Matrix selbst auf einem VPS hosten.
Synapse + Element. Föderiert. Ende-zu-Ende-verschlüsselt.
Matrix ist das, wie E-Mail aussehen würde, wenn es für Chat im Open-Protocol-Zeitalter entworfen worden wäre. Synapse als Homeserver, Element als Client, PostgreSQL als Datenspeicher, Caddy als Eingangstür — und ein föderierter Raumgraph, dem niemand im Besonderen gehört.
- 01
Synapse ist der richtige Standard-Homeserver im Jahr 2026 — die produktionsbewährte, vollständig ausgestattete Referenzimplementierung. Conduit und Dendrite sind für engere Anwendungsfälle geeignet.
- 02
Wechseln Sie am ersten Tag zu PostgreSQL; das Standard-SQLite ist nur zum Testen und versagt bei mehr als einer Handvoll Nutzer. Planen Sie Festplattenplatz für Medien-Uploads — föderierte Räume häufen sie schnell an.
- 03
Geschlossene Registrierung ist der sichere Standard. Öffentliche Registrierung ist echte Moderationsarbeit; nur aktivieren, wenn Sie bereit sind, diese zu übernehmen.
Matrix in fünf Sätzen. Was Sie tatsächlich bereitstellen.
Matrix ist ein offenes Protokoll für Echtzeit-Kommunikation. Ein Homeserver ist ein Server, der das Protokoll ausführt; Nutzer gehören je zu einem Homeserver, identifiziert als @alice:example.com — dasselbe Muster wie E-Mail. Räume sind die Einheiten des Gesprächs; ein einzelner Raum kann Mitglieder von vielen verschiedenen Homeservern haben, und der Raumzustand wird über alle teilnehmenden Homeserver repliziert. Private Räume verschlüsseln jede Nachricht mit gerätespezifischen Schlüsseln (Olm/Megolm), sodass der Server nur Chiffretext sieht. Das gesamte Netzwerk ist ein Graph von Homeservern, die den Raumzustand aneinander föderieren.
Die interessanten Eigenschaften: Keine zentrale Behörde kann Matrix abschalten (das Protokoll ist offen und läuft überall), Nutzer auf verschiedenen Servern kommunizieren transparent (Föderierung), private Räume haben echte Ende-zu-Ende-Verschlüsselung (keine Werbe-Verschlüsselung-in-Transit), und ein Nutzer kann den Homeserver wechseln und seine Identität behalten, indem er seinen eigenen betreibt. Der Kompromiss ist die betriebliche Komplexität — einen Homeserver zu betreiben ist mehr Arbeit als sich bei Discord anzumelden — und ein kleineres ausgereiftes Client-Ökosystem als die proprietären Plattformen.
Was Sie in diesem Leitfaden bereitstellen: Synapse (der Homeserver), PostgreSQL (seine Datenbank), Element Web (der Browser-Client, von Ihrer eigenen Domain gehostet) und Caddy (der Reverse Proxy + automatisches TLS). Optional ein Medienspeicher-Backend und die bekannten Endpunkte für die Föderierungserkennung. Der gesamte Stack besteht aus zwei Docker Compose-Dateien und einer Caddy-Konfiguration.
Dimensionierung. Synapse ist speicherhungrig.
Synapse hält den raumspezifischen Zustand im Speicher, und der Beitritt zu einem großen föderieren Raum (z. B. #matrix:matrix.org mit 60.000 Mitgliedern) zieht viel dieses Zustands in Ihren Homeserver. Das Ergebnis ist, dass selbst ein Synapse für einen einzelnen Nutzer gleichmäßig 2–3 GB RAM verbrauchen kann, wenn der Nutzer in aktiven föderieren Räumen ist. Planen Sie entsprechend.
Einzelner Nutzer, bescheidene Föderierung. 2 vCPU, 4 GB RAM, 40 GB SSD. Die <a href="/de/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">Ravelin-Stufe (5,90 $/Monat)</a> bei NordBastion ist die richtige Wahl. Der Speicherbedarf wächst bei einem aktiven Einzelnutzer um ca. 10 GB pro Jahr; planen Sie entsprechend Puffer ein.
