1.
概述与迁移前的准备
- 评估目的:提高对大陆的连通性(CN2优选)、改善邮件送达率并降低延迟。
- 资源清单:列出现有MX记录、PTR记录、SPF/DKIM/DMARC策略、SMTP端口使用情况。
- 备份要求:备份邮件数据(mbox/Maildir)、备份DNS配置(zone file)与SSL证书。
- 法规与合规:确认目标台湾VPS的邮件发送限制与运营商策略,是否需备案或合规审查。
- 测试计划:准备回退方案与分阶段迁移(低峰迁移+灰度验证)。
2.
网络路径与延迟、CN2兼容性注意
- 路由测试:使用traceroute/tracert和mtr对目标台湾VPS公网IP做多点测试(上海/北京/广州/香港节点)。
- 延迟数据:典型示例 — 从北京到台湾 CN2 VPS RTT 50ms,可与非CN2的120ms相比对,验证是否为CN2 GIA优化链路。
- 丢包与MTU:检查中间链路丢包率(目标 <1%),若存在MTU问题调整接口(MTU=1460 常见)。
- IPv4/IPv6:确认邮件发送是否使用IPv6,许多ISP对IPv6路径稳定性不同,必要时禁用IPv6邮件出口。
- 端口限制:运营商或VPS常封堵25端口,准备587/465或配置smarthost(中继)作为备选。
3.
DNS与邮件认证(MX/SPF/DKIM/DMARC/PTR)
- MX切换策略:建议先降低MX的TTL(如300秒)在迁移前24小时内生效,完成验证后再恢复到3600或86400。
- SPF示例:v=spf1 ip4:203.0.113.12 include:spf.provider.net -all(将台湾VPS公网IP加入授权清单)。
- DKIM配置:生成2048位密钥,公开DNS TXT selector._domainkey;服务器端用opendkim签名。
- DMARC建议:初期使用 p=none 监控,示例:v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com; pct=100。
- 反向DNS/PTR:向VPS供应商申请将公网IP的PTR指向 yourmail.yourdomain.com,确保HELO/到PTR匹配。
4.
Postfix 与 OpenDKIM 等服务端示例配置
- Postfix main.cf 要点(示例片段):myhostname = mail.yourdomain.com;mydestination = yourdomain.com, localhost;mynetworks = 127.0.0.0/8, 203.0.113.0/24。
- TLS配置(示例):smtpd_tls_cert_file=/etc/letsencrypt/live/yourdomain.com/fullchain.pem;smtpd_tls_key_file=/etc/letsencrypt/live/yourdomain.com/privkey.pem。
- 认证与端口:启用 submission:/etc/postfix/master.cf 中 587 inet n - n - - smtpd,并强制 STARTTLS + SASL。
- OpenDKIM 基本配置示例:KeyTable /etc/opendkim/KeyTable;SigningTable /etc/opendkim/SigningTable;Socket inet:12301@localhost。
- PTR与HELO一致性:postconf -e "smtp_helo_name=mail.yourdomain.com";并向ISP确认PTR已设为相同主机名。
5.
CDN、DDoS防护与邮件服务的关系
- CDN用途区分:CDN适合静态/动态网站资源加速,但电子邮件协议(SMTP)不能通过常规CDN代理。
- DDoS防护:为SMTP端口建议使用具备SMTP清洗的防护厂商或在上游启用ACL与连接速率限制。
- 弹性MX与备份:配置两条MX(优先级10主VPS,20备用中继),备用可使用第三方邮件队列服务作临时中继。
- 流量限制:在Postfix中设置smtpd_client_connection_count_limit与smtpd_client_message_rate_limit防止滥发。
- 监控告警:部署Prometheus/Netdata或Zabbix监控端口连接数、队列积压(postqueue -p)和邮件退信率。
6.
真实迁移案例与配置对比(含表格示例)
- 案例简介:某科技有限公司(example.com)由新加坡VPS迁移到台湾CN2 VPS,目标改善大陆客户SMTP连通与页面响应。
- 迁移步骤:1) 降低MX TTL 2) 同步邮箱数据 3) 部署Postfix+OpenDKIM 4) 暂用备用MX灰度验收 5) 切换MX并监控48小时。
- 结果摘要:迁移后到上海平均RTT 从120ms降至35ms,邮件30天送达率从87%提升到96%。
- 注意点回顾:确认25端口是否受限、完成PTR设置、分阶段调整SPF/DKIM/DMARC策略。
- 推荐动作:迁移后7天内每日检查 bounce logs、postfix queue 与接受率,并调整防护与限速策略。
| 项目 |
迁移前(SG VPS) |
迁移后(TW CN2 VPS) |
| CPU |
2 cores |
4 cores |
| 内存 |
4 GB |
8 GB |
| 带宽 |
100 Mbps |
200 Mbps |
| 到上海 RTT |
~120 ms |
~35 ms |
| 到北京 RTT |
~140 ms |
~50 ms |
| 邮件送达率(30天) |
87% |
96% |
| 公网IP类型 |
普通公网IP |
CN2 GIA 优化IP |
7.
迁移后运维与常见故障排查
- 日志分析:查看 /var/log/mail.log 与 /var/log/maillog,关注 421/451/550 类退信码,定位黑名单或被动拒收问题。
- 黑名单检查:使用DNSBL检测(zen.spamhaus.org 等),若被列入,按指引申请解除并检查是否为开放中继或被滥发。
- 队列管理:postqueue -p 查看积压,postqueue -f 强制重试,若积压持续检查网络与对端拒收原因。
- 性能调优:根据并发连接数调整 Postfix 的 default_process_limit、smtpd_client_connection_count_limit。
- 定期审计:每周检查SPF/DKIM生效、DMARC报告、以及SMTP端口被封或被限流的异常。
