构兼容：支持x86和ARM架构
• 版本可控：清晰的版本标签，便于固定版本或回滚

使用场景

• 内部邮件服务器出站：内部服务器通过此容器加密发送邮件，隐藏真实IP
• 入站邮件过滤：在邮件到达***服务器前过滤垃圾邮件和病毒
• 多域名DKIM签名：为多个域名自动生成和应用DKIM签名，提升邮件可信度
• 邮件中继：作为中继主机，转发指定域名的邮件
• 开发/测试环境：快速部署邮件网关，测试邮件流程

环境变量

官方环境变量

• MAIL_FQDN

  • 指定邮件服务器的完全限定域名（FQDN），仅填FQDN，不含主机名
  • 示例：my.mailserver.example.com

• POSTFIX_SMTPD_BANNER

  • 自定义Postfix的SMTPD横幅
  • 示例：mailserver.example.local ESMTP

• AUTO_TRUST_NETWORKS

  • 启用后自动信任此容器连接的所有网络
  • 任意值均可启用

• ADDITIONAL_MYNETWORKS

  • 添加特定网络到自动信任列表
  • 设为 0.0.0.0/0 可成为开放中继（谨慎使用）

• MYNETWORKS

  • 覆盖所有自动配置的可信网络，直接指定此值
  • 会覆盖 ADDITIONAL_MYNETWORKS

• RELAYHOST

  • 设置Postfix中继主机，建议用 [] 包裹主机名避免DNS MX查询
  • 示例：[smtp.isp.com]

• DISABLE_AMAVIS

  • 禁用Amavis（垃圾/病毒扫描），仅启动Postfix及必要服务
  • 任意值均可禁用（适用于仅处理可信邮件场景）

• DISABLE_VIRUS_CHECKS

  • 禁用病毒扫描（同时停止clamd和freshclam服务）
  • 任意值均可禁用

• DISABLE_SPAM_CHECKS

  • 禁用垃圾邮件检查
  • 任意值均可禁用

• AMAVIS_SA_TAG_LEVEL_DEFLT

  • Amavis的垃圾邮件标记阈值，默认 undef

• AMAVIS_SA_TAG2_LEVEL_DEFLT

  • Amavis的垃圾邮件二次标记阈值，默认 5

• AMAVIS_SA_KILL_LEVEL_DEFLT

  • Amavis的垃圾邮件拦截阈值，默认 20

• POSTFIX_SSL_OUT_CERT

  • 出站连接的SSL客户端证书路径，默认 /etc/postfix/tls/client.crt

• POSTFIX_SSL_OUT_KEY

  • 出站连接的SSL客户端密钥路径，默认 /etc/postfix/tls/client.key

• POSTFIX_SSL_OUT_SECURITY_LEVEL

  • 出站连接的SSL安全级别，默认 may

• POSTFIX_SSL_IN_CERT

  • 入站连接的SSL服务器证书/证书链路径，默认 /etc/postfix/tls/bundle.crt

• POSTFIX_SSL_IN_KEY

  • 入站连接的SSL服务器密钥路径，默认 /etc/postfix/tls/cert.key

• POSTFIX_SSL_IN_SECURITY_LEVEL

  • 入站连接的SSL安全级别，默认 may

• POSTFIX_SSL_IN_CERT_FINGERPRINTS

  • 可信入站客户端证书指纹（多行）
  • 示例：AA:BB:CC:DD:EE:FF:12:34:56:67:2E:FB:3F:34:99:90:AB:CD:EF:4C trusted.mailserver.example.tld

