Panduan ini cocok buat kamu yang mau pakai PMG sebagai Mail Gateway di depan mail server backend (contoh: Poste.io) supaya email:

✅ Difilter Spam/Virus
✅ Auto DKIM Sign ✍️
✅ Lolos SPF
✅ Lolos DMARC
✅ Gak masuk Spam 😎

🧱 Arsitektur Target

Internet
   ↓
MX Domain
   ↓
PMG (Filter + DKIM)
   ↓
Mail Server Backend (Poste.io / dll)
   ↓
Inbox User

PMG = Security Layer 🔐
Mail Server = Storage Inbox 📬

✅ Prasyarat

Siapkan dulu:

⚠️ PTR WAJIB sama dengan hostname PMG.

💿 INSTALL PMG VIA ISO

1️⃣ Download ISO

Download dari:
https://www.proxmox.com/en/downloads

2️⃣ Buat VM

Rekomendasi:

• CPU: 2 Core 🧠
• RAM: 2–4GB 🧬
• Disk: 20–40GB 💾
• Network: Bridge ke Public / LAN

Boot dari ISO → pilih:

Install Proxmox Mail Gateway

3️⃣ Network Setting

Isi:

Hostname : pmg.domainkamu.id
IP       : (LAN / Public IP)
Gateway  : sesuai network

Install selesai → Reboot 🔄

Akses:

https://IP-PMG:8006

🌐 DNS WAJIB

A Record

pmg.domainkamu.id → 103.16.2.61
Proxy: DNS Only

MX Record

domainkamu.id → pmg.domainkamu.id
Priority: 10
DNS Only

SPF

v=spf1 ip4:103.16.2.61 -all

🔥 NAT PERLU (JIKA PMG DI BAWAH MIKROTIK)

Misal PMG LAN:

172.21.0.9

/ip firewall nat
add chain=dstnat protocol=tcp dst-address=103.16.2.61 dst-port=25 action=dst-nat to-addresses=172.21.0.9 to-ports=25 comment="SMTP to PMG"

/ip firewall nat
add chain=dstnat protocol=tcp dst-address=103.16.2.61 dst-port=26 action=dst-nat to-addresses=172.21.0.9 to-ports=26 comment="SMTP to PMG"

/ip firewall nat
add chain=srcnat src-address=172.21.0.9 prot
ocol=tcp dst-port=25 action=src-nat to-addresses=103.16.2.61 comment="FORCE PMG SM
TP OUT"

⚙️ KONFIGURASI PMG

Masuk:

Configuration → Mail Proxy

🟢 STEP 1 — Relay Domain

Tambahkan domain yang dilayani:

masdika.id

🟢 STEP 2 — Transport (Per Domain)

masdika.id → 103.16.6.9 → port 25
Use MX: Uncheck

PMG akan forward email ke backend.

🟢 STEP 3 — Trusted Network

Tambahkan backend mail:

103.16.6.9/32

Supaya backend boleh kirim outbound via PMG.

🟢 STEP 4 — Enable TLS

Enable TLS: Yes

🔐 DKIM CONFIG

Masuk:

Configuration → Mail Proxy → DKIM

Edit:

Enable DKIM Signing: Yes
Selector: pmg
Sign all Outgoing Mail: Yes

🟢 STEP 5 — Sign Domain

Klik Create:

masdika.id

⚠️ CLI OPENSSL?

Jalankan perintah ini untuk generate DKIM

PMG otomatis generate:

openssl genrsa -out /etc/pmg/dkim/pmg.private 2048
openssl rsa -in /etc/pmg/dkim/pmg.private -pubout -out /etc/pmg/dkim/pmg.public

🟢 STEP 6 — Ambil DKIM

Klik:

View DNS Record

Salin TXT Public Key.

🌍 DNS DKIM (SETIAP DOMAIN)

masdika.id

Type:

TXT

Name:

pmg._domainkey

Value:
➡️ Paste public key hasil generate DKIM
⚠️ SATU BARIS TANPA TANDA KUTIP

📬 POSTE.IO (BACKEND)

Admin → SMTP Route:

Route all outgoing emails via external mailserver ✔
Target SMTP: pmg.domainkamu.id
Port: 26
Auth: Off

⚠️ Matikan DKIM di backend.
Biarkan PMG yang sign.

🧪 TESTING

Kirim email ke Gmail.

Gmail → Show Original

Harus muncul:

SPF: PASS
DKIM: PASS
DMARC: PASS

🧰 TROUBLESHOOT

Backend ➜ PMG

telnet pmg.domainkamu.id 25

PMG ➜ Internet

telnet gmail-smtp-in.l.google.com 25

Realtime Log

tail -f /var/log/mail.log

🟣 MULTI DOMAIN

Domain baru?

Cukup:

1. Tambah Relay Domain
2. Tambah Transport
3. Tambah Trusted Network
4. Tambah Sign Domain
5. Tambah TXT DKIM

❌ Tidak perlu generate key baru

🛠️ TROUBLESHOOTING: Error TLS Certificate Missing di PMG

Pada beberapa kasus setelah instalasi Proxmox Mail Gateway, email masuk bisa gagal karena TLS certificate tidak ditemukan.

