E-Mail-Server selbst betreiben mit Mailcow: Docker-Setup, Deliverability und Praxistest

E-Mail-Server selbst betreiben mit Mailcow: Docker-Setup, Deliverability und Praxistest

E-Mail ist die kritischste Infrastruktur, die die meisten Unternehmen nicht kontrollieren. Jede Rechnung, jeder Vertrag, jede Kundenanfrage läuft über einen Dienst, den ein US-Konzern betreibt. Mailcow ändert das: Ein vollständiger E-Mail-Server als Docker-Stack, den Sie auf Ihrem eigenen Server betreiben. DSGVO-konform, unter Ihrer Kontrolle.

Aber E-Mail ist auch das System, bei dem Self-Hosting am meisten schiefgehen kann. Falsche DNS-Konfiguration, fehlende Authentifizierung oder ein schlecht konfigurierter Spam-Filter können dazu führen, dass Ihre E-Mails nie ankommen — oder schlimmer, dass Ihr Server auf Blacklists landet. In diesem Artikel zeigen wir, wie Sie Mailcow mit Docker aufsetzen, welche Fallstricke lauern und wann Managed Hosting die sicherere Wahl ist.

Was ist Mailcow?

Mailcow (genauer: mailcow: dockerized) ist eine vollständige E-Mail-Suite, die als Docker-Compose-Stack bereitgestellt wird. Das Projekt wird von André Peters entwickelt und ist unter der GPL v3 lizenziert. Der Stack umfasst:

• Postfix: SMTP-Server für den E-Mail-Versand und -Empfang
• Dovecot: IMAP/POP3-Server für den Zugriff auf Postfächer
• SOGo: Webmail-Oberfläche mit Kalender und Kontakten (CalDAV/CardDAV)
• Rspamd: Spam-Filter mit Machine Learning, Greylisting und DKIM-Signierung
• ClamAV: Antivirus-Scanner (optional, ressourcenintensiv)
• Nginx: Reverse Proxy und Webserver für die Admin-Oberfläche
• MariaDB/MySQL: Datenbank für Konfiguration und Benutzerverwaltung
• Redis: Cache für Rspamd und SOGo
• Unbound: Lokaler DNS-Resolver für DNSSEC-Validierung

Das Besondere an Mailcow: Alles wird über eine komfortable Web-UI verwaltet. Domains, Postfächer, Aliase, Spam-Regeln, DKIM-Schlüssel — kein manuelles Editieren von Konfigurationsdateien nötig.

Systemanforderungen

Mailcow ist ressourcenhungrig — vor allem wegen ClamAV und Rspamd:

• RAM: Mindestens 6 GB, empfohlen 8 GB. ClamAV allein benötigt 1,5 bis 2 GB für die Signaturdatenbank. Ohne ClamAV reichen 4 GB.
• CPU: 2 Kerne Minimum, 4 Kerne empfohlen. Rspamd ist CPU-intensiv bei hohem Mailvolumen.
• Festplatte: 20 GB für das System plus Speicher für E-Mails. Planen Sie 1 GB pro Postfach als Faustregel — bei aktiven Nutzern schnell mehr.
• Betriebssystem: Linux (Ubuntu 22.04/24.04, Debian 12 empfohlen). Docker und Docker Compose müssen installiert sein.

Netzwerk-Anforderungen — der entscheidende Punkt

Hier scheitern die meisten Self-Hosting-Versuche, bevor sie beginnen:

• Port 25 muss offen sein: Ohne Port 25 (SMTP) kann Ihr Server keine E-Mails empfangen und an andere Server senden. Viele Cloud-Provider (AWS, Azure, Google Cloud, teilweise auch Hetzner Cloud) blockieren Port 25 standardmäßig, um Spam zu verhindern.
• Statische IP-Adresse: Pflicht. Dynamische IPs landen sofort auf Blacklists.
• Reverse DNS (PTR-Record): Die IP-Adresse muss auf den Hostnamen des Mailservers zurückauflösen. Ohne PTR-Record lehnen Gmail, Outlook und andere große Provider Ihre E-Mails ab.
• Saubere IP: Prüfen Sie vor der Einrichtung, ob die IP-Adresse bereits auf Blacklists steht (mxtoolbox.com). Shared Hosting oder günstige VPS haben oft vorbelastete IPs.

