Я пользуюсь iRedMail, который по сути является просто установщиком и первоначальным конфигуратором связки Postfix+Dovecot+антиспам и DKIM-демонов. Уже сразу после установки такой расклад уже несколько лучше, чем держать почту у дядек, которые ключевые слова из почты пылесосят. Однако, можно предпринять несколько шагов для закаливания безопасности:

1. Установка сертификатов от Letsencrypt для Postfix и Dovecot. Подписанные публичным CA сертификаты нужны для последующих шагов, но не только: это полезно само по себе для того, чтобы почтовый клиент для отправки-получения почты можно было настроить на требование валидных сертов.
2. Настройте Postfix на валидацию сертификатов его пиров. В iRedMail это уже сделано по умолчанию. В общем случае — нужно обеспечить, чтобы smtp_tls_CAfile указывал на системный бандл сертификатов.
3. Включите использование DANE в Postfix. Отправку с использованием DANE вы можете настроить в любом случае, а анонсирование своей TLSA только если ваш домен подписан DNSSEC. На сегодняшний день этот механизм имеет кое-какое распространение и сам по себе самодостаточен и надёжен. Важно заметить, что если вы публикуете отпечаток ключа своего сертификата через DANE и используете сертификаты, то вам удобнее будет использовать опцию reuse_key в certbot, чтобы при перевыпуске сертификата LetsEncrypt вам не приходилось менять запись.
4. Настройте MTA-STS. По сути это замена DANE для случаев, когда отправитель или получатель не могут внедрить у себя DNSSEC и DANE. По этой теме можно почитать:
   
   1. Мою статью: ru, en
   2. Статью Люка де Лоу: en
   3. Статью Стефана Борцмейера: fr

БОНУСЫ

Положу на чашу весов «стоит ли иметь свой self-hosted почтовый сервер» ещё пару приятных дополнений, в добавок к очевидным:

• Можно настроить псевдонимы для своей почты по регулярным выражениям. Я использую это так: в линкедине я зарегистрирован как user-ex-linkedin@example.com, в фейсбуке user-ex-facebook@example.com. Важно заметить, что псевдонимы просто сопоставляются по маске и заблаговременно заводить каждый не нужно. Чем это хорошо: во-первых, если начинает валить спам, то сразу видно, откуда. Я таким образом узнал, что мне персонализированный спам валит через утечку емэйла в линкедине, который раскрывается контактам при добавлении их в круги. Во-вторых, это слегка добавляет неопределённости в ваши логины в аккаунтах по емэйлу. Почему нельзя просто использовать плюсик в адресе? Некоторые сервисы это явно запрещают, и большинство (спамеров) понимают, что адрес этот эквивалентен той части, которая до плюса.
• Можно шифровать своим открытым ключом почту сразу при её приёме, даже если она не была зашифрована отправителем. В таком случае даже при изъятии сервера из него ничего не вытрясти, только если незаметно вмешаться после его компрометации. Конкретно то руководство, которое я привёл, немного устарело в том плане, что на сегодняшний день ничего из исходников собирать не нужно — всё есть в пакетах в дебиане и убунту.