Перенос корпоративной почты на российский сервер: как переехать без потерь

Месяц назад один из моих клиентов — небольшая юридическая фирма на двадцать человек — позвонил в панике: почта на Google Workspace перестала отправлять письма в госорганы, несколько важных документов зависло в очереди. Вот тогда и началась та миграция, о которой я расскажу здесь подробно. Переносить корпоративную почту страшно — кажется, обязательно что-нибудь потеряешь. Но если знать последовательность шагов и не торопиться, всё проходит без потерь.

Почему бизнес уходит с зарубежных платформ

В 2022 году многие компании столкнулись с одной и той же проблемой: привычный Google Workspace или Microsoft 365 вдруг стал головной болью. Сначала пропала нормальная оплата — карты не принимают, биллинг завис, аккаунт заблокирован без предупреждения. У одного нашего клиента — транспортная компания, 35 рабочих мест в Подмосковье — однажды утром просто не открылась корпоративная почта. Восемь часов они работали на личных телефонах. Восемь часов потерянных переговоров.

Потом подтянулись правовые вопросы. Если у вас хранятся персональные данные клиентов или сотрудников — а они есть у всех, у кого есть бухгалтерия и кадровый учёт — то по 152-ФЗ эти данные должны обрабатываться на серверах в России. Роскомнадзор в последние два года заметно активизировался: проверки, штрафы до 18 миллионов рублей за повторное нарушение. Это уже не просто рекомендация для юристов — это реальный бизнес-риск.

Ещё один фактор — деньги. Google Workspace Business Starter обходился около 800–900 рублей на пользователя в месяц при оплате через посредников. На 30 пользователей это 25 000 рублей в месяц, 300 000 в год. Российские решения — Яндекс 360 для бизнеса или собственный сервер на Mailcow — выходят принципиально дешевле. Особенно если VPS у вас уже есть.

Что собрать и проверить до начала работ

Перед тем как что-то переносить, нужно понять что именно переносить. Звучит банально, но половина проблем при миграции возникает именно здесь. Я всегда начинаю с инвентаризации: список всех почтовых ящиков с указанием объёма данных в каждом. Объём критичен — ящик на 50 ГБ будет переноситься через imapsync несколько часов, и это надо учитывать при планировании окна технических работ.

Дальше — текущие DNS-записи домена. Их нужно зафиксировать до начала работ. Я обычно делаю так: запускаю dig @8.8.8.8 yourdomain.ru MX и dig @8.8.8.8 yourdomain.ru TXT, сохраняю вывод в текстовый файл. Там будут MX-записи (куда сейчас идёт почта), SPF-запись (с каких IP разрешена отправка), иногда DKIM и DMARC. Всё это нужно будет воссоздать на новом сервере. Не теряйте этот файл.

Отдельная история — уведомление людей. Сотрудников предупреждаю заранее: в такой-то день почта будет работать в ограниченном режиме, срочные вопросы — по телефону. Ключевых внешних контактов тоже стоит оповестить. Не обязательно длинным письмом с описанием технических работ. Достаточно: «с такого-то числа наша почта переезжает на новый сервер, если не получите ответ в течение суток — напишите ещё раз или позвоните». Два предложения.

Настройка нового сервера: всё до переключения DNS

Новый сервер должен быть полностью готов до того, как вы тронете DNS. Это принципиально. Мы работаем преимущественно с Mailcow — это Docker-based решение на базе Postfix и Dovecot с удобной веб-панелью. Разворачивается на VPS или выделенном сервере. Под 30 ящиков достаточно VPS с 4 ядрами, 8 ГБ RAM и 100 ГБ диска — обойдётся 2500–4000 рублей в месяц у российских хостеров типа Selectel или Timeweb. Настройка при наличии опыта занимает час-два.

