Einen Mailserver selbst auf einem VPS hosten.
Mailcow, Mail-in-a-Box, iRedMail — und der Host, der es Ihnen erlaubt.
Selbst gehostete E-Mail ist 2026 schwieriger als es sein sollte, und fast alle Schwierigkeiten liegen an drei Stellen — Port 25 bei den meisten Hostern blockiert, Reputation neuer IPs, DNS-Einträge, die perfekt übereinstimmen müssen. Dieser Leitfaden nennt die Voraussetzungen, vergleicht die drei ernsthaften Stacks und führt durch den Zustellbarkeitspfad.
- 01
Drei Ziegelwände vor jeder Installation: Ausgehender Port 25 muss offen sein, die IP benötigt eine saubere Reputationshistorie, und der PTR-Eintrag muss mit dem HELO-Hostname übereinstimmen. Ohne alle drei wird kein Software-Stack E-Mails an Gmail zustellen.
- 02
Der Hoster ist wichtiger als die Software. NordBastion VPS öffnet Port 25 standardmäßig und setzt PTR-Einträge über das Panel innerhalb einer Stunde — die No-KYC-Haltung bedeutet, dass kein Identitätsüberprüfungsschritt erfolgt.
- 03
Den Stack nach Ihrem Betriebsgeschmack wählen: Mail-in-a-Box (Skript, 2 GB, Standard), Mailcow (Docker, 6 GB, moderne Oberfläche), iRedMail (flexibel, manuell, für erfahrene Nutzer).
Drei Ziegelwände. Stoßen Sie gegen eine davon, ist der Rest des Leitfadens verschwendet.
Der Grund, warum "installieren Sie einfach einen Mailserver" schlechter Rat ist, liegt darin, dass die Installation die einfachen 10% des Problems sind. Die anderen 90% sind Voraussetzungen auf Infrastrukturebene, die die Software nicht für Sie erledigen kann. Stellen Sie sicher, dass alle drei erfüllt sind, bevor Sie irgendetwas installieren.
Wand 1 — ausgehender Port 25. SMTP-Zustellung ist TCP/25 von Ihrem Server zum Mail Exchange des Empfängers. Die meisten Hyperscaler und Budget-VPS-Anbieter blockieren diesen ausgehenden Verkehr standardmäßig auf Hypervisor-Ebene, um Spam zu begrenzen. Testen Sie es zuerst: nc -zv smtp.gmail.com 25 — wenn die Verbindung abbricht, blockiert Ihr Hoster Port 25 und keine E-Mail wird jemals abgesendet. Öffnen Sie ein Ticket und beantragen Sie die Freischaltung, oder wechseln Sie zu einem Hoster, der sie nicht blockiert.
Wand 2 — IP-Reputation. Die IP gegen Spamhaus, SORBS, Barracuda und Cisco Talos prüfen (mxtoolbox.com/blacklists.aspx). Erscheint sie auf einer Liste, hat die IP Vorgeschichte; die Zustellbarkeit wird schlecht sein, bis Sie sie auslisten oder wechseln. Frische IPs ohne Vorgeschichte sind in Ordnung — sie starten in der Kategorie „neutraler / unbekannter Absender“, was der richtige Ausgangspunkt ist.
Wand 3 — PTR-Eintrag-Übereinstimmung. Der PTR (Reverse-DNS) für Ihre VPS-IP muss mit dem HELO-Hostname übereinstimmen, den Ihr Postfix ankündigt. Wenn Ihr Server "mail.example.com" ankündigt, der PTR für die IP aber "static-12-34-56-78.example-host.net" sagt, wird Gmail zurückstellen oder ablehnen. Der PTR wird vom VPS-Anbieter auf der IP gesetzt, nicht von Ihnen auf Ihrer Domain. Die meisten Anbieter bieten hierfür eine Panel-Steuerung an; einige erfordern ein Support-Ticket. NordBastion bietet sie über das Panel an.
Alle drei bestehen, und Sie können installieren. Bei einem Fehlschlag diesen zuerst beheben.
Warum die meisten Hoster Port 25 blockieren. Und der No-KYC-Aspekt.
Ausgehendes SMTP ist der Favorit der Spammer. Ein kompromittierter VPS mit geöffnetem Port 25 kann 100.000 Nachrichten pro Tag pumpen, bevor es jemand bemerkt, und die Missbrauchsbeschwerden landen alle im Posteingang des Hosters. Um das unter Kontrolle zu halten, blockieren die meisten VPS-Anbieter entweder Port 25 ausgehend am Netzwerk-Edge oder erfordern eine Identitätsverifizierung + Nutzungsrichtlinien-Freigabe, bevor sie ihn auf Kundenbasis freischalten.
