Warum ich eine eigene, hochsichere Mailserver-Infrastruktur aufgebaut habe
E-Mail ist eines der wichtigsten Kommunikationsmittel im Geschäftsalltag. Viele Unternehmen verlassen sich täglich darauf, dass Nachrichten zuverlässig zugestellt werden, geschützt sind und nicht in falsche Hände geraten. Gleichzeitig steigen sowohl die rechtlichen Anforderungen (DSGVO) als auch die technischen Herausforderungen (Spam, Phishing, Accountmissbrauch).
Aus diesen Gründen habe ich eine eigene, vollständig kontrollierte Mailserver-Infrastruktur aufgebaut – basierend auf Mailcow, einem modernen, sicheren und modularen Mailsystem.
In diesem Beitrag dokumentiere ich präzise und verständlich, welche Schritte ich unternommen habe, um einen professionellen und sicheren Mailserver zu realisieren.
1. Technische Grundlage: Einrichtung des Servers
Der neue Mailserver läuft auf einem dedizierten VPS bei Netcup mit Debian 12 Minimal.
Vor der eigentlichen Installation habe ich das System vollständig vorbereitet:
- Neuinstallation über VNC
- Korrekte Hostname-Konfiguration (mail.hallowebsite.de)
- Rettung und Reparatur des root-Zugangs
- Aktivierung und Test der SSH-Verbindung
Damit stand eine saubere, kontrollierte Basis zur Verfügung.
2. Installation von Mailcow mit Docker
Mailcow nutzt Docker, um jeden Dienst isoliert und stabil laufen zu lassen. Das System besteht aus mehreren Containern, unter anderem:
- Postfix (SMTP)
- Dovecot (IMAP & POP3)
- Rspamd (Spamfilter)
- SOGo (Webmail)
- MariaDB
- Nginx
Ich habe:
- Docker + Docker Compose installiert
- das Mailcow-Repository geklont
- die Konfiguration mit
generate_config.sherstellt - IPv6 deaktiviert (nicht unterstützt auf dem Server)
- alle Mailcow-Container gestartet
Die Weboberfläche war danach erfolgreich unter https://mail.hallowebsite.de erreichbar.
3. DNS-Konfiguration
Da die Hauptdomain hallowebsite.de aktuell noch extern betrieben wird, habe ich zunächst nur:
- einen A-Record für mail.hallowebsite.de auf die neue Server-IP gelegt.
Die später wichtigen Einträge für SPF, DKIM und DMARC werden erst dann gesetzt, wenn die erste Domain vollständig auf den neuen Mailserver migriert wird.
So bleibt der bestehende Mailverkehr ungestört.
4. Absicherung des SSH-Zugangs
SSH ist die kritischste Angriffsfläche eines jeden Servers. Daher habe ich umfangreiches Hardening vorgenommen:
- Login ausschließlich per SSH-Key
- Deaktivierung des Passwort-Logins
- Einschränkung des Root-Logins
- Reduzierung der erlaubten Authentifizierungsversuche
- Verringerung der Verbindungs-Toleranz (LoginGraceTime)
Diese Maßnahmen sorgen dafür, dass automatisierte Angriffe praktisch keine Chance haben.
5. Firewall-Konfiguration mit UFW
Um den Server zusätzlich abzusichern, habe ich eine restriktive Firewall eingerichtet.
Standardregel:
Alles eingehend blockieren, außer den zwingend notwendigen Ports:
- 22 (SSH)
- 80 / 443 (Web, ACME, Mailcow UI)
- 25 / 465 / 587 (SMTP)
- 110 / 995 (POP3)
- 143 / 993 (IMAP)
- 4190 (Sieve)
Damit ist die Angriffsfläche des Servers auf das Minimum reduziert.
6. Aktivierung von Fail2Ban
Fail2Ban überwacht Server-Logs und blockiert automatisch IPs, die wiederholt falsche Loginversuche durchführen.
Nach der Aktivierung:
- war ein erster Echtangriff bereits nach wenigen Minuten sichtbar
- die entsprechende IP wurde automatisch gesperrt
- die Anzahl der SSH-Angriffe sank sofort deutlich
Aktuell ist das SSH-Jail aktiv. Weitere Jails für Postfix und Dovecot werden später über Docker-Logpipes ergänzt.
7. Mailcow-Hardening: Optimierung von Sicherheit und Spamabwehr
Ein Mailserver muss nicht nur funktionieren, sondern zuverlässig und sicher arbeiten. Dafür habe ich wichtige Optimierungen vorgenommen.
Greylisting
Erzwingt, dass unbekannte Absender ihre Zustellung wiederholen.
Das blockiert einen großen Teil botbasierter Spamversuche.
DNS-basierte Blacklists (DNSBL)
Verbindung von bekannten Spamquellen werden bereits vor Annahme der E-Mail abgewiesen.
Rate-Limits für ausgehende E-Mails
Zur Minimierung von Missbrauch wurden:
- Limits pro Benutzer
- Limits pro Domain
- Limits pro IP-Adresse
eingeführt.
Falls ein Passwort kompromittiert wird, verhindert das automatisch Massenversand.
Rspamd-Konfiguration
Ich habe:
- zusätzliche Multimap-Regeln ergänzt
- Spam-Scoring optimiert
- den Administrationszugang gezielt abgesichert
- Regeln gegen auffällige Versandmuster aktiviert
Diese Mechanismen reduzieren Spam, verhindern Accountmissbrauch und verbessern die Reputation des Mailservers.
8. Systemhärtung und Stabilität
Für langfristige Sicherheit und Verfügbarkeit habe ich folgende Schritte umgesetzt:
- Aktivierung von rsyslog für Mail-Logs
- regelmäßige Systemupdates
- aktualisierte Docker-Images
- Watchdog zur Überwachung der Mailcow-Container
- konsistente Logstruktur für spätere Analyse & Monitoring
Damit ist der Grundstein für eine dauerhaft zuverlässige E-Mail-Plattform gelegt.
9. Nächste Schritte: Ausbau zur produktiven Infrastruktur
Um den Mailserver für Kundendomains einzusetzen, plane ich folgende Erweiterungen:
1. Offsite-Backups
Exemplarisch über Hetzner Storage Box oder separaten VPS.
2. DMARC-Reporting
Automatische Auswertung von Zustellberichten zur Erhöhung der Mail-Reputation.
3. erste Testdomäne
Einrichtung von SPF, DKIM, DMARC und ausführlichen Zustellbarkeitstests.
4. Monitoring
Server- und Dienstüberwachung für maximale Stabilität.
5. optionale Fail2Ban-Mail-Jails
Weitere Absicherung über Docker-basierte Log-Auswertung.
Fazit
Mit der neuen Mailcow-Infrastruktur habe ich einen hochsicheren, DSGVO-konformen und vollständig kontrollierten Mailserver aufgebaut.
Die Kombination aus Docker, strenger Zugriffskontrolle, Spamfilter-Technologien und Systemhärtung bildet die Grundlage für professionelles, zuverlässiges und sicheres E-Mail-Hosting.
Diese Plattform ermöglicht mir künftig:
- eigene Business-Maildienste anzubieten
- Kunden-Domains sicher zu verwalten
- optimale Zustellbarkeit zu garantieren
- Datenschutz und Compliance einzuhalten
Kurz:
Eine moderne E-Mail-Infrastruktur, wie sie professionelle Unternehmen heute benötigen.
