Komposition: Das NordBastion-Eisbär-Maskottchen in taktischer nordischer Rüstung steht neben einem leuchtenden messingfarbenen Posttresor, versiegelte Umschlag-Siegel umkreisen ihn wie leuchtende Motten, eine offene messingfarbene Port-25-Plakette an der Tresortür, Polarlicht oben über einer Fjordnacht
Anwendungsfall · Mailserver · Aktualisiert 2026

Ihr Posteingang.
Auf Port 25. Standardmäßig offen. KYC-frei.

Mailcow auf einem Garrison zu $11.90/Monat, Port 25 ab der ersten Minute offen — kein Ticket, keine unterzeichnete AUP. Einer der wenigen KYC-freien Hoster, bei denen Sie tatsächlich Mail versenden können, anstatt sie nur zu empfangen.

Wählen Sie die richtige Stufe Zum Mailcow-Rezept springen
Kurzfassung
  • 01

    Der Garrison zu $11.90/Monat trägt Mailcow komfortabel für ein persönliches oder Familien-Postfach; der Ravelin zu $23.90/Monat für einen Produktions-Stack für kleine Teams mit rspamd, ClamAV und Sogo.

  • 02

    Port 25 standardmäßig auf jeder Stufe offen — die meisten KYC-freien Hoster blockieren ihn. PTR/rDNS wird über ein Panel-Ticket gesetzt; der Rest ist SPF + DKIM + DMARC + MTA-STS.

  • 03

    Nordische Absender-IP-Bereiche, von Gmail/Outlook365 gut angesehen — keine geteilte Historie mit „billigen US-VPS“-Bereichen. KYC-freie Anmeldung, sodass der Posteingang keine Papierspur zu Ihrem Namen ist.

Warum überhaupt

Warum den Mailserver überhaupt selbst hosten.

E-Mail ist der älteste universelle Identifikator im Internet. Die Adresse, mit der Sie sich bei Ihrer Bank, Ihrer Finanzbehörde, Ihrem Domain-Registrar, Ihrem Passwort-Manager registriert haben — diese Adresse ist die Wiederherstellungsfläche für alles andere. Diese Fläche einem Drittanbieter-Postfachanbieter zu übergeben, bedeutet, ihm die Schlüssel zur Wiederherstellungsfläche für alles andere zu übergeben.

E-Mail-Selbsthosting war früher der Standard; es wurde zur Ausnahme, als die Dynamik des Spam-Wettrüstens die Zustellbarkeit wirklich schwer machte und große kostenlose Anbieter Postfach-Hosting in einen Verlustführer für angrenzende Produkte verwandelten. Das Ergebnis ist Konzentration: Eine Handvoll Anbieter handhaben die Mehrheit der persönlichen Mail, die im öffentlichen Internet fließt. Diese Konzentration ist ein einzelner Punkt politischen Versagens für alle nachgelagerten Beteiligten.

Die operative Geschichte ist beherrschbarer, als der Ruf vermuten lässt. Mailcow gibt Ihnen einen docker-compose-Stack, der alles enthält (Postfix, Dovecot, rspamd, ClamAV, Sogo Webmail, Z-Push); die harten Teile der Zustellbarkeit (SPF, DKIM, DMARC, MTA-STS, PTR) sind gut dokumentiert; das IP-Reputations-Warmup ist ein bekannter Prozess, gemessen in Wochen statt Monaten. Der harte Teil ist die Geduld während der Wochen 1–4, nicht die Software.

Die richtige Frage ist nicht abstrakt „selbst hosten oder gehostet“ — sondern „will ich, dass mein Wiederherstellungsflächen-Identifikator an eine Domain und eine Maschine gebunden ist, die ich kontrolliere“. Wenn die Antwort ja lautet, ist der Rest dieser Seite das Rezept.

Dimensionierung

Die richtige NordBastion-Stufe für die Aufgabe.