Dieses Modell funktioniert für einen datenschutzorientierten Hoster nicht. Das gesamte Leistungsversprechen eines No-KYC-VPS ist, dass Kunden sich nicht identifizieren müssen. Einen Schritt "aber für Port 25 schon" hinzuzufügen, wäre ein doktrinärer Widerspruch. Daher spaltet sich die Privacy-Hoster-Branche in zwei Lager: Hoster, die Port 25 vollständig verweigern (schließt selbst gehostete E-Mail aus), und Hoster, die ihn für alle ohne Identitätsprüfung öffnen (die seltenere, interessantere Kategorie).
NordBastion steht im zweiten Lager. Jeder <a href="/de/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">VPS, den wir ausliefern</a>, hat ausgehenden TCP/25 ab dem ersten Boot-Vorgang offen. Es gibt keine Identitätsprüfung, keine Nutzungsbedingungen-Bestätigung, kein manuelles Entsperr-Ticket. Missbrauch wird anhand von Mustern im ausgehenden Datenverkehr überwacht, nicht anhand der Kundenidentität — ein VPS, der plötzlich das 10-fache seines üblichen Volumens sendet, wird markiert, unabhängig vom Kontoinhaber. Die Abwägung funktioniert, weil die Spam-Filter auf der Protokollebene ansetzen, nicht auf der Identitätsebene.
Die praktische Implikation: NordBastion + eine saubere frische IP + ein über das Panel gesetzter PTR-Eintrag erfüllt die Drei-Wand-Checkliste in unter einer Stunde. Der Rest des Leitfadens ist die eigentliche Installation.
Die drei Stacks im Vergleich. Mailcow vs. Mail-in-a-Box vs. iRedMail.
Mail-in-a-Box. Ein einzelnes Shell-Skript, das eine frische Ubuntu-22.04-Installation in einen vollständigen Mailserver verwandelt — Postfix, Dovecot, Roundcube-Webmail, Nextcloud-äquivalente Kontakte/Kalender, SpamAssassin, DNS-Hinweise. Standards sind vernünftig, die Admin-Oberfläche ist minimal, der Ressourcenbedarf beträgt bequem 2 GB RAM. Beste Wahl für jemanden, der das Ergebnis möchte, ohne Docker zu lernen. Updates erscheinen im Rhythmus des Upstream-Projekts, typischerweise zwei oder drei pro Jahr.
Mailcow. Ein Docker-Compose-basierter Stack — Postfix, Dovecot, Rspamd, ClamAV, SOGo, Nginx, MariaDB, Redis, Solr — mit einer ausgereiften Web-Administration (2FA, ActiveSync, Kalender, Adressbücher, Postfach-Kontingente). Benötigt 6 GB RAM als praktische Mindestausstattung; komfortabel auf 8. Beste Wahl für jemanden, der ein modernes, modulares Setup mit erstklassiger Spam-Filterung und ActiveSync für mobile Geräte wünscht. Laufend veröffentlicht; die moby docker-compose.yml wird aus dem Projekt-Repository geliefert.
iRedMail. Die klassische Wahl — ein Shell-Skript, das den klassischen Postfix + Dovecot + Amavisd-new + ClamAV-Stack auf Debian / Ubuntu / CentOS installiert. Die Admin-Oberfläche (iRedAdmin) ist funktional statt hübsch. Am besten geeignet für den Betreiber, der bereits Meinungen zu jeder Komponente hat und direkte Konfigurationsdatei-Kontrolle möchte. Die Pro-Edition fügt eine reichhaltigere Admin-Oberfläche hinzu; die Open-Source-Edition ist vollständig nutzbar.
Was sie alle gemeinsam haben. Alle drei erzeugen einen voll funktionsfähigen Mailserver mit SMTP / IMAP / Submission / DKIM / SpamAssassin oder Rspamd / Webmail. Alle drei stützen sich auf dieselben protokollseitigen Zustellmechanismen (SPF / DKIM / DMARC / PTR). Alle drei benötigen dieselbe monatliche Wartung. Die Wahl betrifft die Ergonomie, nicht ob die Mail funktioniert.
Die DNS-Einträge. Alle fünf, perfekt, oder gar nichts.
Moderne Mail-Zustellbarkeit hängt von fünf DNS-Einträgen ab. Alle fünf richtig setzen, landen Sie im Posteingang bei Gmail und Outlook. Einen verpassen oder halbrichtig setzen, landen Sie im Spam — oder schlimmer, werden still auf SMTP-Ebene abgewiesen ohne Bounce.