Biasanya akan muncul error seperti ini di log:

tail -f /var/log/mail.log

Contoh error:

warning: error opening chain file: /etc/pmg/pmg-tls.pem: No such file or directory
lost connection after STARTTLS

Artinya Postfix tidak menemukan file TLS certificate yang digunakan untuk STARTTLS.

Akibatnya mail server lain seperti Gmail akan memutus koneksi karena handshake TLS gagal.

🔍 Penyebab

File TLS bawaan PMG belum dibuat atau gagal dibuat.

File yang dicari oleh Postfix adalah:

/etc/pmg/pmg-tls.pem

Jika file ini tidak ada maka SMTP TLS akan gagal.

⚡ Cara Cepat Solve (Generate TLS Manual)

Jika terjadi error tersebut, kita bisa membuat certificate sementara menggunakan OpenSSL.

Jalankan perintah berikut:

openssl req -x509 -newkey rsa:4096 -nodes \
-keyout /etc/pmg/pmg-tls.pem \
-out /etc/pmg/pmg-tls.pem \
-days 3650 \
-subj "/C=ID/ST=East Java/L=Surabaya/O=PMG/OU=Mail/CN=pmg.masdika.id"

Perintah ini akan membuat Self Signed Certificate yang langsung bisa digunakan oleh Postfix.

🔐 Set Permission File

Setelah certificate dibuat, atur permission agar bisa dibaca oleh Postfix:

chmod 640 /etc/pmg/pmg-tls.pem
chown root:www-data /etc/pmg/pmg-tls.pem

🔄 Restart Postfix

Agar konfigurasi TLS terbaca oleh sistem mail:

systemctl restart postfix

🔎 Verifikasi

Pastikan file sudah ada:

ls -lh /etc/pmg/pmg-tls.pem

Cek kembali log mail:

tail -f /var/log/mail.log

Jika berhasil, error berikut akan hilang:

error opening chain file
lost connection after STARTTLS

Dan koneksi SMTP TLS akan berjalan normal.

⚠️ Catatan

Certificate yang dibuat di atas adalah Self Signed Certificate, sehingga:

✔ SMTP tetap berjalan normal
✔ Gmail tetap bisa kirim email
❗ Sertifikat tidak trusted oleh browser

Untuk produksi disarankan menggunakan Let’s Encrypt Certificate melalui fitur ACME di Proxmox Mail Gateway.

🎯 Kesimpulan

Jika PMG mengalami error TLS seperti ini:

error opening chain file: /etc/pmg/pmg-tls.pem

Solusinya cukup:

1️⃣ Generate TLS certificate manual
2️⃣ Set permission file
3️⃣ Restart postfix

SMTP akan langsung normal kembali.

🛠️ TROUBLESHOOTING: ClamAV Tidak Bisa Update (freshclam error)

Pada beberapa instalasi Proxmox Mail Gateway, proses update database antivirus ClamAV bisa gagal.

Biasanya muncul error seperti ini saat menjalankan:

freshclam

Contoh error:

WARNING: Download failed (6)
Message: Couldn't resolve host name
Can't download daily.cvd from https://database.clamav.net

Padahal server sebenarnya bisa internet dan DNS normal.

🔍 Penyebab

Masalah ini biasanya disebabkan oleh AppArmor yang memblokir proses freshclam.

AppArmor adalah security module di Linux yang membatasi akses aplikasi terhadap sistem.

Pada beberapa instalasi Proxmox Mail Gateway, policy AppArmor dapat membuat freshclam tidak bisa melakukan koneksi keluar, sehingga update database virus gagal.

⚡ Cara Fix

Install utilitas AppArmor terlebih dahulu:

apt update
apt install apparmor-utils -y

Kemudian ubah mode AppArmor untuk freshclam menjadi complain mode:

aa-complain /usr/bin/freshclam

Jika berhasil akan muncul output seperti ini:

Setting /usr/bin/freshclam to complain mode.

Mode ini membuat AppArmor tidak lagi memblokir freshclam, tetapi hanya mencatat aktivitasnya ke log.

🔄 Update Database ClamAV

Setelah itu jalankan kembali update database:

freshclam

Jika berhasil akan muncul output seperti:

daily.cld updated
main.cvd database is up-to-date
bytecode.cvd database is up-to-date
Clamd successfully notified about the update.

Artinya database antivirus berhasil diperbarui dan service ClamAV sudah aktif.

🔎 Verifikasi Service ClamAV

Pastikan service berjalan:

systemctl status clamav-freshclam

atau

systemctl status clamav-daemon

🎯 Kesimpulan

Jika PMG mengalami error seperti ini:

Couldn't resolve host name
Failed to get daily database version

Padahal koneksi internet normal, biasanya penyebabnya adalah AppArmor memblokir freshclam.

Solusinya cukup:

1️⃣ Install apparmor-utils
2️⃣ Jalankan aa-complain /usr/bin/freshclam
3️⃣ Jalankan kembali freshclam

Setelah itu database antivirus akan update normal kembali.embali.

🎉 FINAL

Setup kamu sekarang:

✔ Gateway Filter
✔ DKIM Signing
✔ SPF PASS
✔ DMARC PASS
✔ TLS Enabled
✔ Multi Domain Ready

Production Ready 🚀