Kleines Team, 5–20 Nutzer. 4 vCPU, 8 GB RAM, 100 GB SSD. Die Iron-Stufe ($24.90/Mon.) bewältigt dies problemlos. PostgreSQL auf demselben VPS betreiben; die Datenbank passt in den freien RAM und Speicherplatz.
Öffentlicher Homeserver, 100+ Nutzer. Ab 100 aktiven Nutzern profitiert Synapse von Worker-Prozessen (separater Föderations-Sender, Föderations-Leser, Client-Leser-Worker) und einem optimierten PostgreSQL. Die Iron- oder Granite-Stufen handhaben das, aber die operationelle Komplexität wächst nicht-linear — in dieser Größenordnung sind Sie ein Matrix-Admin zusätzlich zu einem Software-Nutzer.
Festplatten-Realität. Medien-Uploads (Bilder, Videos, Dateien) aus föderieren Räumen sammeln sich auf Ihrem Homeserver an, weil die Matrix-Föderierung Medien für die Bereitstellung lokal zieht. Ein stark frequentierter öffentlicher Homeserver kann 1 GB Medien pro Woche hinzufügen. Die Synapse-media_retention-Konfiguration ermöglicht das Bereinigen älterer Inhalte; einmal pro Quartal überprüfen.
Die Docker Compose-Installation. Synapse, PostgreSQL, Element.
Starten Sie einen frischen Debian 12 VPS, richten Sie drei DNS-Einträge darauf aus: matrix.example.com (der Homeserver-Hostname), element.example.com (der Web-Client) und example.com selbst, wenn Sie die Kurzform des @alice:example.com-Bezeichners möchten. Melden Sie sich per SSH als sudo-Nutzer an.
1. Docker und Compose installieren. curl -fsSL https://get.docker.com | sh — Docker Engine liefert Compose v2 im selben Paket.
2. Synapse-Konfiguration generieren. mkdir -p ~/synapse/data && docker run -it --rm -v ~/synapse/data:/data -e SYNAPSE_SERVER_NAME=example.com -e SYNAPSE_REPORT_STATS=no matrixdotorg/synapse:latest generate — das schreibt homeserver.yaml. Bearbeiten Sie sie: Ändern Sie die Datenbank von SQLite auf PostgreSQL, setzen Sie die Medien-URL, setzen Sie enable_registration: false zum Start (Sie erstellen Nutzer vorerst über die Admin-CLI).
3. docker-compose.yml schreiben. Drei Dienste: postgres (postgres:16, persistentes Volume, Locale C), synapse (matrixdotorg/synapse:latest, bindet ~/synapse/data ein, abhängig von postgres), element (vectorim/element-web:latest, bindet eine kleine config.json ein, die auf https://matrix.example.com zeigt). Ordnen Sie nur synapse:8008 und element:80 localhost zu; binden Sie nicht 0.0.0.0.
4. Mit Caddy nach vorne schalten. Zwei Caddyfile-Sites: matrix.example.com leitet an 127.0.0.1:8008 (Synapse) auf den Ports 443 und 8448 (dem Föderierungsport) weiter; element.example.com leitet an 127.0.0.1:8001 (Element Web) weiter. Caddy ruft Let's Encrypt-Zertifikate automatisch ab.
5. Föderations-Discovery (.well-known). Zwei statische JSON-Dateien auf example.com selbst hinzufügen: /.well-known/matrix/server, das {"m.server": "matrix.example.com:443"} zurückgibt, und /.well-known/matrix/client, das {"m.homeserver": {"base_url": "https://matrix.example.com"}} zurückgibt. Dies lässt Kurz-Bezeichner @alice:example.com korrekt auflösen. Mit dem Federation Tester auf federationtester.matrix.org verifizieren.
6. Ersten Benutzer anlegen. docker exec -it synapse register_new_matrix_user -u alice -p <password> -a -c /data/homeserver.yaml http://localhost:8008 — das erstellt ein Admin-Konto. Melden Sie sich über https://element.example.com an.
Element, Branding, Registrierungsrichtlinie. Die Entscheidungen, die bleiben.
Element-Konfiguration. Element Web liest eine config.json, die auf Ihren Homeserver zeigt, das Standarddesign, das Branding und die Liste der „vorgeschlagenen Räume“ für neue Konten festlegt. default_server_config.m.homeserver.base_url auf https://matrix.example.com setzen, brand auf Ihren Projektnamen setzen und das matrix.org-vorschlagende brand_url-Feld deaktivieren. Neue Nutzer landen auf Element Web, das auf Ihren Server zeigt, nicht auf den eines anderen.