Für ein persönliches oder familiengroßes Postfach (ein bis zehn Konten, moderates Sendevolumen, ein paar Hundert eingehende Nachrichten pro Tag) ist der Garrison ($11.90/Monat, 4 vCPU, 8 GB, 240 GB NVMe) der Sweet Spot. Das Container-Set von Mailcow — Postfix, Dovecot, rspamd, ClamAV, Sogo, Redis, MariaDB — passt komfortabel; die Platte hält Jahre an Mail-Archiven selbst mit Anhängen; die Kerne lassen rspamd seinen Machine-Learning-Klassifikator ohne Verzögerung laufen.

Für ein Produktions-Setup eines kleinen Teams (20–100 Konten, echtes ausgehendes Volumen, Sogo als primäres Webmail, serverseitige Kalendersynchronisation) verdient der Ravelin ($23.90/Monat, 8 vCPU, 16 GB, 480 GB NVMe) seinen Platz — mehr rspamd-Worker-Reserve für die eingehende Spam-Last, mehr Dovecot-Verbindungen für die IMAP-IDLE-Nutzerschaft und der Speicher, um Mail über das „brauche ich das“-Fenster hinaus aufzubewahren.

Der Sentinel ($5.90/Monat, 2 vCPU, 4 GB) kann einen schlankeren Stack betreiben — Mail-in-a-Box oder ein selbstgebautes Postfix + Dovecot — für ein Single-Postfach-Setup, aber Mailcow auf einem Sentinel wirkt unter jeder nennenswerten eingehenden Spam-Last beengt. Die ehrliche Empfehlung lautet: beginnen Sie auf einem Garrison und bleiben Sie dort.

Was keines davon ist: ein mandantenfähiges Managed-Mail-Angebot für zahlende Kunden. NordBastion hostet die Maschine; die Zustellbarkeitsgeschichte, die Missbrauchsbehandlung und die AUP für Ihre Nutzer liegen in Ihrem Bereich.

Einrichtung

Vom frischen VPS bis zur ersten Zustellung in den Posteingang. Sechs Schritte, plus 2–4 Wochen Warmup.

Eine Skelett-Skizze — die Upstream-Dokumentation von Mailcow deckt jeden Container ab; die operative Disziplin unten ist das, was „stellt an Gmail zu“ von „wohnt dauerhaft im Spam“ trennt.

  1. 01

    Zuerst ein PTR-Ticket öffnen

    Bevor Sie irgendetwas installieren: Tickern Sie den gewünschten PTR (z. B. mail.example.org) für die IP des VPS. Ohne korrekten PTR ist die Zustellbarkeit von Anfang an tot.

    # aus dem NordBastion-Panel:# Tickets > New > "Set PTR"
# IP <your IPv4> -> mail.example.org
  2. 02

    Docker installieren + Mailcow klonen

    Mailcow liefert die kanonische docker-compose.yml. Führen Sie generate_config.sh aus, geben Sie den FQDN an, akzeptieren Sie die Standardwerte.

    curl -fsSL get.docker.com | sh
git clone https://github.com/mailcow/mailcow-dockerized
cd mailcow-dockerized
./generate_config.sh
  3. 03

    SPF + DKIM + DMARC + MTA-STS setzen

    Alle vier DNS-Records, alle grün, ab Tag eins. Mailcow generiert das DKIM-Schlüsselpaar; Sie veröffentlichen den passenden DNS-Record bei Ihrem Registrar.

    ; bei Ihrem DNS-Registrar@      IN TXT "v=spf1 mx -all"
_dmarc IN TXT "v=DMARC1; p=quarantine; ..."
dkim._domainkey IN TXT "v=DKIM1; k=rsa; p=..."
  4. 04

    Mailcow hochfahren

    Postfix, Dovecot, rspamd, ClamAV, Sogo, Redis, MariaDB — der vollständige Stack in einem Compose. Beobachten Sie die Logs für die erste eingehende Verbindung von einem entfernten Absender.

    docker compose pull
docker compose up -d
docker compose logs -f postfix-mailcow
  5. 05

    Mit mail-tester validieren

    mail-tester.com gibt einen Zustellbarkeits-Score von 10. Streben Sie 10/10 an, bevor Sie echte Mail versenden. Alles unter 8 bedeutet, dass SPF/DKIM/PTR fehlkonfiguriert ist.

