Добавление нового почтового домена в hMailServer (SSL + DKIM) — База знаний
Logo
Назад к базе

Добавление нового почтового домена в hMailServer (SSL + DKIM)

⚙️ SysAdmin Почта Серверы Безопасность

Этот гайд описывает процесс подключения нового клиента к серверу: от настройки базовых DNS до выпуска общего SSL-сертификата и настройки DKIM-подписи.

📋 Этап 1. Базовая настройка DNS (У регистратора домена)

Прежде чем выпускать сертификаты, нужно «объявить» новый домен в интернете.
Зайдите в панель управления DNS нового домена и создайте 3 записи:

  1. A-запись (связывает субдомен mail с сервером):
    • Хост/Субдомен: mail
    • Значение: 185.184.122.177 (IP вашего сервера)
  2. MX-запись (указывает, куда доставлять почту):
    • Хост/Субдомен: @
    • Значение: mail.ваш-новый-клиент.ru. (точка в конце, если требуется)
    • Приоритет: 10
  3. SPF-запись (разрешает отправку писем):
    • Тип: TXT
    • Хост/Субдомен: @
    • Значение: v=spf1 mx -all

🤖 Этап 2. Подготовка списка доменов (через AI)

Чтобы сертификат работал корректно для всех клиентов, нам нужно объединить старые домены и новый в один список. Чтобы не выписывать их вручную, используем win-acme и нейросеть.

Шаг 2.1. Получение сырого списка

  1. Запустите wacs.exe.
  2. В главном меню нажмите A (Manage renewals).
  3. Вы увидите список всех текущих сертификатов. Выделите мышкой весь этот текст прямо в консоли и нажмите Enter (чтобы скопировать).

Пример того, что вы скопируете:

 1: ' - 2 renewals, due 2026/3/3
 2: [Manual] ai.hereagency.ru - 3 renewals...
 3: [Manual] mail.hereagency.online - 1 renewal...
 4: [Manual] mail.hereagency.ru - 2 renewals...
 ...

Шаг 2.2. Обработка через нейросеть

Откройте ChatGPT (или любой другой AI) и отправьте ему следующий промпт, подставив свои данные:

У меня есть список текущих сертификатов из консоли (см. ниже).
И есть новый домен, который нужно добавить: mail.НОВЫЙ_КЛИЕНТ.ru

Задача:
1. Выбери из списка ниже все домены, которые начинаются на "mail."
2. Добавь к ним мой новый домен.
3. Убери дубликаты.
4. Выдай результат одной строкой, строго через запятую, без пробелов.

Вот список из консоли:
[ВСТАВЬ СЮДА ТО, ЧТО СКОПИРОВАЛ ИЗ WACS]

Результат: Нейросеть выдаст вам чистую строку вида:
mail.old1.ru,mail.old2.ru,mail.new-client.ru

Скопируйте её.

🔐 Этап 3. Перевыпуск SSL-сертификата

Возвращаемся в win-acme (если выходили, запустите заново). Мы создадим новый сертификат поверх старого.

  1. В главном меню нажмите M (Create certificate full options).
  2. Input: выберите 2 (Manual input).
  3. Hostnames: Вставьте строку, полученную от нейросети в Этапе 2.
  4. Friendly name: Нажмите Enter (или введите понятное имя, например All_Mail_Domains).
  5. Validation: выберите 2 [http-01] Serve verification files from memory.
  6. Key type: выберите 2 (RSA key).
  7. Store (Хранилище):
    • Выберите PEM encoded files (обычно цифра 2).
    • Path: укажите путь к папке с ключами:
      C:\Users\Administrator\Desktop\Services\hMailServer\Keys
    • Password: выберите 1 (None).
  8. Installation: выберите 1 (No additional steps).
  9. Overwrite: Система спросит: «Обновить существующую задачу?». Ответьте Yes.

⚠️ Важно!

Сразу после этого перезапустите службу hMailServer, чтобы применился новый сертификат.

🔑 Этап 4. Генерация DKIM-ключей

Генерируем уникальную цифровую подпись для нового клиента.

  1. Откройте командную строку (CMD) от имени администратора.
  2. Перейдите в папку с ключами: 
    cd "C:\Users\Administrator\Desktop\Services\hMailServer\Keys"
  3. Сгенерируйте приватный ключ (замените client на название домена клиента): 
    openssl genrsa -out client_dkim.private.key 2048

    Если openssl не найден, используйте полный путь: "C:\Program Files\OpenSSL-Win64\bin\openssl.exe" genrsa -out client_dkim.private.key 2048

  4. Извлеките публичный ключ (для DNS): 
    openssl rsa -in client_dkim.private.key -pubout -out client_dkim.public.key

    Или: "C:\Program Files\OpenSSL-Win64\bin\openssl.exe" rsa -in client_dkim.private.key -pubout -out client_dkim.public.key

  5. Не закрывайте окно, сейчас нам понадобятся эти файлы.

📡 Этап 5. Финальная настройка DNS (DKIM & DMARC)

Чтобы письма не попадали в спам, пропишите ключи защиты.

  1. Откройте файл client_dkim.public.key (Блокнотом).
  2. Скопируйте код ключа в одну строку (убрав -----BEGIN..., -----END... и переносы строк).
  3. В панели DNS создайте TXT-запись:
    • Хост: mail._domainkey
    • Значение: v=DKIM1; k=rsa; p=ВАШ_ДЛИННЫЙ_КОД
  4. Создайте еще одну TXT-запись (политика DMARC):
    • Хост: _dmarc
    • Значение: v=DMARC1; p=none; rua=mailto:admin@hereagency.ru

⚙️ Этап 6. Настройка hMailServer

  1. Откройте hMailServer Administrator.
  2. Перейдите в Domains -> Add... -> Введите имя нового домена -> Save.
  3. Перейдите во вкладку DKIM Signing:
    • Enabled: ✅ (Включить).
    • Private key file: выберите файл ...Keys\client_dkim.private.key, созданный в этапе 4.
    • Selector: mail (строго как в DNS).
    • Нажмите Save.
  4. Перейдите в папку Accounts и создайте почтовые ящики для клиента.

Готово! Клиент добавлен, SSL-шифрование работает, письма подписаны.

Создано: 7 января 2026

Обновлено: 8 января 2026