Diese Netzwerk-Anforderungen sind der Grund, warum E-Mail-Self-Hosting deutlich anspruchsvoller ist als das Hosten einer Webanwendung.

Installation: Schritt für Schritt

1. DNS vorbereiten

Bevor Sie Mailcow installieren, müssen die DNS-Einträge stehen. Angenommen, Ihre Domain ist example.com und der Mailserver heißt mail.example.com mit IP 203.0.113.42:

# A-Record für den Mailserver
mail.example.com.    IN A     203.0.113.42

# MX-Record: E-Mails an example.com gehen an mail.example.com
example.com.         IN MX 10 mail.example.com.

# SPF: Nur mail.example.com darf E-Mails für example.com senden
example.com.         IN TXT   "v=spf1 ip4:203.0.113.42 -all"

# DMARC: Berichte und Policy
_dmarc.example.com.  IN TXT   "v=DMARC1; p=quarantine; rua=mailto:postmaster@example.com"

# Autodiscover/Autoconfig für E-Mail-Clients
autoconfig.example.com.  IN CNAME  mail.example.com.
autodiscover.example.com. IN CNAME mail.example.com.

# Reverse DNS (PTR) — beim Hoster konfigurieren
203.0.113.42         IN PTR   mail.example.com.

Der DKIM-Eintrag wird nach der Installation über die Mailcow-UI generiert und muss dann als TXT-Record eingetragen werden.

2. Mailcow installieren

# Repository klonen
git clone https://github.com/mailcow/mailcow-dockerized.git /opt/mailcow
cd /opt/mailcow

# Konfiguration generieren
./generate_config.sh
# Hostname eingeben: mail.example.com
# Timezone: Europe/Berlin

# Konfiguration anpassen (optional)
nano mailcow.conf

# Container starten
docker compose pull
docker compose up -d

Nach wenigen Minuten erreichen Sie die Admin-Oberfläche unter https://mail.example.com. Die Standard-Zugangsdaten sind admin / moohoo — sofort ändern.

3. Domain und Postfächer einrichten

In der Web-UI:

1. Domain hinzufügen: example.com unter “E-Mail → Konfiguration → Domains”
2. DKIM-Schlüssel generieren: Unter “Konfiguration → ARC/DKIM-Schlüssel”. Den angezeigten TXT-Record als DNS-Eintrag setzen.
3. Postfächer anlegen: Unter “Postfächer”. Quota, Spam-Score und Passwort-Policy pro Postfach konfigurierbar.
4. Aliase erstellen: info@, kontakt@, buchhaltung@ auf ein oder mehrere Postfächer weiterleiten.

E-Mail-Authentifizierung: SPF, DKIM und DMARC erklärt

Die drei Authentifizierungsprotokolle sind entscheidend dafür, ob Ihre E-Mails im Posteingang oder im Spam-Ordner landen:

SPF (Sender Policy Framework)

SPF teilt empfangenden Servern mit, welche IP-Adressen E-Mails für Ihre Domain senden dürfen. Der TXT-Record "v=spf1 ip4:203.0.113.42 -all" sagt: Nur diese eine IP darf E-Mails für example.com senden, alle anderen ablehnen (-all).

DKIM (DomainKeys Identified Mail)

DKIM signiert jede ausgehende E-Mail mit einem kryptografischen Schlüssel. Der empfangende Server prüft die Signatur gegen den öffentlichen Schlüssel im DNS. Damit ist nachweisbar, dass die E-Mail tatsächlich von Ihrem Server stammt und unterwegs nicht verändert wurde. Mailcow generiert und verwaltet DKIM-Schlüssel automatisch.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC baut auf SPF und DKIM auf und definiert, was mit E-Mails passieren soll, die die Prüfung nicht bestehen: nichts tun (p=none), in Quarantäne schieben (p=quarantine) oder ablehnen (p=reject). Zusätzlich erhalten Sie Berichte über fehlgeschlagene Authentifizierungen — wertvoll, um Probleme zu erkennen.

Empfohlene Vorgehensweise: Mit p=none starten und die Berichte analysieren. Nach 2 bis 4 Wochen auf p=quarantine wechseln. Wenn alles sauber ist, auf p=reject umstellen.

