Mail-Server ein­rich­ten: Schritt für Schritt zum eigenen E-Mail-Server

Ein eigener Mail-Server für die maximale Kontrolle über Ihren digitalen Nach­rich­ten­ver­kehr ist in wenigen Schritten ein­ge­rich­tet. Besonders beliebt: Die Ein­rich­tung via Docker, bei­spiels­wei­se mit dem ein­satz­fer­ti­gen Stack „Docker Mail­ser­ver“. Welche Vor­aus­set­zun­gen sind zu erfüllen? Und wie lässt sich ein Mail-Server genau ein­rich­ten?

Was ist ein eigener E-Mail-Server?

Ein eigener E-Mail-Server ist ein selbst be­trie­be­ner Server, der für das Senden, Empfangen und Speichern von E-Mails zuständig ist. Im Gegensatz zu externen Anbietern wie Gmail oder Outlook behalten Sie dabei die volle Kontrolle über Ihre Daten, Si­cher­heits­stan­dards und E-Mail-Richt­li­ni­en. Besonders für Un­ter­neh­men mit hohem Da­ten­schutz­an­spruch oder in­di­vi­du­el­len An­for­de­run­gen kann sich der eigene Mail­ser­ver lohnen.

Welche Vorteile bringt ein eigener Mail­ser­ver mit sich?

Ein selbst be­trie­be­ner Mail­ser­ver bietet zahl­rei­che Vorteile:

• Hohe Kontrolle: Sie bestimmen selbst über Si­cher­heits­richt­li­ni­en, Spei­cher­grö­ße und Zu­griffs­rech­te.
• Da­ten­schutz: Volle Da­ten­ho­heit ohne Dritt­an­bie­ter
• In­di­vi­dua­li­tät: An­pass­ba­re Kon­fi­gu­ra­tio­nen, eigene Domains und Be­nut­zer­ver­wal­tung
• Kos­ten­ef­fi­zi­enz: Keine laufenden Kosten pro Be­nut­zer­kon­to
• Un­ab­hän­gig­keit: Keine Ab­hän­gig­keit von Pro­vi­der­aus­fäl­len oder Service-Preis­an­pas­sun­gen
• Er­wei­ter­bar­keit: Viele Open-Source-Stacks lassen sich um Funk­tio­nen wie Webmail, Filter oder Ka­len­der­mo­du­le ergänzen.

Eigener Mail­ser­ver: Welche Vor­aus­set­zun­gen gibt es?

Um einen eigenen Mail-Server betreiben zu können, benötigen Sie passende Hardware und Software. Neben einem Server mit aus­rei­chen­der Re­chen­leis­tung ist auch eine statische IP-Adresse er­for­der­lich. Die An­for­de­run­gen hängen vom Nut­zungs­vo­lu­men und den ge­wünsch­ten Funk­tio­nen ab (z. B. Anzahl der Nutzenden, Spei­cher­platz, Spam­fil­ter etc.).

Tech­no­lo­gi­sche Emp­feh­lun­gen (Stand: 2025):

• Si­cher­heits­pro­to­kol­le: TLS 1.2/1.3, DKIM, SPF, DMARC
• Emp­foh­le­ne Software: Postfix, Dovecot, OpenDKIM, rspamd (als moderner Ersatz für SpamAss­as­sin), Docker Mail­ser­ver
• Be­triebs­sys­te­me: Aktuelle LTS-Versionen von Ubuntu oder Debian
• Da­ten­schutz: DSGVO-konforme Kon­fi­gu­ra­ti­on, SSL-Zer­ti­fi­ka­te, E-Mail-Ar­chi­vie­rung
• Reverse-DNS und IPv6: Für die er­folg­rei­che Zu­stel­lung an große Provider (z. B. Gmail) sind PTR-Einträge und IPv6-Kom­pa­ti­bi­li­tät Pflicht.
• Mo­ni­to­ring & Backups: Tools wie Fail2Ban oder Watch­tower erhöhen die Si­cher­heit. Geplante, ver­schlüs­sel­te Backups sorgen für Da­ten­in­te­gri­tät.