SSL-сертификат — обязательно. Mailcow умеет получать его через Let's Encrypt автоматически, но для этого нужно, чтобы DNS поддомена mail.yourdomain.ru уже указывал на новый сервер. Не путайте: это DNS для поддомена, а не MX-запись основного домена. Их меняют независимо. Ещё PTR-запись — обратный DNS. Попросите хостера прописать её вручную. Без PTR многие почтовые серверы будут тихо отклонять ваши письма или класть их в спам.

SPF, DKIM и DMARC — три записи, без которых нормальной доставки не будет. SPF говорит другим серверам: вот список IP, которым разрешено слать письма от нашего домена. DKIM подписывает каждое письмо криптографической подписью. DMARC говорит что делать, если SPF или DKIM не прошли. Без этих трёх записей ваши письма будут попадать в спам у половины получателей. У нас был клиент — небольшое производство в Химках — которые полгода жаловались что коммерческие предложения не доходят. Настроили DKIM. Проблема исчезла в тот же день.

DNS: самое критичное место всей миграции

TTL — Time to Live. Это время в секундах, которое DNS-серверы по всему миру кэшируют вашу запись. По умолчанию у большинства регистраторов стоит 3600 или 86400 — час или целые сутки. Это значит, что после смены MX-записи весь мир продолжит слать почту на старый сервер ещё долгое время. За 24–48 часов до переезда снизьте TTL до 300 секунд. Тогда в момент переключения изменения разойдутся по миру за 5–10 минут, а не за сутки.

MX-запись — это указатель на сервер, который принимает почту для вашего домена. Выглядит примерно так: yourdomain.ru MX 10 mail.yourdomain.ru. Цифра 10 — приоритет. Когда переключаете почту, меняете эту запись на новый сервер. Совет: старую MX не удаляйте сразу, а оставьте с высоким числом приоритета — скажем, 20. Если что-то пойдёт не так в первый час, часть писем всё равно дойдёт на старый сервер. Подстраховка стоит одной строчки в DNS.

В период смены DNS — это 5–30 минут при TTL 300 — письма могут прийти как на старый, так и на новый сервер. Это нормально и это надо учитывать. Именно поэтому после переключения нужен ещё один прогон imapsync: забрать со старого сервера всё что пришло туда за время переходного периода. И ещё: не отключайте старый сервер немедленно. Подождите сутки, убедитесь что весь трафик идёт на новый, и только потом отключайте.

Перенос данных: imapsync и практика трёх прогонов

imapsync — наш основной инструмент переноса почтовых ящиков. Это утилита командной строки, которая подключается к двум IMAP-серверам одновременно и синхронизирует содержимое. Переносит всё: папки, письма, флаги прочитанного и непрочитанного, даты получения. Команда выглядит примерно так: imapsync --host1 mail.old.ru --user1 user@domain.ru --password1 PASS --host2 mail.new.ru --user2 user@domain.ru --password2 PASS. Для каждого ящика — отдельный запуск, но можно параллелить несколько.

Типичная миграция у нас проходит в три этапа. Первый прогон — за 2 дня до переезда: самый долгий, переносит всё накопленное за годы. Ящик на 20 ГБ гоняется 3–4 часа. Второй прогон — за час до переключения DNS: быстрый, переносит только новое. Третий прогон — через час после переключения: забирает письма, которые успели прийти на старый сервер за переходный период. Итого три прогона, минимум простоя, максимум сохранности данных.

Один момент, который часто упускают: общие и ресурсные ящики. info@, sales@, buh@, office@ — они есть почти в каждой компании, но их нет в списке «сотрудников», который вам дадут. Составьте отдельный список таких адресов. Убедитесь, что на новом сервере они созданы. Перенесите их через imapsync точно так же. Там может лежать многолетняя история переписки, которую терять нельзя.

Что проверить сразу после переезда

Первое, что я делаю после смены DNS — отправляю тестовые письма на внешние адреса: Яндекс, Mail.ru, Gmail с телефона. Жду. Письма должны прийти быстро и не в спам. Если в спам — смотрю заголовки письма. В большинстве клиентов есть кнопка «Показать оригинал» или «Показать источник». Там в заголовках будет чётко видно что именно провалилось: SPF, DKIM, или сервер отправки вообще не в белых списках.