Spam-Filter: Rspamd konfigurieren

Mailcow verwendet Rspamd als Spam-Filter — eine moderne, performante Alternative zu SpamAssassin. Rspamd bewertet eingehende E-Mails mit einem Score-System:

• Score unter 4: E-Mail wird zugestellt
• Score 4 bis 6: Greylisting (temporäre Ablehnung, legitime Server versuchen es erneut)
• Score 6 bis 15: Spam-Header hinzugefügt, E-Mail in Junk-Ordner
• Score über 15: E-Mail wird abgelehnt

Rspamd lernt automatisch aus Benutzer-Feedback: E-Mails, die in den Junk-Ordner verschoben werden, trainieren den Bayes-Filter. Je länger das System läuft, desto besser wird die Erkennung.

Zusätzliche Schutzschichten:

• Greylisting: Unbekannte Absender werden zunächst temporär abgelehnt. Legitime Mailserver versuchen es nach einigen Minuten erneut, Spam-Bots nicht.
• DNS-Blacklists: Rspamd prüft die Absender-IP gegen bekannte Spam-Listen.
• Fuzzy Hashes: Bekannte Spam-Nachrichten werden über Hash-Vergleiche erkannt.
• ClamAV (optional): Prüft Anhänge auf Malware. Verbraucht 1,5 bis 2 GB RAM — für kleine Server oft nicht praktikabel.

Die 8 häufigsten Stolpersteine

1. Port 25 beim Cloud-Provider blockiert

AWS, Azure und Google Cloud blockieren ausgehenden Port 25 standardmäßig. Bei einigen Providern kann man eine Freischaltung beantragen (AWS: über Service-Limit-Anfrage), bei anderen ist es unmöglich. Prüfen Sie das VOR der Server-Bestellung. Hostinger, Netcup und dedizierte Server bei Hetzner haben Port 25 in der Regel offen.

2. Fehlender oder falscher PTR-Record

Der Reverse-DNS-Eintrag muss auf den FQDN des Mailservers zeigen. Ohne PTR-Record lehnen Gmail (seit 2024 verschärft), Outlook und Yahoo Ihre E-Mails ab oder markieren sie als Spam. PTR-Records werden beim Hoster konfiguriert, nicht in Ihrer DNS-Zone.

3. IP-Adresse auf Blacklist

Günstige VPS teilen sich IP-Bereiche mit Tausenden anderen Kunden. Wenn ein Vorgänger Spam versendet hat, steht die IP möglicherweise auf Blacklists. Prüfen Sie vorab mit mxtoolbox.com/blacklists und beantragen Sie gegebenenfalls eine saubere IP beim Provider.

4. SPF/DKIM/DMARC nicht konfiguriert

Seit Februar 2024 verlangen Gmail und Yahoo zwingend SPF und DKIM für alle Absender und DMARC für Absender mit mehr als 5.000 E-Mails pro Tag. Ohne diese Einträge landen Ihre E-Mails im Spam — oder werden gar nicht zugestellt.

5. ClamAV frisst den RAM

ClamAV lädt die gesamte Signaturdatenbank in den Arbeitsspeicher — 1,5 bis 2 GB. Auf einem 4-GB-Server bleibt danach kaum Platz für alles andere. Lösung: ClamAV deaktivieren (SKIP_CLAMD=y in mailcow.conf) und stattdessen auf Rspamd’s Heuristiken vertrauen. Für die meisten Unternehmens-Setups ist das ausreichend.

6. Backup des Mail-Speichers vergessen

E-Mails sind Geschäftsdokumente mit Aufbewahrungspflichten. Das Backup muss sowohl die MariaDB-Datenbank als auch das Mail-Verzeichnis (/var/lib/docker/volumes/mailcow*) umfassen. Mailcow bietet ein Backup-Script (helper-scripts/backup_and_restore.sh), das beides konsistent sichert.

7. SSL-Zertifikate nicht erneuert

Mailcow bringt eine Let’s-Encrypt-Integration mit. Aber wenn die automatische Erneuerung fehlschlägt (DNS-Probleme, Port-80-Blockade), laufen die Zertifikate ab. E-Mail-Clients zeigen dann Sicherheitswarnungen, STARTTLS schlägt fehl. Monitoring für die Zertifikatslaufzeit ist unverzichtbar.