1. MX (Eintrag). example.com. MX 10 mail.example.com. — teilt der Welt mit, wohin E-Mail für die Domain zugestellt werden soll.
2. A (Eintrag). mail.example.com. A 1.2.3.4 — die IP Ihres Mail-VPS.
3. PTR (Reverse). 4.3.2.1.in-addr.arpa. PTR mail.example.com. — beim VPS-Anbieter auf der IP gesetzt. Muss mit dem HELO übereinstimmen. NordBastion: dies innerhalb der Stunde, in der der VPS bereitgestellt wird, über das Panel setzen.
4. SPF (Eintrag). example.com. TXT "v=spf1 mx -all" — erklärt, dass nur die MX-Hosts E-Mail für die Domain senden dürfen. Das -all (Hard Fail) ist beim Selbst-Hosting korrekt; ~all (Soft Fail) ist die ältere permissive Form, die vermieden werden sollte.
5. DKIM (Eintrag). default._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=<long-key-from-mailcow-admin>" — der öffentliche Schlüssel, den der Empfänger verwendet, um die DKIM-Signatur zu verifizieren, die Ihr Server jeder ausgehenden Nachricht hinzufügt. Der private Schlüssel verbleibt im Mailserver; die öffentliche Hälfte wird in DNS eingetragen.
6. DMARC (Eintrag). _dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:[email protected]" — teilt Empfängern mit, was mit Nachrichten zu tun ist, die SPF/DKIM nicht bestehen (ablehnen), und wohin aggregierte Berichte gesendet werden sollen. Beginnen Sie mit p=none für die erste Woche zur Überwachung, wechseln Sie dann zu p=reject.
Überprüfen Sie den gesamten Stack nach jeder Änderung mit dem mxtoolbox.com Email Health Check. Grün auf der ganzen Linie ist der einzig akzeptable Zustand.
Zustellbarkeit. Gmail, Outlook, das Warm-up.
Eine frische IP beginnt selbst bei perfektem DNS in der „neutraler Absender“-Kategorie bei Gmail und Outlook. Der erste Monat ist eine Reputationsaufbau-Übung. Das Ziel ist, genau wie ein kleiner legitimer Absender auszusehen: niedriges Volumen, gleichmäßiger Rhythmus, perfekte Authentifizierung, Empfänger, die öffnen und antworten.
Woche 1. Senden Sie E-Mails nur an Ihre eigenen externen Konten (Gmail, Outlook, Yahoo, Proton). Lesen Sie jede Nachricht im Posteingang des Empfängers, markieren Sie sie als "Kein Spam", wenn sie im Spam landet, und antworten Sie. Die Antwort ist das Reputationssignal, das am meisten zählt. Volumen: 5–20 Nachrichten pro Tag.
Wochen 2–4. Einige Korrespondenten hinzufügen, die natürlich antworten. Ein oder zwei Mailinglisten abonnieren, die an Ihre neue Adresse senden (technische Ankündigungen, Projekt-Newsletter); das Engagement bei eingehenden Nachrichten von etablierten Absendern hilft Ihrem ausgehenden Versand. Volumen: 50–200 pro Tag.
Monate 2–3. Zu diesem Zeitpunkt hat die IP eine Erfolgsbilanz. Eingehende Mails vom alten Anbieter über SMTP-Weiterleitung migrieren, damit die neue Adresse echten Traffic empfängt. DNSBL-Einträge weiterhin monatlich überwachen. Im dritten Monat ist die Zustellbarkeit kaum von einem gehosteten Anbieter zu unterscheiden.
Was das Aufwärmen torpediert. Massenversand am ersten Tag. Versand an eine veraltete Kontaktliste mit toten Adressen (Gmail wertet Bounces stark negativ). Newsletter-Kampagnen. Jedes davon in Woche 1 setzt die IP um Wochen zurück. Die Disziplin ist Geduld, keine Technik.
Wartung. Eine Stunde pro Monat, oder es bricht.
Ein selbst gehosteter Mailserver ist kein „einrichten und vergessen“ — das E-Mail-Ökosystem bewegt sich kontinuierlich, und die Kosten des Zurückfallens sind eine stille Zustellbarkeits-Verschlechterung, die Sie erst bemerken, wenn ein Freund sagt: „Ich habe Ihre E-Mail nie erhalten.“ Die monatliche Wartungsroutine ist klein, aber nicht verhandelbar.