    # senden Sie einen Test aus dem Sogo-Webmail an:# the address mail-tester.com gives you
# und prüfen Sie dann den Score
  6. 06

    Die IP sanft aufwärmen

    Beginnen Sie mit geringem Volumen (ein paar Nachrichten pro Tag an engagierte Empfänger). Steigern Sie über 2–4 Wochen. Vermeiden Sie Massen-Newsletter von einer frischen IP — das ist der sicherste Weg auf eine Blockliste.

    # Woche 1: ~10 Nachrichten/Tag an Freunde# Woche 2: ~50 Nachrichten/Tag, rspamd-history beobachten# Woche 4: normales persönliches Nutzungsvolumen
Warum dieser Host für diese Aufgabe

Warum speziell NordBastion für einen Mailserver.

Port 25 offen

Der entscheidende Faktor, den die meisten Hoster verbergen.

Ausgehender Port 25 ist auf jeder NordBastion-Stufe standardmäßig offen — kein Ticket, keine unterzeichnete AUP, keine KYC-Verifizierung einer Geschäftsidentität, kein „bitte 7 Tage auf die Prüfung warten“. Dies ist die eine technische Entscheidung, die „kann Mail selbst hosten“ von „kann nur Empfangs-Mail selbst hosten“ trennt. Die meisten KYC-freien Hoster haben Port 25 geschlossen, um Spam-Beschwerden zu vermeiden; wir öffnen ihn, weil Mail-Selbsthosting genau der Anwendungsfall ist, für den unsere Plattform existiert.

KYC-frei

Ihr Posteingang ist keine Papierspur.

Ihre E-Mail-Adresse ist die Wiederherstellungsfläche für alles andere, was Sie online nutzen. Sie auf einer per Kreditkarte bezahlten Maschine zu hosten bedeutet, dass eine Vorladung des Kartenherausgebers die Beziehung zwischen „der Person, die die AWS-Rechnung bezahlt“ und „der Wiederherstellungs-E-Mail für diese Konten“ offenlegt. KYC-freie Anmeldung + Krypto-Abrechnung durchbricht diese Verbindung: Das Hosting-Konto ist „das Prepaid-Guthaben hinter dieser E-Mail“, und die E-Mail ist allein Ihre Angelegenheit.

Nordische IP-Reputation

Besser angesehen als „billige US-VPS“-Bereiche.

Absender-IP-Reputation ist teils individuell, teils vom ASN und der Historie des IP-Blocks vererbt. Nordische Bereiche etablierter Hoster tragen eine sauberere historische Reputation als der „$2/Monat-US-VPS“-Adressraum, durch den Massenversender rotieren. Gmail und Outlook365 gewichten die ASN-Reputation in ihrem eingehenden Scoring, und nordisches Peering — Stockholm, Helsinki, Oslo, Reykjavík — gehört in eine Klasse mit messbarem Zustellbarkeitsvorteil während des Warmup-Fensters.

Urteil

Betreiben Sie Mailcow auf einem Garrison. Tickern Sie den PTR. Setzen Sie die vier DNS-Records. Wärmen Sie sanft auf.

E-Mail-Selbsthosting ist 2026 die meiste Souveränität pro Dollar, die ein privater Nutzer kaufen kann. Für etwa den Preis eines kostenpflichtigen Postfachdienstes erhalten Sie den vollständigen Postfix/Dovecot/rspamd-Stack auf einer Maschine, deren Adresse an eine von Ihnen kontrollierte Domain gebunden ist und deren Speicher Ihnen gehört, um ihn beliebig zu sichern.

