作为一个曾经被老板按头搭建公司邮局的IT狗（现在已经是钮祜禄·IT总监了），今天就来聊聊怎么用Windows Server打造一个既专业又安全的邮件系统。全程无尿点预警！文末附赠"老板再也不用担心我们群发offer被当垃圾邮件"的祖传秘方~

---

一、为什么自建邮局比租公寓香？

去年我们公司行政小姐姐突发奇想："咱们用免费企业邮箱发offer被当垃圾邮件了！"——这就是典型的"租房踩雷"。自建邮局相当于买学区房：

- 数据主权：重要合同不会躺在别人服务器上裸奔

- 定制规则：自动归档/敏感词过滤/假期自动回复随便玩

- 成本可控：200人规模三年费用≈某讯企业邮箱一年租金

举个栗子🌰：我们给销售部设置了"客户@域名.com"自动转发规则+敏感词告警（检测到"合同终止"立即抄送法务），成功避免过三次重大纠纷。

二、装机前的灵魂三问

1️⃣ 硬件选型堪比选老公

- CPU：至少4核（建议直接上Xeon银牌）

- 内存：16GB起步（Exchange是个内存饕餮）

- 存储：RAID10阵列必须的！别问我怎么知道的——某次单盘故障差点让全公司集体摸鱼

2️⃣ 软件全家桶

- Windows Server 2019+（2022更佳）

- Exchange Server 2019（注意CAL许可证数量！）

- IIS必须装SMTP服务（划重点要考）

3️⃣ 网络准备

- 固定公网IP（动态IP发信会被全网拉黑）

- 开放25/587/443端口（防火墙没放行？恭喜喜提"发送失败小王子"称号）

三、DNS设置的三大神兽

▶ MX记录 - 邮局的GPS定位

就像外卖小哥必须知道你家地址：

```

名称 类型 值 优先级

@ MX mail.yourdomain.com 10

测试命令：nslookup -type=mx yourdomain.com

▶ PTR记录 - 邮件的身份证

反向解析相当于验明正身：

```powershell

Add-DnsServerResourceRecordPtr -Name "192.168.1.100" -ZoneName "1.168.192.in-addr.arpa" -PtrDomainName "mail.yourdomain.com"

▶ SPF记录 - 防伪钢印

告诉全世界："只有这些IP能代表我发信！"

v=spf1 ip4:203.0.113.5 include:spf.protection.outlook.com -all

最近帮客户排查过经典翻车现场：SPF写成了?all（中性）而不是-all（严格），结果被钓鱼邮件钻空子。

四、Exchange安装の玄学指南

1️⃣ 先决条件过五关

Install-WindowsFeature RSAT-ADDS, AS-HTTP-Activation, NET-Framework-45-Features...

建议直接复制微软官方脚本，别学我当年手动勾选漏掉WebSocket导致半夜回滚...

2️⃣ 组织架构树要种好

在AD里提前规划OU结构：

公司总部（OU）

├── 管理部门

├── 研发中心

└── 分支机构（子OU）

3️⃣ 数据库分库策略

千万别把所有鸡蛋放一个篮子里：

```exchange-powershell

New-MailboxDatabase -Name "VIP_Mailbox" -EdbFilePath "D:\DB\VIP.edb"

Set-Mailbox -Identity "CEO@company.com" -Database "VIP_Mailbox"

五、安全加固の七伤拳

1️⃣ TLS加密传输

在IIS管理器里给SMTP绑定证书：

New-ExchangeCertificate -GenerateRequest -SubjectName "C=CN, O=MyCompany, CN=mail.yourdomain.com"

2️⃣ 反垃圾三重奏

Set-SenderFilterConfig -BlockedDomains {spammer.com}

Set-ContentFilterConfig -SCLDeleteThreshold 6

Add-HostedContentFilterPolicy -Name "StrictMode" -HighConfidenceSpamAction Quarantine

3️⃣ 登录审计骚操作

我们给财务部额外设置了：

```powershell

Set-CASMailbox -Identity CFO@company.com -ImapEnabled $false -PopEnabled $false

🚑急救包：常见翻车现场抢救指南

症状①："对方显示代发"

✅检查SPF/DKIM/DMARC三件套

✅用mxtoolbox.com做全面体检

症状②："突然全员收不到外部邮件"

✅查看队列查看器是否有堆积

✅telnet mailserver.com 25测试连通性

症状③："CEO说手机不能同步日历"

✅确认已发布Autodiscover服务

✅检查防火墙是否放行EWS端口

---

最后送大家一句至理名言："永远不要在周五下午部署Exchange更新包！"别问我是怎么总结出来的...现在就去评论区分享你的血泪史吧！

TAG:windows邮件服务器搭建,邮件服务器如何搭建,windows server 2019搭建邮件服务器,windows邮件服务器怎么搭建,邮件服务器搭建的详细步骤,邮件服务器怎么搭建