Registrierungsrichtlinie. Drei Modi: geschlossen (nur der Admin kann Nutzer über die CLI registrieren; die sauberste Moderationshaltung), tokenbasiert (Sie generieren Registrierungstoken über die Admin-API und teilen sie; besser für eine kleine Gruppe), offen (jeder kann sich registrieren; nur aktivieren, wenn Sie einen öffentlichen Homeserver mit Moderationswerkzeugen betreiben möchten). Beginnen Sie geschlossen und lockern Sie nur, wenn Sie einen Grund haben.
Föderations-Blockliste. Synapse unterstützt federation_domain_whitelist (nur Whitelist) und serverindividuelle Sperren über die Admin-API. Für die meisten öffentlichen Homeserver ist der Standard "mit allem föderieren", mit reaktiven Sperren missbräuchlicher Server nach Bedarf. Der Mjolnir-Bot automatisiert dies, wenn Sie zum Ziel werden.
Sicherungen. Nächtlicher PostgreSQL-Dump + ~/synapse/data-Tarball, via rclone an einen zweiten VPS oder B2-Bucket außerhalb des Servers gesendet. Beide sind erforderlich; die Datenbank enthält den Raumzustand und die Konten, das Datenverzeichnis hält die Signaturschlüssel und Medien. Wiederherstellungstests vierteljährlich, wie bei jedem Backup.
Die Moderationsrealität. Was Selbst-Hosting tatsächlich bedeutet.
Den Betrieb eines Matrix-Homeservers zu übernehmen bedeutet zu akzeptieren, dass der Betreiber für das verantwortlich ist, was der Server tut. Bei einem privaten, nur auf Einladung zugänglichen Homeserver ist diese Verantwortung gering — Sie kennen jeden Nutzer. Bei einem öffentlichen Homeserver wächst die Verantwortung mit der Nutzerbasis.
Eingehender Missbrauch. Ein föderierter öffentlicher Raum kann in Missbrauchs-Koordination, Bild-Dumps oder Belästigung hineingezogen werden. Synapse stellt Admin-API-Endpunkte bereit, um einen Nutzer zu sperren (aus allen Räumen), einen Homeserver zu blockieren (keine weitere Föderierung) und einen Server zu zwingen, einen Raum zu verlassen. Der Mjolnir-Bot bündelt diese in einen Moderations-Raum-Workflow; der Draupnir-Fork ist seine aktiv gepflegte Fortsetzung.
Ausgehender Missbrauch. Ein kompromittiertes Benutzerkonto kann missbräuchliche Inhalte in föderierte Räume posten, was den Ruf Ihres Servers beim restlichen Netzwerk beschädigt. Zwei Gegenmaßnahmen: Rate-Limiting pro Nutzer (Synapse-Standardlimits sind vernünftig) und E-Mail-Verifizierung für neue Konten vorschreiben (erhöht die Hürde für automatisierte Registrierung).
Rechtliche Haltung. In der EU bietet eine Infrastrukturanbieter-Rolle starken Schutz vor Haftung als Vermittler (e-Commerce-Richtlinie Artikel 14, DSA Artikel 6) — Sie haften nicht für Nutzerinhalte, solange Sie auf Hinweise und Takedown-Anfragen reagieren. Die nordischen Jurisdiktionen erweitern dies um explizite verfassungsrechtliche Pressefreiheitsschutzmaßnahmen. Derselbe Homeserver, der in einer Jurisdiktion ohne Vermittlerschutz betrieben wird, ist operationell riskanter; den Host-Standort entsprechend wählen.
Der sichere Standard. Nur-Einladungs-Registrierung, Föderierung aktiviert mit reaktiven Sperren, Mjolnir / Draupnir installiert, aber ungenutzt bis benötigt, Nutzungsbedingungen auf der Homeserver-Website mit einer klaren Nutzungsrichtlinie veröffentlicht. Diese Haltung deckt 95 % der Betreiber ohne weiteren Aufwand ab.
Warum der Hoster wichtig ist. Verschlüsselung schützt Inhalte, der Hoster schützt Metadaten.
