#postfix #邮件系统

邮件系统，看似古老，却依然是企业通信的基石。在容器化、云原生大行其道的今天，亲手从源码构建一个轻量、安全、可控的邮件传输代理（MTA），不仅是一种技术回归，更是对系统底层逻辑的深度理解。本文将带你一步步在 Rocky Linux 9.6 上编译并部署 Postfix 3.10.4，实现最基础但完整的本地邮件收发功能。全程代码经过实机验证，高效、清晰、可复现。

🌱 为什么选择源码编译 Postfix？

Postfix 是全球使用最广泛的开源邮件传输代理之一，以其安全性、模块化和高性能著称。虽然大多数 Linux 发行版都提供了 Postfix 的 RPM 包，但源码编译能带来三大核心优势：

1. 版本自由：获取最新稳定版（如本文的 3.10.4），避免系统仓库版本滞后；
2. 功能定制：按需启用 TLS、SASL 认证、数据库后端等特性；
3. 安全可控：完全掌握编译参数与依赖，杜绝“黑盒”风险。

本文目标明确：在 Rocky Linux 9.6 上，从零构建一个支持本地用户（Alice → Bob）收发邮件的 Postfix 服务，仅使用 SMTP 25 端口，域名设定为 contoso.intra。

🛠️ 环境准备：系统更新与依赖安装

在开始编译前，必须确保系统处于最新状态，并安装必要的开发工具与库文件。

1. 系统更新

首先执行全量更新，确保内核与基础库为最新：

dnf update -y

2. 启用 CodeReady Builder 与 EPEL

Rocky Linux 默认未启用包含大量 -devel 开发包的仓库。我们需要启用 CodeReady Builder (CRB)，并可选安装 EPEL：

sudo dnf -y update
sudo dnf -y install dnf-plugins-core s-nail
sudo dnf config-manager --set-enabled crb
sudo dnf -y install epel-release

💡 说明：CRB 是 RHEL 及其衍生版（如 Rocky）中提供编译依赖的关键仓库，缺少它将无法安装 openssl-devel、cyrus-sasl-devel 等关键开发包。

3. 安装编译工具链与依赖库

接下来安装编译 Postfix 所需的完整工具链和依赖库：

# 安装开发工具组（包含 gcc, make, autoconf 等）
sudo dnf -y groupinstall "Development Tools"

# 安装核心依赖库
sudo dnf -y install gcc make perl perl-core pkgconfig 
   zlib-devel libdb-devel openssl-devel cyrus-sasl-devel 
   pcre-devel

# 可选：如需数据库后端支持（本文未使用，但列出供参考）
# sudo dnf -y install mariadb-devel postgresql-devel

✅ 关键依赖解释：

• openssl-devel：启用 TLS 加密通信；
• cyrus-sasl-devel：支持 SMTP 认证（SASL）；
• libdb-devel：用于别名数据库（/etc/aliases）的哈希处理；
• zlib-devel：压缩支持。

创建 Postfix 运行用户与组

出于安全考虑，Postfix 不应以 root 身份运行。我们需要创建专用的系统用户和组：

groupadd postfix
groupadd postdrop
useradd -g postfix -G postdrop -s /sbin/nologin postfix

🔒 安全说明：

• postfix 组：主进程运行身份；
• postdrop 组：用于邮件投递队列的写入权限；
• /sbin/nologin 禁止该用户登录系统，提升安全性。

📦 下载并解压 Postfix 源码

进入标准源码目录，下载官方发布的 3.10.4 版本：

cd /usr/local/src
curl -LO http://ftp.porcupine.org/mirrors/postfix-release/official/postfix-3.10.4.tar.gz
tar -xzf postfix-3.10.4.tar.gz
cd postfix-3.10.4

🌐 提示：Postfix 官方镜像稳定可靠，建议直接从 porcupine.org 下载以确保完整性。

⚙️ 编译与安装 Postfix

Postfix 使用自定义的 makefiles 机制生成编译配置，而非标准的 ./configure。

1. 生成 Makefile

make makefiles 
  CCARGS='-DUSE_TLS -DNO_NIS -I/usr/include/openssl -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl' 
  AUXLIBS='-L/usr/lib64 -lssl -lcrypto -lsasl2 -ldb -lz'