Hinweis: Al­ter­na­tiv zu manuellen Setups lassen sich auch moderne Web-Ober­flä­chen wie Mailcow, Modoboa oder Mailu nutzen.

Was ist bei der Ein­rich­tung eines E-Mail-Servers zu beachten?

Si­cher­heits­kon­fi­gu­ra­tio­nen im Überblick

Achten Sie auf die kon­se­quen­te Umsetzung si­cher­heits­re­le­van­ter Ein­stel­lun­gen. Dazu gehören:

• Ver­wen­dung aktueller TLS-Zer­ti­fi­ka­te (min­des­tens TLS 1.2, idea­ler­wei­se TLS 1.3)
• Ein­rich­tung und Durch­set­zung von SPF-, DKIM- und DMARC-Richt­li­ni­en
• Rateli­mi­ting und Au­then­ti­fi­zie­rung über SASL
• Ver­schlüs­sel­te Ver­bin­dun­gen für IMAP/POP3 und SMTP
• Pro­to­kol­lie­rung über Tools wie rsyslog sowie struk­tu­rier­te Log Rotation

All­ge­mei­ne Emp­feh­lun­gen zur Ein­rich­tung

Die Ein­rich­tung eines E-Mail-Servers erfordert tech­ni­sches Know-how und Sorgfalt bei der Si­cher­heits­kon­fi­gu­ra­ti­on. Folgende Punkte sollten Sie besonders beachten:

• Auswahl eines ge­eig­ne­ten Be­triebs­sys­tems und Mail­ser­ver-Stacks
• Ein­rich­tung der DNS-Einträge (MX, SPF, DKIM, DMARC)
• Ab­si­che­rung des Servers (Firewall, Fail2Ban, Ver­schlüs­se­lung)
• Auswahl ge­eig­ne­ter Ver­wal­tungs- und Mo­ni­to­ring-Tools
• Re­gel­mä­ßi­ge Updates und Backups
• Kon­fi­gu­ra­ti­on von Reverse-DNS-Einträgen und IPv6-Un­ter­stüt­zung
• Beachtung ge­setz­li­cher An­for­de­run­gen (DSGVO, GoBD-konforme Ar­chi­vie­rung)

Welche Hardware wird benötigt?

Für den Betrieb eines eigenen Mail-Servers ist zunächst passende Hardware er­for­der­lich. In welchen Di­men­sio­nen sich die er­for­der­li­che Leistung zu bewegen hat, hängt dabei von ver­schie­dens­ten Faktoren ab: Unter anderem ist ent­schei­dend, wie viele Nach­rich­ten pro Tag versendet werden und wie viele Personen in welchen In­ter­val­len von dem Server Gebrauch machen. Auch die durch­schnitt­li­che Größe der aus­ge­tausch­ten Nach­rich­ten ist relevant. Weitere Leistung ist für zu­sätz­li­che Dienste wie ein Backup-System oder In­halts­scan­ner (Schutz vor Spam, Phishing etc.) ein­zu­pla­nen. In jedem Fall benötigen Sie außerdem eine statische IPv4-Adresse, um die rei­bungs­lo­se In­ter­ak­ti­on mit anderen Mail-Servern zu ge­währ­leis­ten – dy­na­mi­sche IPs führen häufig zu Problemen bei der Zu­stel­lung.

Bei der Suche nach einer ge­eig­ne­ten Umgebung für die Ein­rich­tung Ihres Mail-Servers spielt es also eine ent­schei­den­de Rolle, welche Ka­pa­zi­tä­ten abgedeckt werden sollen. Für lediglich eine Handvoll Mails am Tag reicht ein einfaches Start-Setup, während ein stark genutzter Mail-Server im Business-Sektor einiges an RAM, CPU und Spei­cher­platz be­reit­hal­ten sollte.