Matrix E2EE schützt Nachrichteninhalte — der Server hält nur Chiffretext für private Räume. Was es nicht schützt, sind die Metadaten: welche Homeserver miteinander föderieren, welche Nutzer in welchen Räumen sind, wann sie online sind, wie oft sie Nachrichten senden, was ihre Geräte sind. Dieser Metadaten-Graph liegt auf dem Homeserver und den Homeservern, mit denen er föderiert, und ist technisch außerhalb der Reichweite der Verschlüsselungsebene.
Ein auf einem KYC-verknüpften VPS laufender Homeserver bindet den Metadaten-Graphen an die rechtliche Identität des Betreibers. Eine Vorladung an den Host liefert nicht nur die verschlüsselte Datenbank, sondern auch die Verknüpfung vom @alice:example.com-Bezeichner zu einem realen Namen. Die Verschlüsselung hält stand; die Metadaten-Ebene liegt offen.
Die Grundhaltung von NordBastion ist das Gegenteil: <a href="/de/doctrine/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">Registrierung ohne KYC</a>, Krypto-Zahlung, nordische Verfassungsgerichtsbarkeiten. Der Homeserver gehört Ihnen; die Verbindung vom Homeserver zurück zu einem Namen existiert nicht; das Rechtsregime, das auf die Disk zugreift, hat explizite Pressefreiheitsschutzbestimmungen. Die Kombination entspricht dem Sicherheitsmodell von Matrix selbst — sowohl die kryptografische Inhaltsschicht als auch die operative Metadatenschicht sind geschützt.
Fragen, beantwortet.
Acht Fragen, die beim Betrieb eines Matrix-Homeservers im Jahr 2026 aufkommen.
Was ist Matrix und wie unterscheidet es sich von Discord oder Slack?
Matrix ist ein föderiertes, offenes Echtzeit-Kommunikationsprotokoll — denken Sie an SMTP für Chat. Jeder betreibt einen Homeserver (Synapse, Dendrite, Conduit), Nutzer auf verschiedenen Homeservern kommunizieren transparent miteinander, jede Nachricht in einem privaten Raum ist standardmäßig Ende-zu-Ende-verschlüsselt, kein zentrales Unternehmen kontrolliert das Netzwerk. Discord und Slack sind zentralisiert, proprietär, und das Unternehmen hostet jedes Gespräch. Der Kompromiss: Matrix hat eine etwas höhere operationelle Komplexität und ein kleineres ausgereiftes Client-Ökosystem, aber Sie besitzen jedes Byte.
Synapse, Dendrite oder Conduit — welcher Homeserver?
Synapse ist die Referenzimplementierung, in Python geschrieben, die funktionsreichste und produktionsbewährte Wahl. Sie ist speicherhungrig. Dendrite ist die neuere Go-Neufassung, deutlich schlanker, mit wenigen fehlenden erweiterten Moderationsfunktionen, die jedoch schnell aufgeholt werden. Conduit ist die dritte Option, ein Rust-Homeserver mit Fokus auf minimalen Ressourcenverbrauch, gut geeignet für einen Einzelnutzer-Homeserver auf einem günstigen VPS. Wählen Sie standardmäßig Synapse, es sei denn, Sie haben einen bestimmten Grund — die Dokumentation, die Moderationswerkzeuge und die Drittanbieter-Bridges gehen alle von Synapse aus.
Wie viel VPS brauche ich für einen Matrix-Homeserver?
Einzelner Nutzer mit Föderierung ins breitere Matrix-Netzwerk — 2 vCPU, 4 GB RAM, 40 GB SSD ist das praktische Minimum. Kleines Team (5–20 Nutzer) — 4 vCPU, 8 GB RAM, 100 GB SSD. Die Ravelin- oder Iron-Stufen decken beide Fälle ab. Die dominante Ressource ist RAM (Synapse hält viel Raumzustand im Speicher) und Festplatte (Medien-Uploads und föderierter Raumverlauf wachsen kontinuierlich).
Sollte ich Föderation aktivieren?