Monatliche Checkliste. (1) DNSBL-Prüfung — mxtoolbox-Blacklist-Scan, Austragen falls gelistet. (2) Zertifikatserneuerung prüfen — Let's Encrypt sollte automatisch erneuern, aber verifizieren. (3) Updater ausführen — Mailcow update.sh oder MIAB-Upgrade oder apt upgrade bei iRedMail. (4) Log-Scan — Rspamd / Postfix auf ungewöhnliche Ablehnungsraten. (5) Backup-Überprüfung — neuestes Backup in ein Testverzeichnis wiederherstellen und bestätigen, dass der Mail-Spool sauber dekomprimiert.
Vierteljährlich. Vollständige Backup-Wiederherstellungsübung auf einem zweiten VPS, Webmail-Login verifizieren. SpamAssassin / Rspamd-Regeln überprüfen — Bayes-Scores driften, mit aktuellem Ham/Spam neu trainieren. DMARC-Aggregatberichte auf unbefugte Domain-Nutzung prüfen.
Bei einem Major-Versions-Release. Erstellen Sie zunächst einen Snapshot des VPS (NordBastion-Panel: ein Klick). Erstellen Sie ein aktuelles Datenbank-Backup außerhalb des Servers. Führen Sie das Upgrade durch. Überprüfen Sie SMTP-Versand, IMAP-Abruf, Webmail-Anmeldung, mobilen Sync, jedes Konto auf dem Server. Stellen Sie den vorherigen Zustand über den Snapshot wieder her, wenn etwas fehlschlägt. Zeit: 30–60 Minuten ein- oder zweimal im Jahr.
Der Kipppunkt. Leute geben selbst gehostete Mail auf, wenn sie drei Monate Updates überspringen, dann eine größere DSA-/DMARC-Änderung eintrifft, dann die Zustellbarkeit still nachlässt, dann ein Freund sagt, die Mail bounced. Die monatliche Stunde von Tag eins an in den Kalender einbauen, und der Brechpunkt kommt nie.
Fragen, beantwortet.
Acht Fragen, die beim Starten und Betreiben eines selbst gehosteten E-Mail-Servers im Jahr 2026 aufkommen.
Ist es im Jahr 2026 noch realistisch, E-Mail selbst zu hosten?
Ja — aber nur, wenn Sie die drei strukturellen Probleme verstehen und die betrieblichen Kosten akzeptieren. Problem eins: Ausgehender Port 25 ist bei den meisten VPS-Anbietern standardmäßig blockiert, und seine Freischaltung erfordert ein Gespräch mit dem Vertrieb. Problem zwei: Frischer IP-Raum hat eine "kalte" Zustellbarkeits-Reputation, die Wochen braucht, um sich bei Gmail und Outlook aufzuwärmen. Problem drei: Der monatliche Wartungszyklus (DNSBL-Prüfungen, TLS-Erneuerung, Blocklist-Entfernung) ist nicht verhandelbar. Mit diesen Punkten erledigt, ist selbst gehostete E-Mail im Jahr 2026 gesünder als es 2020 war.
Welchen Stack sollte ich wählen — Mailcow, Mail-in-a-Box oder iRedMail?
Mail-in-a-Box für den „Ich will, dass das funktioniert“-Leser. Ein Installations-Skript, vernünftige Standards, läuft auf 2 GB. Mailcow für den „Ich möchte eine moderne Admin-Oberfläche und Docker“-Leser; benötigt 6 GB, bietet Rspamd, ActiveSync, SOGo und eine ausgereifte Web-Administration. iRedMail für den „Ich habe einen bestimmten Stack, den ich möchte“-Leser; sehr flexibel, sehr manuell, die Wahl des erfahrenen Nutzers. Alle drei erzeugen einen voll funktionsfähigen Mailserver; die Wahl betrifft die Ergonomie, nicht das Ergebnis.
Warum ist Port 25 bei den meisten VPS-Anbietern blockiert?
Weil Spammer es missbrauchen. Hyperscaler und Budget-VPS-Anbieter blockieren ausgehendes TCP/25 standardmäßig am Hypervisor oder der Firewall, um Missbrauchsbeschwerden zu reduzieren — die Freischaltung erfordert ein Support-Ticket, Identitätsverifizierung und eine „AUP für E-Mail“-Freigabe. Privacy-first-Hoster, die die Identitätsverifizierung verweigern, können die Freischaltung nicht anbieten; Mainstream-Hoster, die die Freischaltung anbieten, erfordern KYC. Die Kombination „No-KYC UND Port 25 freigeschalten“ ist selten und der Grund, warum dieser Leitfaden überhaupt auf dieser Website steht.