Schritt-für-Schritt-Tutorial: Mail-Server ein­rich­ten mit Docker

Wer einen Mail-Server ein­rich­ten möchte, hat hierfür ver­schie­de­ne Optionen – etwa mit Postfix und Dovecot, Mailcow, Mail-in-a-Box oder einem Container-Setup. In diesem Tutorial haben wir uns für den beliebten Docker-Container docker-mail­ser­ver ent­schie­den.

Der schlanke Open-Source-Container (MIT-Lizenz) bietet einen modularen, ein­satz­be­rei­ten Stack zur Ein­rich­tung eines eigenen E-Mail-Servers. Er in­te­griert alle wichtigen Kom­po­nen­ten wie einen SMTP-Server, IMAP- bzw. POP3-Server, Spam- und Vi­ren­schutz (optional ak­ti­vier­bar) sowie bei Bedarf einen LDAP-Ver­zeich­nis­dienst.

Schritt 1: Docker-Image beziehen

Das neueste Image von „docker-mail­ser­ver“ erhalten Sie im of­fi­zi­el­len dockerHub-Ver­zeich­nis oder im of­fi­zi­el­len GitHub-Re­po­si­to­ry.

Für die stabile Version wird empfohlen, ein Release-Tag wie v13.2 statt :latest oder :edge zu verwenden.

docker pull mailserver/docker-mailserver:v13.2
# oder:
docker pull ghcr.io/docker-mailserver/docker-mailserver:v13.2

Schritt 2: docker-compose.yml kon­fi­gu­rie­ren

version: '3.8'
services:
    mailserver:
        image: docker.io/mailserver/docker-mailserver:v13.2
        container_name: mailserver
        hostname: mail-server
        domainname: example.com
        ports:
            - "25:25"
            - "587:587"
            - "465:465"
        volumes:
            - ./docker-data/dms/mail-data/:/var/mail/
            - ./docker-data/dms/mail-state/:/var/mail-state/
            - ./docker-data/dms/mail-logs/:/var/log/mail/
            - ./docker-data/dms/config/:/tmp/docker-mailserver/
            - ./docker-data/nginx-proxy/certs/:/etc/letsencrypt/
            - /etc/localtime:/etc/localtime:ro
        environment:
            - ENABLE_FAIL2BAN=1
            - SSL_TYPE=letsencrypt
            - PERMIT_DOCKER=network
            - ONE_DIR=1
            - ENABLE_POSTGREY=0
            - ENABLE_CLAMAV=0
            - ENABLE_SPAMASSASSIN=0
            - SPOOF_PROTECTION=0
        cap_add:
            - NET_ADMIN
            - SYS_PTRACE

Schritt 3: Ports freigeben

In der YAML-Datei sind u. a. die drei Ports 25, 465 und 587 ein­ge­tra­gen. Dabei handelt es sich um die klas­si­schen SMTP-Server-Ports, die Sie für einen rei­bungs­lo­sen Ablauf außerdem in den Firewall-Ein­stel­lun­gen Ihres Servers freigeben müssen.

Wie genau hierbei vor­zu­ge­hen ist, hängt vom System und Provider ab – IONOS-Kunden und -Kundinnen (vServer, Cloud Server, Dedicated Server) können die Port-Freigabe bei­spiels­wei­se bequem über das Cloud Panel erledigen. Die er­for­der­li­chen Schritte sehen fol­gen­der­ma­ßen aus:

1. Melden Sie sich mit Ihren per­sön­li­chen Kun­den­da­ten auf der Login-Seite des Cloud Panels an.
2. Rufen Sie die Rubrik „Server & Cloud“ auf.
3. Wählen Sie die gemietete Server-Hardware aus, auf der Sie Ihren Mail-Server ein­rich­ten wollen.
4. Klicken Sie im linken Sei­ten­me­nü auf „Netzwerk“ und danach auf „Firewall-Richt­li­ni­en“.
5. Fügen Sie nach­ein­an­der die drei TCP-Ports 25, 465 und 587 per „Regel hin­zu­fü­gen“ hinzu.