🔧 参数详解：

• -DUSE_TLS：启用 TLS 支持；
• -DUSE_SASL_AUTH -DUSE_CYRUS_SASL：启用 Cyrus SASL 认证；
• -DNO_NIS：禁用 NIS（现代系统通常不需要）；
• AUXLIBS：链接 OpenSSL、SASL2、Berkeley DB 和 zlib 库。

2. 编译并安装

make && make install
make install

安装过程中会提示输入路径（如 sendmail 路径、配置目录等），直接回车使用默认值即可。默认安装路径为 /etc/postfix（配置）、/usr/sbin（二进制程序）等。

install_root: [/]     

tempdir: [/usr/local/src/postfix-3.10.4] /tmp

config_directory: [/etc/postfix] 

command_directory: [/usr/sbin] 

daemon_directory: [/usr/libexec/postfix] 

data_directory: [/var/lib/postfix] 

html_directory: [no] 

mail_owner: [postfix] 

mailq_path: [/usr/bin/mailq] 

manpage_directory: [/usr/local/man] 

newaliases_path: [/usr/bin/newaliases] 

queue_directory: [/var/spool/postfix] 

readme_directory: [no] 

sendmail_path: [/usr/sbin/sendmail] 

setgid_group: [postdrop] 

shlib_directory: [no]

📝 配置 Postfix：最小可用配置

编辑主配置文件 /etc/postfix/main.cf，写入以下内容：

myhostname = mail.contoso.intra
mydomain = contoso.intra
myorigin = $mydomain
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
mynetworks = 127.0.0.0/8
relay_domains = $mydestination
home_mailbox =
mail_spool_directory = /var/mail
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
local_transport = local:$myhostname

📌 配置项说明：

• myhostname：邮件服务器主机名；
• inet_interfaces = all：监听所有网络接口（测试环境）；
• mydestination：本机接收邮件的域名列表；
• mail_spool_directory：指定本地邮件存储路径为 /var/mail（传统 Unix 邮箱格式）；
• local_transport：确保本地邮件通过 local 传输器投递。

更新别名数据库

newaliases

该命令将 /etc/aliases 转换为 Postfix 可快速查询的哈希数据库（/etc/aliases.db）。

修复目录权限

Postfix 对目录权限极为敏感，错误的权限会导致服务启动失败或邮件无法投递：

chown root:root /var/spool/postfix
chown root:root /var/spool/postfix/pid
chown postfix:postdrop /var/spool/postfix/public
chown postfix:postdrop /var/spool/postfix/maildrop

chmod 755 /var/spool/postfix
chmod 730 /var/spool/postfix/public
chmod 730 /var/spool/postfix/maildrop

⚠️ 权限规则：

• 根目录和 pid 必须为 root:root；
• public 和 maildrop 必须为 postfix:postdrop，且权限为 730（组可写，其他无权限）。

👥 创建测试用户并初始化邮箱

创建两个本地用户 alice 和 bob，并为其创建邮箱文件：

useradd alice
useradd bob

mkdir -p /var/mail
touch /var/mail/{alice,bob}
chown alice:mail /var/mail/alice
chown bob:mail /var/mail/bob
chmod 660 /var/mail/{alice,bob}
ln -sf /var/mail /var/spool/mail

📂 说明：

• 邮箱文件属主为用户，属组为 mail；
• 权限 660 确保用户和 mail 组可读写；
• 创建软链接 /var/spool/mail → /var/mail 是为了兼容传统邮件客户端的默认路径。

🚀 创建 systemd 服务单元

为了让 Postfix 能被 systemd 管理，创建服务文件：

sudo tee /etc/systemd/system/postfix.service <<'EOF'
[Unit]
Description=Postfix Mail Transport Agent
After=network.target

[Service]
Type=forking
ExecStart=/usr/sbin/postfix start
ExecStop=/usr/sbin/postfix stop
ExecReload=/usr/sbin/postfix reload
PIDFile=/var/spool/postfix/pid/master.pid
Restart=on-failure

[Install]
WantedBy=multi-user.target
EOF

然后启用并启动服务：

systemctl enable --now postfix.service

验证 25 端口是否监听：

ss -tlnp | grep :25

预期输出应包含 *:25 或 0.0.0.0:25。

🧪 功能验证：发送测试邮件

手动测试

以 alice 身份发送邮件给 bob：

sudo -u alice s-nail -s "Postfix Test Mail" bob@localhost <<< "Hello Bob, this is a test email from Alice!"

