MarvinD

3. Нужно ли отключать SELinux

Вообще некорректно поставлен вопрос. Его никогда не нужно выключать, если к этому нет конкретных предпосылок. В вашем случае вы используете широко известный софт, он к SELinux относится хорошо. Понимать настройку SELinux, возможно придется. Но понимать и "нужно отключать" разные вещи.

4. Или я всё делаю неправильно и нужно использовать docker?

Опять - нужно. Так можно дойти до того, что "нужно использовать Debian, а не CentOS". Выше правильно сказали, что docker в первую очередь ориентирован не для обеспечения безопасности конфигурации.

Минимально для безопасности VPS нужно:
1) доступ по ключу, а не по паролю;
2) firewall, разрешающий только то, что нужно (ssh, http, https).

И погуглите насчет secure nginx, что-то в этом роде.

Т.е. защищать надо, начиная с точек, к которым остальные имеют доступ. А это открытые порты к сервисам, которые вы не можете от других закрыть.

Спасибо еще раз всем откликавшимся, опишу реальный опыт. В качестве варианта решения использую Azure, Win 2016 Std, конфигурация сервера Standard DS11 (2 vcpus, 14 GB memory). При 9 не очень активных пользователях (почта, чуть-чуть документы, чуть-чуть браузер) процессор в рабочие часы от 20 до 50 процентов в среднем загружен, до 80% легко поднимается, когда все работать начинают. В общем, по процессору иду на грани, но пока тянет и не плачу больше нужного. Память на пользователя в среднем от 300 Мб до 1 Гб. Диск с данными использую IOPS limit 2300, throughput limit (MB/s) 150. Антивирус - встроенный MS. Если работа пойдет активнее, процессор почти точно будет нужен мощнее. Отрисовка страниц браузера просто ужасная, самый большой источник раздражения. Не знаю, что с этим поделать - виртуальную видеокарту арендовать, в общем, не знаю. Офисные приложения работают норм.

Т.е. память лучше рассчитывать мин 500 Мб, макс 1 Гб на юзера, а процессор, надо полагать, одно виртуальное ядро MS на 3-6 пользователей.

Вы же бесплатный ищете? Тогда Iredmail, как уже выше сказал Руслан Федосеев
Если платный и не геморный, но функциональный, то Kerio Connect.

А если клиентам выдать статические ip (чтобы не было завязки на возможные проблемы с dhcp)? Т.е. не то, чтобы это за решение брать, а просто проверить.

Как вариант, выставить привязку mac к ip.