E-mail · sem KYC
Hospede Mailcow em um VPS offshore
O Mailcow reúne uma stack de e-mail completa e pronta para produção em um único projeto Docker Compose, permitindo rodar seu próprio servidor SMTP/IMAP em um VPS offshore sem jamais entregar sua identidade a um provedor de caixas de e-mail.
O que é
Mailcow (mailcow-dockerized) é uma suíte de e-mail autogerenciada que combina Postfix, Dovecot, Rspamd, webmail SOGo, ClamAV e um painel administrativo em um único deployment Docker Compose. Ele oferece domínios, caixas de e-mail e aliases ilimitados, com DKIM por domínio, filtragem de spam, IMAP push de verdade e um painel administrativo via navegador — tudo o que uma caixa de e-mail hospedada faz, só que em hardware que você controla.
Por que hospedar offshore
Sua caixa de entrada é a chave-mestra de todas as suas outras contas, então importa onde ela mora: em um VPS offshore e sem KYC, o servidor de e-mail fica vinculado a uma jurisdição que você escolheu e pagou em cripto, não a um provedor que pode ler, escanear, congelar ou entregar seus e-mails mediante intimação. A ChainVPS mantém a porta 25 aberta, oferece banda ilimitada para envios em massa e permite configurar um registro PTR correspondente — as três coisas que hosts baratos costumam bloquear e que, de outra forma, inviabilizam o e-mail autogerenciado.
A implantação
Uma configuração de referência funcional
Copie isto para uma instância nova do ChainVPS. Substitua os placeholders e depois coloque no ar.
# Ubuntu 24.04 — deploy completo e funcional do Mailcow
# Pré-requisito: DNS A/AAAA de mail.example.com -> o IP do seu VPS, e um
# registro PTR (rDNS) correspondente configurado no painel da ChainVPS.
# 1. Instale o Docker Engine + o plugin Compose
curl -fsSL https://get.docker.com | sh
# 2. o mailcow requer umask 0022
umask 0022
# 3. Clone o projeto
cd /opt
git clone https://github.com/mailcow/mailcow-dockerized
cd mailcow-dockerized
# 4. Gere o mailcow.conf (solicita o FQDN do e-mail + fuso horário).
# Use um subdomínio como mail.example.com — NUNCA o domínio puro.
./generate_config.sh
# 5. (opcional) reduza containers pesados em um VPS pequeno
sed -i 's/^SKIP_CLAMD=.*/SKIP_CLAMD=y/' mailcow.conf # economiza ~1-2 GB de RAM
sed -i 's/^SKIP_SOLR=.*/SKIP_SOLR=y/' mailcow.conf # desativa a busca de texto completo
# 6. Baixe as imagens e suba a stack
docker compose pull
docker compose up -d
# 7. Painel administrativo: https://mail.example.com (login padrão: admin / moohoo)
# Faça login, TROQUE a senha, adicione seu domínio e depois copie o
# registro DKIM gerado para o DNS, junto com SPF e DMARC.
Firewall
Portas a abrir
| Porta | Protocolo | Finalidade |
|---|---|---|
| 25 | TCP | SMTP — recebimento de e-mails de outros servidores e retransmissão de saída (deve estar liberado nos dois sentidos) |
| 587 | TCP | Submission (STARTTLS) — envio autenticado por clientes |
| 465 | TCP | SMTPS — envio autenticado por clientes via TLS implícito |
| 143 | TCP | IMAP com STARTTLS |
| 993 | TCP | IMAPS — acesso de clientes de e-mail via TLS implícito |
| 110 | TCP | POP3 com STARTTLS |
| 995 | TCP | POP3S |
| 4190 | TCP | ManageSieve — filtros de e-mail no lado do servidor |
| 80 | TCP | HTTP — desafio ACME do Let's Encrypt e redirecionamento para HTTPS |
| 443 | TCP | HTTPS — webmail SOGo e o painel administrativo |
Dimensionamento adequado
Qual plano você precisa
VPS Small — 2 vCPU / 6 GB RAM / 60 GB
6 GB é o piso confortável para a stack completa; mantenha o ClamAV ativado para filtragem real de spam/vírus.
VPS Pro — 4 vCPU / 8-12 GB RAM / 160 GB SSD
Margem para Rspamd, busca de texto completo do Solr e IMAP sob carga; dimensione o disco conforme a retenção das caixas de e-mail.
Dedicated / Storage VPS — 8+ vCPU, 16-32 GB RAM, large disk
Migre os volumes de e-mail para um plano Storage para retenção barata em escala de TB; CPU dedicada evita que o ClamAV + Solr prejudiquem a entrega.