8. Updates aufschieben

Mailcow-Updates enthalten regelmäßig Security-Fixes für Postfix, Dovecot und Rspamd. Ein ./update.sh im Mailcow-Verzeichnis reicht — aber es muss jemand machen. Veraltete Mailserver sind beliebte Angriffsziele.

Deliverability: Damit Ihre E-Mails ankommen

Die technische Installation ist nur die halbe Miete. Die andere Hälfte ist Deliverability — die Wahrscheinlichkeit, dass Ihre E-Mails tatsächlich im Posteingang des Empfängers landen.

IP-Reputation aufbauen

Eine neue IP-Adresse hat keine Reputation. Große Provider (Gmail, Outlook) sind gegenüber unbekannten Absendern misstrauisch. Senden Sie in den ersten Wochen wenige E-Mails und steigern Sie das Volumen langsam. Vermeiden Sie Massen-Mailings in der Aufbauphase.

Monitoring der Reputation

• Google Postmaster Tools: Zeigt, wie Gmail Ihre E-Mails bewertet — Spam-Rate, Authentifizierung, IP-Reputation.
• DMARC-Berichte: Analysieren Sie die täglichen XML-Reports. Tools wie dmarc-report-converter machen die Daten lesbar.
• Blacklist-Monitoring: Regelmäßige Checks gegen bekannte Blacklists. Mailcow zeigt einige davon in der Admin-UI an.

Best Practices für E-Mail-Versand

• Unsubscribe-Header in Marketing-E-Mails (RFC 8058) — Gmail-Pflicht seit 2024
• Bounce-Management: Ungültige Adressen nach dem dritten Hard-Bounce aus dem Verteiler entfernen
• Konsistente Absenderadresse und From-Name verwenden
• Text- und HTML-Version in jeder E-Mail senden
• Nicht mehr als 50 bis 100 E-Mails pro Stunde an neue Empfänger in den ersten Wochen

Webmail und Clients

Mailcow integriert SOGo als Webmail-Oberfläche. SOGo bietet:

• E-Mail, Kalender und Kontakte im Browser
• CalDAV/CardDAV-Synchronisation mit Thunderbird, Apple Mail, Outlook (via Plugin) und mobilen Geräten
• Geteilte Kalender und Adressbücher
• Abwesenheitsnotizen (Sieve-Filter) direkt in der UI

Für Desktop- und Mobile-Clients unterstützt Mailcow Autodiscover (Outlook) und Autoconfig (Thunderbird). Benutzer geben nur E-Mail-Adresse und Passwort ein — die Server-Einstellungen werden automatisch konfiguriert.

Protokolle: IMAP, ActiveSync — und Exchange?

Eine der häufigsten Fragen zu Mailcow: Kann ich Outlook wie mit Exchange nutzen? Die Antwort ist differenziert.

Was Mailcow bietet

• IMAP/POP3: Über Dovecot. Funktioniert mit jedem E-Mail-Client — Thunderbird, Apple Mail, Outlook, K-9 Mail.
• ActiveSync (via SOGo): Push-Mail, Kalender- und Kontakt-Synchronisation auf Mobilgeräten (iOS, Android) und Outlook. Fühlt sich im Alltag wie Exchange an — E-Mails kommen sofort, Kalender synchronisieren automatisch.
• CalDAV/CardDAV: Offene Standards für Kalender und Kontakte. Funktioniert nativ mit macOS, iOS, Thunderbird und vielen anderen Clients.

Für die meisten Teams deckt ActiveSync via SOGo 90 Prozent der Exchange-Funktionalität ab. Was fehlt: natives MAPI-Protokoll (das Outlook intern mit Exchange spricht), Shared Mailboxes im Exchange-Stil und einige Outlook-spezifische Features wie Stellvertretungszugriff oder öffentliche Ordner.

Wenn es echtes Exchange sein muss: grommunio

Für Unternehmen, die vollständige Exchange-Kompatibilität brauchen — etwa weil Outlook als “Exchange-Konto” konfiguriert werden soll, nicht als IMAP — gibt es grommunio. Die Open-Source-Groupware aus Österreich ist als Drop-in-Replacement für Microsoft Exchange konzipiert:

• MAPI/HTTP und RPC-over-HTTP: Outlook verbindet sich nativ wie mit Exchange — ohne Plugins, ohne Connectoren. Man wählt bei der Einrichtung “Exchange” als Kontotyp.
• EWS (Exchange Web Services): Kompatibel mit Anwendungen, die EWS nutzen.
• ActiveSync: Für Mobilgeräte.
• IMAP/POP3: Als Fallback für andere Clients.
• Vollständige Groupware: Kalender, Kontakte, Aufgaben, Notizen, Videomeetings (Jitsi-basiert).
• Docker- und Kubernetes-Support: Community Edition kostenlos verfügbar.