切换到 bob 用户查看邮件：

sudo -i -u bob s-nail

输出应显示：

/var/spool/mail/bob: 1 message 1 new
>  1 alice@contoso.intra  Subject: Postfix Test Mail

✅ 恭喜！本地邮件收发已成功。

🤖 自动化验证脚本（推荐收藏）

为便于后续维护与测试，我们提供一个自动化验证脚本：

#!/bin/bash
# Postfix 邮件功能自动验证脚本
# 适用于本地测试环境

SENDER="alice"
RECEIVER="bob"
MAILDIR="/var/mail"
SUBJECT="Postfix Automated Test $(date +%H:%M:%S)"
BODY="This is a test email sent automatically to verify Postfix delivery."

echo "=== Postfix 邮件功能验证开始 ==="

# 检查服务
if ! pgrep master >/dev/null; then
  echo "[!] Postfix 未运行，正在启动..."
  systemctl start postfix || postfix start
fi

# 检查端口
if ss -tlnp | grep -q ":25"; then
  echo "[OK] 25端口监听正常"
else
  echo "[Error] 25端口未监听，请检查服务"
fi

# 清理旧邮件
> "$MAILDIR/$RECEIVER"

# 发信
sudo -u "$SENDER" s-nail -s "$SUBJECT" "$RECEIVER@localhost" <<< "$BODY"
sleep 3

# 检查收信
if grep -q "$SUBJECT" "$MAILDIR/$RECEIVER"; then
  echo "[OK] 邮件已成功投递到 $MAILDIR/$RECEIVER"
  echo "---- 邮件预览 ----"
  grep -A3 "$SUBJECT" "$MAILDIR/$RECEIVER"
else
  echo "[FAIL] 邮件未投递成功，请查看 /var/log/maillog"
  postqueue -p
fi

echo "=== 验证结束 ==="

保存为 /usr/local/bin/postfix-mailtest.sh 并执行：

chmod +x /usr/local/bin/postfix-mailtest.sh
bash /usr/local/bin/postfix-mailtest.sh

典型成功输出：

=== Postfix 邮件功能验证开始 ===
[OK] 25端口监听正常
[OK] 邮件已成功投递到 /var/mail/bob
---- 邮件预览 ----
Subject: Postfix Automated Test 20:43:12
This is a test email sent automatically to verify Postfix delivery.
=== 验证结束 ===

🌈 结语：掌控底层，方能驾驭未来

从一行 dnf update 到自动化验证脚本的成功输出，我们不仅完成了一次 Postfix 的源码部署，更经历了一次对 Linux 系统、网络服务、权限模型和邮件协议的深度实践。真正的技术掌控力，从来不是点击“安装”按钮，而是理解每一行配置背后的逻辑与权衡。

在云服务泛滥的今天，亲手构建一个“小而美”的邮件系统，或许不能直接带来商业价值，但它赋予你的，是对基础设施的敬畏与自信。而这，正是每一位技术人走向架构师之路的必经修炼。

下次当你收到一封邮件时，不妨想想——它是否也曾穿越过像今天这样一行行亲手敲下的代码？

愿你我，既能仰望云原生的星辰，也能脚踏源码编译的实地。

📌 本文代码已全部在 Rocky Linux 9.6 实机验证通过，可放心复现。
💬 欢迎在评论区分享你的部署经验或遇到的问题！

（点击上方蓝色标题即可跳转阅读，关注公众号「极客运维研习社」，获取更多技术实操手册，让运维效率翻倍～）