Schaltet NordBastion ausgehendes SMTP für Mailserver-Kunden frei?
Ja — der ausgehende Port 25 ist auf jedem NordBastion VPS ohne Support-Ticket-Anfrage offen. Wir führen keinen Identitätsüberprüfungsschritt durch, bevor wir SMTP erlauben, weil die No-KYC-Haltung die Doktrin ist; ausgehender Missbrauch wird anhand von Traffic-Mustern überwacht, nicht anhand der Kundenidentität. Das ist das Unterscheidungsmerkmal, das einen selbst gehosteten Mailserver auf einem Privacy-Hoster tatsächlich ermöglicht.
Was ist ein PTR-Eintrag und warum wird meine E-Mail ohne einen immer abgelehnt?
Ein PTR-Eintrag (Pointer) ist das Reverse-DNS-Lookup Ihrer IP — die Antwort auf „Welcher Hostname gehört zu dieser IP?“ Viele große Mail-Anbieter (Gmail, Microsoft, Yahoo) lehnen eingehende E-Mails von Servern ab, deren PTR nicht mit dem HELO-Hostnamen der SMTP-Konversation übereinstimmt. Den PTR setzen Sie auf der IP, nicht auf Ihrer Domain — bei einem VPS bedeutet das, den VPS-Anbieter zu bitten, den PTR für Ihre IP auf mail.example.com zu setzen. NordBastion setzt PTR-Einträge auf Anfrage über das Panel innerhalb einer Stunde.
Wie lange dauert das IP-Reputations-Warm-up?
Zwei bis sechs Wochen normalen Traffics, um aus dem Eimer für neue Absender bei Gmail und Outlook herauszukommen, länger wenn Sie selten senden. Die Beschleuniger sind: niedriges und gleichmäßiges ausgehendes Volumen (50–200 Nachrichten pro Tag in der ersten Woche, schrittweise erhöhen), perfekte SPF + DKIM + DMARC-Ausrichtung auf jeder Nachricht, null DNSBL-Einträge, Empfänger-Engagement (Öffnungen und Antworten). Die Killer sind: Massenversand am ersten Tag, fehlende oder falsch ausgerichtete Authentifizierungseinträge und das Senden an Spam-Fallen.
Brauche ich einen dedizierten VPS für Mail oder kann ich ihn neben meinen anderen Diensten betreiben?
Dediziert wird dringend empfohlen. Mailserver-Software (Postfix, Dovecot, Rspamd, ClamAV, die Datenbank, das Webmail) hat ein spezifisches RAM- und Speicherprofil, und die Reputation der IP ist speziell an den Mail-Traffic geknüpft — gemeinsame Unterbringung mit einem Tor-Exit-Relay oder einem Bitcoin-Knoten lädt dazu ein, dass die IP irgendwo unvorteilhaft gelistet wird. Ein zweiter VPS für $5.90/Monat ist günstige Absicherung.
Wie hoch ist der laufende Wartungsaufwand?
Eine monatliche Checkliste: Prüfen, ob die IP nicht auf Spamhaus / SORBS / Barracuda DNSBLs steht (5 Min. — mxtoolbox.com); bestätigen, dass Let's Encrypt-Zertifikate erneuert wurden (1 Min.); Rspamd / Postfix-Logs auf ungewöhnliche Muster scannen (5 Min.); Mailcow / MIAB-Updater ausführen (10 Min.); sicherstellen, dass das neueste Backup sauber wiederhergestellt wird (15 Min. einmal im Quartal). Gesamt: eine Stunde pro Monat, mit einer intensiveren Stunde zweimal im Jahr, wenn Major-Versionen erscheinen.
Port 25 offen, PTR über das Panel, kein KYC, Zahlung in Krypto.
Mail-in-a-Box läuft auf Ravelin (2 vCPU, 4 GB, $5.90/Mon.). Mailcow benötigt Iron (4 vCPU, 8 GB, $24.90/Mon.). Beide werden mit bereits geöffnetem Port 25 geliefert.
Zuletzt überprüft · 2026-05-20 · Quellen · Mailcow / Mail-in-a-Box / iRedMail Upstream-Dokumentation, Gmail Postmaster Tools, RFC 5321 / 6376 / 7489 · Rhythmus · jährlich
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Bitwarden-compatible password vault under your own control.
Files, calendar, contacts, photos — owned, not rented.
A meta search engine that does not log you — because you own it.
What “no KYC” actually means — and what it does not.