NordBastion hat Meinungen zu den Teilen, die für diese spezifische Aufgabe wichtig sind — Port 25 standardmäßig offen, PTR reibungslos per Ticket gesetzt, KYC-freie Anmeldung, sodass der Posteingang keine Papierspur zu Ihrem Namen ist, nordische IP-Bereiche mit saubererer vererbter Reputation — und ist beim Rest bewusst gewöhnlich. Der VPS ist ein VPS. Docker ist Docker. Mailcow ist Mailcow.

Der harte Teil ist die Geduld während des Warmup-Fensters. Die Software ist gelöst. Das DNS ist gelöst. Die Infrastruktur ist hier standardmäßig offen. Was bleibt, ist die Disziplin volumenarmen, gut authentifizierten Versands, während Gmail lernt, Ihnen zu vertrauen. Zwei bis vier Wochen. Dann ist es einfach E-Mail.

FAQ · Mailserver auf einem VPS

Die Fragen, die zuerst aufkommen.

Die acht Fragen, mit denen Mailserver-Selbsthoster tatsächlich ringen, bevor sie docker compose up ausführen. Die Port-25-Politik ist Frage eins — aus gutem Grund.

Warum blockieren die meisten VPS-Hoster Port 25?

Ausgehender Port 25 ist der historische Angriffsvektor für Botnets, die Spam weiterleiten. Hyperscaler (AWS, GCP, Azure) und die meisten VPS-Hoster schließen ihn standardmäßig und weigern sich entweder, ihn überhaupt zu öffnen, oder verlangen zuerst eine unterzeichnete AUP und ein KYC-verifiziertes Geschäftskonto. Die Kombination „wir verkaufen Ihnen einen VPS, aber Sie können von ihm aus keine Mail versenden“ ist inzwischen die ungeschriebene Branchennorm, weshalb „wie lautet Ihre Port-25-Politik“ die erste Frage jedes potenziellen Mailserver-Selbsthosters ist. NordBastion öffnet Port 25 standardmäßig auf jeder Stufe — kein Ticket erforderlich.

Was ist IP-Reputations-Warmup und wie lange dauert es?

Eine frisch zugeteilte VPS-IP hat keine Absenderreputation bei den großen Inbox-Anbietern (Gmail, Outlook365, Yahoo). Die ersten paar Tausend Nachrichten, die sie sendet, werden als schuldig-bis-Unschuld-bewiesen behandelt — vorläufig mit niedriger Trust-Bewertung akzeptiert, Zustellbarkeit schwankt zwischen Posteingang und Spam. Reputation baut sich über 2–4 Wochen konsistenten, volumenarmen, gut authentifizierten Versands auf. Die Beschleuniger sind: SPF + DKIM + DMARC + MTA-STS bei jeder Nachricht grün; PTR/rDNS passend zum HELO; konsistente FROM-Domain; Engagement-Signale (Menschen, die Ihre Mail tatsächlich öffnen, nicht nur empfangen).

Richtet NordBastion Reverse-DNS-/PTR-Records ein?

Ja — öffnen Sie aus Ihrem Panel ein Ticket mit dem gewünschten PTR, und wir setzen ihn auf dem Upstream-IP-Block. Die Konvention ist, dass der PTR der IP zum HELO-/EHLO-Hostnamen des Mailservers passt (mail.example.org). Ohne korrekten PTR bestrafen sowohl Gmail als auch Outlook365 den Absender stark — daher ist dies eines der ersten Dinge, die geregelt werden sollten, idealerweise vor der ersten ausgehenden Nachricht. Die Bearbeitungszeit für das Ticket beträgt in der Regel wenige Stunden.

Mailcow vs. Mail-in-a-Box vs. iRedMail — welches?