• POSTFIX_QUEUE_LIFETIME_BOUNCE

  • 退信邮件的最大排队时间，默认与普通邮件相同

• POSTFIX_QUEUE_LIFETIME_MAX

  • 普通邮件的最大排队时间

• POSTFIX_RELAY_DOMAINS

  • 指定需要中继的域名（默认转发所有邮件）

• POSTFIX_MYDESTINATION

  • 指定此网关处理的域名（建议优先使用 POSTFIX_RELAY_DOMAINS）

高优先级环境变量

用于覆盖Postfix主配置文件（/etc/postfix/main.cf）中的设置，仅在无法通过上述变量配置时使用。

• POSTFIX_RAW_CONFIG_<POSTFIX_SETTING_NAME>
  • 格式：POSTFIX_RAW_CONFIG_<配置项名>=值
  • 示例：设置 mynetworks_style = subnet，需添加环境变量 POSTFIX_RAW_CONFIG_MYNETWORKS_STYLE=subnet

卷配置

• /etc/postfix/tls
  • 存储SSL证书、密钥和CA文件，容器会读取以下文件（如存在）：
    • dh1024.pem：DH参数（覆盖构建时生成的文件）
    • dh512.pem：DH参数（覆盖构建时生成的文件）
    • rootCA.crt：用于验证客户端证书的根CA证书
    • client.crt：出站SSL客户端证书
    • client.key：出站SSL客户端密钥
    • bundle.crt：入站SSL服务器证书/证书链
    • cert.key：入站SSL服务器密钥

使用示例

基本运行命令（入站过滤网关）

bash
docker run -d \
  --name mail-gateway \
  -p 25:25 \
  -e MAIL_FQDN=mail.example.com \
  -e AUTO_TRUST_NETWORKS=1 \
  -e DISABLE_VIRUS_CHECKS=1 \  # 仅禁用病毒扫描（保留垃圾邮件过滤）
  -v ./tls:/etc/postfix/tls \  # 挂载SSL证书目录
  servercontainers/mail-gateway:d11.2-p3.5.6-1_b1

Docker Compose配置（智能主机）

yaml
version: '3'
services:
  mail-gateway:
    image: servercontainers/mail-gateway:latest
    container_name: mail-gateway
    ports:
      - "25:25"
    environment:
      - MAIL_FQDN=smarthost.example.com
      - RELAYHOST=[smtp.isp.com]
      - ADDITIONAL_MYNETWORKS=192.168.1.0/24
      - POSTFIX_SSL_OUT_SECURITY_LEVEL=encrypt
    volumes:
      - ./tls:/etc/postfix/tls
      - ./dkim:/etc/postfix/additional/opendkim  # DKIM配置目录
    restart: unless-stopped

DKIM配置指南

自动多域名DKIM（推荐）

1. 设置环境变量 DKIM_DOMAINS=example.com mydomain.tld
2. 挂载卷 -v ./dkim:/etc/postfix/additional/opendkim
3. 启动容器后，查看日志获取DKIM公钥（需添加到DNS）

手动单域名DKIM（了解原理用）

1. 安装工具：apt-get install opendkim-tools
2. 生成密钥（选择器为 mail，域为 example.com）：

   bash
   opendkim-genkey -s mail -d example.com
   

3. 部署密钥：
   • 将生成的 mail.private 重命名为 dkim.key，放入 ./dkim 目录（挂载到 /etc/postfix/additional/opendkim）
   • 将 mail.txt 中的TXT记录添加到域名的DNS配置（格式：mail._domainkey IN TXT "v=DKIM1; k=rsa; p=公钥内容"）
4. 验证DNS：

   bash
   host -t TXT mail._domainkey.example.com
   

实用工具

生成自签名SSL证书

bash
openssl req -x509 -newkey rsa:4086 \
  -keyout key.pem -out cert.pem \
  -days 3650 -nodes -sha256

（注意：通用名称（CN）需设为邮件服务器的FQDN）

生成证书指纹

bash
openssl x509 -noout -fingerprint -in cert.pem

创建简单CA（用于客户端证书验证）

bash
# 生成CA证书和密钥
openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

# 生成设备CSR
openssl genrsa -out device.key 4096
openssl req -new -key device.key -out device.csr

# 用CA签名CSR
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 500 -sha256