Fast immer ja — das ist der eigentliche Zweck von Matrix. Die Föderierung ermöglicht Ihren Nutzern, mit jedem auf matrix.org, mozilla.org, kde.org und den Tausenden anderer Homeserver zu kommunizieren. Die Ausnahmen: ein privater interner Team-Server, auf dem niemand Räume entdecken soll; ein Hochrisiko-Bedrohungsmodell, bei dem Föderations-Verkehrsmuster Informationen preisgeben; ein Server mit sensiblen Themen, bei dem Sie strikte Mitgliedschaftskontrolle wünschen. Die Föderierung später zu deaktivieren ist in Ordnung; sie wieder zu aktivieren macht Sie auffindbar.
Sind private Räume standardmäßig Ende-zu-Ende-verschlüsselt?
Ja — jeder Element-Client aktiviert E2EE standardmäßig für neue Direktnachrichten und private Räume. Die Verschlüsselung ist raumspezifisches Olm/Megolm mit geräteübergreifender Signaturverifizierung. Der Server sieht nur den Chiffretext des Nachrichtentexts. Öffentliche Räume sind absichtlich unverschlüsselt (da jeder beitreten kann, würde die Verschlüsselung nichts schützen). Föderierte öffentliche Räume sind für jeden sichtbar — was der Sinn eines öffentlichen Raums ist.
Was ist die Moderationsrealität beim Betrieb eines öffentlichen Homeservers?
Es ist echte Arbeit. Wenn Sie öffentliche Registrierung erlauben, wird Ihr Homeserver zu Spam-Räumen föderieren, in Missbrauchs-Koordinations-Räume hineingezogen werden und gelegentlich anstößige Inhalte von föderieren Servern aufdecken. Das Betreiben eines öffentlichen Homeservers erfordert die Bereitschaft, Verbote auf Server-Ebene anzuwenden, feindliche Server zu blockieren und auf Missbrauchsmeldungen zu reagieren. Für die meisten Betreiber ist die korrekte Haltung geschlossene Registrierung (nur auf Einladung) — jeder Nutzer ist jemand, den Sie kennen, und die Missbrauchs-Angriffsfläche sinkt auf nahezu null.
Kann ich meinen Matrix-Homeserver als Slack-/Discord-Ersatz bei der Arbeit verwenden?
Ja — Element Server Suite und die zugrundeliegende Synapse + Element Web-Kombination decken den Funktionsumfang "Team-Chat mit dauerhaften Räumen, Threads, Reaktionen, Sprach-/Video-Huddles" ab. Die Hauptlücke gegenüber Slack sind Drittanbieter-Integrationen (weniger vorgefertigte Apps); die Hauptlücke gegenüber Discord sind die ausgereiften Sprachkanäle. Beide sind praktikabel, erfordern aber etwas Betreiberaufwand. Für ein kleines Team, das Datensouveränität über Politur stellt, ist der Tausch eindeutig lohnenswert.
Warum ist der Hoster, von dem ich den VPS miete, für einen Matrix-Server wichtig?
Weil das föderierte Chat-Protokoll persistente Metadaten darüber erstellt, wer wann mit wem auf dem Homeserver kommuniziert. Diese Metadaten sind reichhaltig (föderierter Raumgraph, Föderations-Events, Medien-Uploads). Sie auf einem Host mit KYC zu speichern verknüpft die Metadaten mit Ihrer Identität; sie auf einem Host in einer feindlichen Jurisdiktion zu speichern bedeutet, dass ein staatlicher Akteur sie erzwingen kann. Ein No-KYC-nordischer VPS richtet die Metadaten-Haltung des Hosts an der kryptografischen Haltung des Protokolls aus — beide Hälften der Datenschutzgeschichte.
Ein nordischer VPS für Ihren Homeserver. KYC-frei, mit Krypto bezahlt.
Ravelin (2 vCPU, 4 GB, $5.90/Mon.) deckt einen einzelnen Nutzer mit föderierendem Synapse ab. Iron (4 vCPU, 8 GB, $24.90/Mon.) ist die Antwort für kleine Teams.
Zuletzt überprüft · 2026-05-20 · Quellen · Synapse Upstream-Dokumentation, Element-Konfigurationsreferenz, Matrix-Spezifikation, EU DSA Artikel 6 · Rhythmus · jährlich
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Fediverse instance, Docker Compose, federation-ready in 90 min.
What “no KYC” actually means — and what it does not.
Why Sweden, Finland, Norway and Iceland — the legal floor of each.
XMR end-to-end — wallet, transfer, confirmations, change.