Der Unterschied in der Praxis: Bei Mailcow konfiguriert der Benutzer Outlook als IMAP- oder ActiveSync-Konto. Bei grommunio konfiguriert er ein Exchange-Konto — der Unterschied ist für Endbenutzer spürbar, besonders bei Shared Calendars und der Offline-Funktionalität von Outlook.

Unsere Empfehlung: Für die meisten KMUs reicht Mailcow mit ActiveSync völlig aus. Wenn Ihre Organisation stark auf Outlook angewiesen ist und Features wie native Shared Mailboxes oder Exchange-Migration benötigt, ist grommunio die bessere Wahl.

Ressourcenverbrauch in der Praxis

Realistische Zahlen für einen Mailcow-Server mit 10 bis 20 Postfächern und moderatem Volumen (500 bis 1.000 E-Mails pro Tag):

• RAM (ohne ClamAV): 3 bis 4 GB im Normalbetrieb
• RAM (mit ClamAV): 5 bis 6 GB im Normalbetrieb
• CPU: Unter 10 Prozent im Leerlauf, Spitzen bei Rspamd-Prüfungen und Sieve-Filterung
• Festplatte: 10 GB für System und Container, plus Mail-Speicher (variiert stark)
• Docker-Container: 15 bis 20 Container im Standard-Setup

Mailcow ist damit einer der ressourcenintensivsten Self-Hosting-Stacks. Ein dedizierter Server oder ein großzügig dimensionierter VPS ist empfehlenswert — Mailcow und andere Anwendungen auf demselben Server zu betreiben ist möglich, aber bei RAM und Ports schnell problematisch.

Migration von bestehendem E-Mail-Provider

Der Umzug bestehender E-Mails ist mit imapsync möglich — einem Perl-Tool, das E-Mails zwischen zwei IMAP-Servern synchronisiert:

imapsync 
  --host1 imap.alter-provider.de --user1 user@example.com --password1 "altespasswort" 
  --host2 mail.example.com --user2 user@example.com --password2 "neuespasswort" 
  --ssl1 --ssl2

Planen Sie die Migration an einem Wochenende. Ablauf:

1. Postfächer in Mailcow anlegen
2. imapsync für alle Postfächer ausführen (kann Stunden dauern bei großen Postfächern)
3. MX-Record auf den neuen Server umstellen (TTL vorher auf 300 Sekunden reduzieren)
4. 24 bis 48 Stunden warten, bis alle DNS-Caches aktualisiert sind
5. imapsync ein zweites Mal ausführen (delta-sync für E-Mails, die während der DNS-Propagation noch beim alten Server eingegangen sind)
6. E-Mail-Clients auf den neuen Server umstellen

Wann lohnt sich Mailcow-Self-Hosting?

Self-Hosting lohnt sich, wenn:

• Datenhoheit oberste Priorität hat (Anwälte, Ärzte, Behörden)
• Sie eine saubere IP und einen Provider mit offenem Port 25 haben
• Sie oder Ihr Team Erfahrung mit DNS, Docker und E-Mail-Protokollen haben
• Sie die Wartung langfristig sicherstellen können

Managed Hosting ist sinnvoller, wenn:

• Sie kein dediziertes Ops-Team haben
• Deliverability geschäftskritisch ist (Rechnungsversand, Kundenkommunikation)
• Sie sich nicht mit Blacklists und IP-Reputation befassen wollen
• Compliance-Anforderungen professionelle Backup- und Monitoring-Prozesse verlangen

Bei netzspitze.tech betreiben wir Mailcow als vollständig gemanagten Docker-Stack auf europäischen Servern mit sauberen IPs, konfigurierter Authentifizierung und täglichen Backups. In einem kostenlosen 15-Minuten-Call klären wir, ob ein eigener Mailserver für Ihr Unternehmen sinnvoll ist.