Close

Schritt 4: Hostname in DNS-Ein­stel­lun­gen über­neh­men

Im nächsten Schritt müssen Sie si­cher­stel­len, dass der DNS-Dienst für Ihre Domain korrekt kon­fi­gu­riert ist:

• MX-Eintrag: Zeigt auf den Mail­ser­ver (z. B. mail.example.com), den Sie in der docker-compose.yml unter hostname und domainname definiert haben.
• SPF-Eintrag: Ein TXT-Record für die Domain (nicht für den Hostnamen!), z. B.: v=spf1 mx ~all

So geht’s im IONOS Cloud Panel:

1. Melden Sie sich erneut auf der Login-Seite des Cloud Panels an.
2. Klicken Sie im Hauptmenü auf „Domains & SSL“.
3. Suchen Sie die Domain, auf der Sie den Mail-Server ein­rich­ten möchten.
4. Klicken Sie auf das Zahnrad-Symbol der ge­wünsch­ten Domain und wählen Sie „DNS“.
5. Fügen Sie nach­ein­an­der die beiden Records hinzu:

• MX-Record: Ziel = z. B. mail.example.com, Priorität = 10
• TXT-Record: Typ = TXT, Inhalt = v=spf1 mx ~all

Close

Ab­schlie­ßend klicken Sie im oberen Menü auf „Domain zu­rück­set­zen“, um die DNS-Kon­fi­gu­ra­ti­on neu zu laden und die Än­de­run­gen zu über­neh­men. Be­stä­ti­gen Sie die Eingaben mit „Jetzt zu­rück­set­zen“ – dies betrifft aus­schließ­lich die ak­tua­li­sier­ten DNS-Records, nicht die Domain selbst.

Schritt 5: DKIM-Keys ge­ne­rie­ren

Um den Si­cher­heits­grad Ihres Mail-Servers zu erhöhen, erzeugen Sie nun einen DKIM-Eintrag (Do­main­Keys Iden­ti­fied Mail) für Ihre Domain. Mithilfe dieser Technik lassen sich E-Mails digital signieren, sodass emp­fan­gen­de Mail­ser­ver sie auf ihre Au­then­ti­zi­tät prüfen können.

Verwenden Sie hierzu das mit­ge­lie­fer­te Skript setup.sh im docker-mail­ser­ver-Ver­zeich­nis:

./setup.sh config dkim

Der erzeugte öf­fent­li­che Schlüssel wird in folgender Datei abgelegt (vor­aus­ge­setzt, das Volume wurde korrekt gemountet):

docker-data/dms/config/opendkim/keys/example.com/mail.txt

Öffnen Sie die Datei und kopieren Sie den Inhalt, um ihn als TXT-Eintrag in den DNS-Records Ihrer Domain zu hin­ter­le­gen. Der DNS-Eintrag könnte wie folgt aussehen:

mail._domainkey.example.com. IN TXT (
    "v=DKIM1; h=sha256; k=rsa; "
    "p=MIIBIjANBgkqhkiG9w0BAQEFAAOC...fortgesetzterPublicKey...IDAQAB"
)

• mail ist dabei der so­ge­nann­te Selector und kann frei gewählt werden (z. B. default, key2025, etc.).
• Wenn Ihr DNS-Anbieter nur maximal 255 Zeichen pro String erlaubt, müssen Sie den Schlüssel aufteilen (wie im Beispiel).
• Achten Sie darauf, dass der Record-Typ TXT ist und für die voll­stän­di­ge Domain mail._domainkey.example.com. gilt.

Schritt 6: Server starten und erste Adresse erstellen

Starten Sie den ein­ge­rich­te­ten Mail­ser­ver direkt aus dem Pro­jekt­ver­zeich­nis mit folgendem Befehl:

docker-compose up -d

Diese An­lei­tun­gen helfen Ihnen, sowohl moderne Container-basierte als auch klas­si­sche Mail­ser­ver-Um­ge­bun­gen sicher und effizient zu rea­li­sie­ren.