Melhores localizações: Escolha uma localização de nível privacidade (NL, CH, RO, IS, MD, LU) para que a jurisdição da sua caixa de e-mail seja uma escolha deliberada — Suíça e Islândia têm os padrões mais rígidos de privacidade de dados e sigilo para e-mails armazenados. Seja qual for a escolha, confirme que a porta 25 está aberta nos dois sentidos e configure um registro PTR (rDNS) que corresponda ao seu MAILCOW_HOSTNAME; a banda ilimitada desses nós é o que torna viável o envio em massa e de newsletters, e a proteção DDoS incluída mantém o SMTP acessível mesmo sob ataque.
Bloqueie tudo
Checklist de hardening
- Entregabilidade é DNS: publique o SPF (v=spf1 mx ~all), copie a chave DKIM gerada pelo Mailcow para o DNS, adicione um registro DMARC e configure um PTR/rDNS que corresponda exatamente ao MAILCOW_HOSTNAME — sem DNS direto e reverso correspondentes, a maioria dos servidores vai rejeitar seus e-mails.
- Troque imediatamente o login padrão admin/moohoo e ative a autenticação de dois fatores TOTP nos logins de administrador e de caixas de e-mail pelo painel do Mailcow.
- O Mailcow vem com seu próprio container netfilter/fail2ban que gerencia o iptables diretamente — NÃO sobreponha o ufw a ele; se você usa um firewall no host, apenas libere as portas de e-mail na whitelist e deixe a chain DOCKER-USER sob controle do Mailcow.
- Mantenha tudo atualizado: rode ./update.sh a partir do diretório mailcow-dockerized em uma programação regular, e faça backups periódicos com helper-scripts/backup_and_restore.sh (armazene o backup fora do VPS).
- IPs offshore novos não têm reputação de envio — aqueça gradualmente, verifique o IP nas blocklists do Spamhaus/Barracuda antes de colocar em produção, e solicite a remoção da lista caso a faixa já tenha sido marcada anteriormente.
- Em nós com pouca RAM, defina SKIP_CLAMD=y e SKIP_SOLR=y para caber em ~3-4 GB, mas reative o ClamAV assim que tiver RAM disponível — ele reduz significativamente o malware recebido.
Perguntas
Hospedagem Mailcow — FAQ
A ChainVPS bloqueia a porta 25 como a maioria dos hosts?
Não. A porta 25 está aberta para entrada e saída, para que o Mailcow possa tanto receber quanto retransmitir e-mails diretamente — esse é o principal motivo pelo qual hosts baratos/cloud falham no e-mail autogerenciado.
Posso configurar o DNS reverso (PTR) para uma boa entregabilidade?
Sim. Configure no painel um registro PTR que corresponda ao seu MAILCOW_HOSTNAME (por exemplo, mail.example.com). O DNS direto e reverso precisam corresponder, caso contrário os grandes provedores vão adiar ou rejeitar seus e-mails.
De quanta RAM o Mailcow realmente precisa?
Planeje 6 GB para a stack completa. É possível rodar com aproximadamente 3-4 GB definindo SKIP_CLAMD=y e SKIP_SOLR=y no mailcow.conf, ao custo da varredura de vírus integrada e da busca de texto completo.
Qual é a melhor localização para uma caixa de e-mail privada?
Um nó de nível privacidade — Suíça ou Islândia para as proteções mais fortes contra divulgação de dados, ou NL/RO/MD/LU se você quiser equilibrar latência entre UE e offshore. Todos mantêm a porta 25 aberta e suportam PTR.
Meu e-mail é realmente privado em um VPS sem KYC?
O servidor é seu: os e-mails ficam armazenados em disco que você controla, em uma jurisdição que você escolheu, pago em cripto sem nenhuma identidade vinculada. Use criptografia de disco completo e backups fora do servidor, e só você (não um provedor de caixas de e-mail) pode ler o conteúdo armazenado.
Como faço para manter tudo atualizado e com backup?
Rode ./update.sh periodicamente a partir da pasta mailcow-dockerized para baixar novas imagens, e use o helper-scripts/backup_and_restore.sh para gerar snapshots de e-mails, configuração e banco de dados — envie esses backups para um plano ChainVPS Storage separado.
Mais para hospedar você mesmo
Outros stacks de um clique
Implante Mailcow
nos próximos 60 segundos.
Banda ilimitada · DDoS incluído · 21 criptomoedas · sem KYC.