MXToolbox — сайт, который должен быть открыт всё время технических работ. Вбиваете домен или IP — и видите MX-записи, SPF, DKIM, DMARC и главное — blacklist-статус вашего IP. Это важно: IP-адрес нового сервера мог уже побывать в чьих-то руках и попасть в список спамеров от предыдущего владельца. Бывает. Решается запросом на делистинг — обычно в течение суток. Лучше проверить это ещё до переезда, пока время есть.

Ещё один обязательный пункт — настройки почтовых клиентов на компьютерах сотрудников. IMAP и SMTP нужно обновить если изменился адрес сервера. На 20 машин при ручной настройке уйдёт 2–3 часа. Если компьютеры в домене Windows Server с групповыми политиками — раскатайте настройки через GPO, это быстрее. Предварительно проверьте что Outlook нормально работает хотя бы на нескольких тестовых машинах. Не на всех сразу.

Ошибки, которые мы видели — и которые стоили денег

Самая дорогостоящая ошибка — не снизить TTL заранее. Один наш клиент из сферы торговли решил переехать быстро, без подготовки. TTL стоял 86400 — сутки. После смены MX-записи весь мир ещё 18 часов слал почту на старый сервер. Часть писем они не забрали — старый сервер уже был отключён. Несколько потерянных заявок. Ущерб по одной сорванной сделке посчитали в 70 000 рублей. Пять минут на снижение TTL заранее это предотвратили бы.

Вторая по популярности ошибка — забыть про DKIM после переноса. Старый сервер подписывал письма своим ключом, новый — своим. Но DNS-запись с публичным ключом для проверки никто не обновил. Итог: письма уходят, но у получателей падают в спам. Компания несколько дней не понимает почему клиенты не отвечают. Потом оказывается что в спаме лежит пять важных писем с вопросами. Один ключ в DNS — один раз забыть — и репутация домена просела на недели.

Третья ошибка — не проверить PTR-запись на точное соответствие. Она должна совпадать с именем, которое ваш сервер указывает в SMTP-приветствии — так называемым EHLO-именем. Если есть расхождение, крупные почтовые провайдеры могут тихо отклонять соединение. Вы не увидите это сразу. Будет потеря исходящих писем — и выяснится через неделю, когда кто-то начнёт жаловаться что ответ так и не пришёл.

Частые вопросы

Сколько времени занимает миграция корпоративной почты?
Зависит от объёма данных и количества ящиков. Подготовка и настройка нового сервера — 1–2 рабочих дня. Сам перенос данных при 10–20 ящиках стандартного объёма занимает 4–8 часов. Момент переключения DNS — 15–30 минут реального простоя. При правильной подготовке сотрудники практически не замечают переезда.

Можно ли перенести почту без потери писем?
Да, если использовать трёхэтапный прогон через imapsync и заранее снизить TTL DNS-записей. Схема простая: первый прогон за 2 дня до переезда, второй — за час до переключения, третий — через час после. Так ни одно письмо не потеряется даже в переходный период, когда DNS ещё не распространился повсеместно.

Какой почтовый сервер выбрать для российского хостинга?
Мы рекомендуем Mailcow — open source, активно развивается, удобная панель, хорошая документация. Из коммерческих российских вариантов — Яндекс 360 для бизнеса, проще в обслуживании, не требует своего сервера. Если нужна полная независимость и контроль — VPS у Selectel, Timeweb или Hosting.ru с Mailcow на борту.

Обязательно ли настраивать DKIM и DMARC при переносе?
Обязательно. Без DKIM письма будут попадать в спам у части получателей — особенно у тех, кто использует строгие фильтры. DMARC без DKIM вообще не работает по смыслу. На настройку уходит 20–30 минут, но это одна из тех вещей, где экономить время нельзя. Потеря репутации домена восстанавливается неделями.