E-Mail ist eines der wichtigsten Kommunikationsmittel im Geschäftsalltag. Viele Unternehmen verlassen sich täglich darauf, dass Nachrichten zuverlässig zugestellt werden, geschützt sind und nicht in falsche Hände geraten. Gleichzeitig steigen sowohl die rechtlichen Anforderungen (DSGVO) als auch die technischen Herausforderungen (Spam, Phishing, Accountmissbrauch).

Aus diesen Gründen habe ich eine eigene, vollständig kontrollierte Mailserver-Infrastruktur aufgebaut – basierend auf Mailcow, einem modernen, sicheren und modularen Mailsystem.

In diesem Beitrag dokumentiere ich präzise und verständlich, welche Schritte ich unternommen habe, um einen professionellen und sicheren Mailserver zu realisieren.

1. Technische Grundlage: Einrichtung des Servers

Der neue Mailserver läuft auf einem dedizierten VPS bei Netcup mit Debian 12 Minimal.
Vor der eigentlichen Installation habe ich das System vollständig vorbereitet:

• Neuinstallation über VNC
• Korrekte Hostname-Konfiguration (mail.hallowebsite.de)
• Rettung und Reparatur des root-Zugangs
• Aktivierung und Test der SSH-Verbindung

Damit stand eine saubere, kontrollierte Basis zur Verfügung.

2. Installation von Mailcow mit Docker

Mailcow nutzt Docker, um jeden Dienst isoliert und stabil laufen zu lassen. Das System besteht aus mehreren Containern, unter anderem:

• Postfix (SMTP)
• Dovecot (IMAP & POP3)
• Rspamd (Spamfilter)
• SOGo (Webmail)
• MariaDB
• Nginx

Ich habe:

• Docker + Docker Compose installiert
• das Mailcow-Repository geklont
• die Konfiguration mit generate_config.sh erstellt
• IPv6 deaktiviert (nicht unterstützt auf dem Server)
• alle Mailcow-Container gestartet

Die Weboberfläche war danach erfolgreich unter https://mail.hallowebsite.de erreichbar.

3. DNS-Konfiguration

Da die Hauptdomain hallowebsite.de aktuell noch extern betrieben wird, habe ich zunächst nur:

• einen A-Record für mail.hallowebsite.de auf die neue Server-IP gelegt.

Die später wichtigen Einträge für SPF, DKIM und DMARC werden erst dann gesetzt, wenn die erste Domain vollständig auf den neuen Mailserver migriert wird.
So bleibt der bestehende Mailverkehr ungestört.

4. Absicherung des SSH-Zugangs

SSH ist die kritischste Angriffsfläche eines jeden Servers. Daher habe ich umfangreiches Hardening vorgenommen:

• Login ausschließlich per SSH-Key
• Deaktivierung des Passwort-Logins
• Einschränkung des Root-Logins
• Reduzierung der erlaubten Authentifizierungsversuche
• Verringerung der Verbindungs-Toleranz (LoginGraceTime)

Diese Maßnahmen sorgen dafür, dass automatisierte Angriffe praktisch keine Chance haben.

5. Firewall-Konfiguration mit UFW

Um den Server zusätzlich abzusichern, habe ich eine restriktive Firewall eingerichtet.

Standardregel:
Alles eingehend blockieren, außer den zwingend notwendigen Ports:

• 22 (SSH)
• 80 / 443 (Web, ACME, Mailcow UI)
• 25 / 465 / 587 (SMTP)
• 110 / 995 (POP3)
• 143 / 993 (IMAP)
• 4190 (Sieve)

Damit ist die Angriffsfläche des Servers auf das Minimum reduziert.

6. Aktivierung von Fail2Ban

Fail2Ban überwacht Server-Logs und blockiert automatisch IPs, die wiederholt falsche Loginversuche durchführen.

Nach der Aktivierung:

• war ein erster Echtangriff bereits nach wenigen Minuten sichtbar
• die entsprechende IP wurde automatisch gesperrt
• die Anzahl der SSH-Angriffe sank sofort deutlich

Aktuell ist das SSH-Jail aktiv. Weitere Jails für Postfix und Dovecot werden später über Docker-Logpipes ergänzt.

7. Mailcow-Hardening: Optimierung von Sicherheit und Spamabwehr

Ein Mailserver muss nicht nur funktionieren, sondern zuverlässig und sicher arbeiten. Dafür habe ich wichtige Optimierungen vorgenommen.

Greylisting

Erzwingt, dass unbekannte Absender ihre Zustellung wiederholen.
Das blockiert einen großen Teil botbasierter Spamversuche.

DNS-basierte Blacklists (DNSBL)

Verbindung von bekannten Spamquellen werden bereits vor Annahme der E-Mail abgewiesen.

Rate-Limits für ausgehende E-Mails

Zur Minimierung von Missbrauch wurden:

• Limits pro Benutzer
• Limits pro Domain
• Limits pro IP-Adresse

eingeführt.
Falls ein Passwort kompromittiert wird, verhindert das automatisch Massenversand.

Rspamd-Konfiguration

Ich habe:

• zusätzliche Multimap-Regeln ergänzt
• Spam-Scoring optimiert
• den Administrationszugang gezielt abgesichert
• Regeln gegen auffällige Versandmuster aktiviert

Diese Mechanismen reduzieren Spam, verhindern Accountmissbrauch und verbessern die Reputation des Mailservers.

8. Systemhärtung und Stabilität

Für langfristige Sicherheit und Verfügbarkeit habe ich folgende Schritte umgesetzt:

• Aktivierung von rsyslog für Mail-Logs
• regelmäßige Systemupdates
• aktualisierte Docker-Images
• Watchdog zur Überwachung der Mailcow-Container
• konsistente Logstruktur für spätere Analyse & Monitoring

Damit ist der Grundstein für eine dauerhaft zuverlässige E-Mail-Plattform gelegt.

9. Nächste Schritte: Ausbau zur produktiven Infrastruktur

Um den Mailserver für Kundendomains einzusetzen, plane ich folgende Erweiterungen:

1. Offsite-Backups

Exemplarisch über Hetzner Storage Box oder separaten VPS.

2. DMARC-Reporting

Automatische Auswertung von Zustellberichten zur Erhöhung der Mail-Reputation.

3. erste Testdomäne

Einrichtung von SPF, DKIM, DMARC und ausführlichen Zustellbarkeitstests.

4. Monitoring

Server- und Dienstüberwachung für maximale Stabilität.

5. optionale Fail2Ban-Mail-Jails

Weitere Absicherung über Docker-basierte Log-Auswertung.

Fazit

Mit der neuen Mailcow-Infrastruktur habe ich einen hochsicheren, DSGVO-konformen und vollständig kontrollierten Mailserver aufgebaut.
Die Kombination aus Docker, strenger Zugriffskontrolle, Spamfilter-Technologien und Systemhärtung bildet die Grundlage für professionelles, zuverlässiges und sicheres E-Mail-Hosting.

Diese Plattform ermöglicht mir künftig:

• eigene Business-Maildienste anzubieten
• Kunden-Domains sicher zu verwalten
• optimale Zustellbarkeit zu garantieren
• Datenschutz und Compliance einzuhalten

Kurz:
Eine moderne E-Mail-Infrastruktur, wie sie professionelle Unternehmen heute benötigen.