Mailcow ist die moderne docker-compose-native Option — aktiv entwickelt, mit reichhaltigem Web-UI, liefert rspamd, ClamAV, Sogo Webmail und Z-Push out of the box. Mail-in-a-Box ist die „alles auf einer Maschine, meinungsstark, minimale Konfiguration“-Option — ideal für ein persönliches Postfach + ein paar Aliase. iRedMail ist die klassische LAMP-Stack-Option — granulare Konfiguration, breitere Kompatibilität mit Nicht-Docker-Umgebungen. Für die meisten neuen Selbsthoster im Jahr 2026 lautet die Antwort Mailcow auf einem Garrison; alles Folgende setzt diesen Pfad voraus.

Kann ich zuverlässig an Gmail und Outlook365 zustellen?

Ja — aber nur mit vollständiger Authentifizierungs-Hygiene (SPF + DKIM + DMARC + MTA-STS), korrektem PTR, sauberem Sendemuster und Geduld während des Warmups. Gmail gewichtet insbesondere das Engagement stark — Menschen, die Ihre Mail nicht löschen, darauf antworten, als nicht-spam markieren — und ein brandneuer Absender auf einer brandneuen Domain braucht Wochen, um aus dem „promotional“-Fegefeuer herauszuklettern. Selbsthostende Betreiber berichten von stabiler Zustellbarkeit an beide Inboxen innerhalb von 4–8 Wochen konsistenten Betriebs; der Pfad erfordert Disziplin, nicht Magie.

Brauche ich einen Backup-MX?

Weniger, als Sie denken würden. Moderne Absender (Gmail, Outlook365 usw.) wiederholen bei Verbindungsfehlern bis zu mehrere Tage lang, sodass ein primärer MX, der eine Stunde lang während eines Reboots ausfällt, für niemanden sichtbar ist. Backup-MX-Server existieren überwiegend, um den seltenen Fall mehrtägiger Ausfälle zu bewältigen, und sie sind selbst Spam-Magnete (Spambots zielen gezielt auf Backup-MXe ab, die schwächer als der primäre sind). Wenn Uptime wichtig ist, ist das richtige Vorgehen Monitoring + ein schneller Wiederherstellungsplan, nicht ein schlecht gepflegter Backup-MX.

Sieve-Filterung, Push aufs Mobilgerät — kann der Stack das?

Mailcow liefert Sogo für Webmail und CalDAV/CardDAV, dovecot-sieve für serverseitige Filterung (der kanonische Weg, Mail zur Zustellzeit zu sortieren, funktioniert mit jedem IMAP-Client) und unterstützt Z-Push für Exchange ActiveSync — was iOS Mail native Push-Benachrichtigungen verschafft, ohne ein separates Push-IMAP-Backend aufzubauen. Für Android arbeiten die Clients FairEmail und K-9 Mail nativ mit IMAP IDLE für nahezu Echtzeit-Push. Der Stack deckt die modernen Mobile-Mail-Erwartungen ab.

Was ist mit rspamd vs. SpamAssassin?

Mailcow liefert standardmäßig rspamd, und das ist der richtige moderne Standard — in C geschrieben, Lua-skriptbar, mit Machine-Learning ergänzt, schneller und speichereffizienter als SpamAssassin bei gleicher False-Positive-Rate. SpamAssassin bleibt die Lingua franca von Legacy-Mail-Stacks und ist das, was iRedMail standardmäßig verwendet; es funktioniert, aber Sie werden mehr Zeit mit dem Tuning der Regeln verbringen. Betreiben Sie rspamd, es sei denn, eine Integrationsbeschränkung erzwingt SpamAssassin.

Weiterlesen

Weitere Anwendungsfälle, die denselben nordischen Uplink teilen.

Anwendungsfall

Mastodon-Instanz

Föderiertes Microblogging — der natürliche Nachbar eines Mailservers, der auch Anmeldebestätigungen und Passwort-Reset-Zustellbarkeit handhabt.
Anwendungsfall

Matrix-Homeserver

Ende-zu-Ende-verschlüsseltes Synapse — der geschwisterliche Souveränitätsschritt für Betreiber, die ihre eigene Messaging-Oberfläche neben ihrem Posteingang betreiben.
Anwendungsfall

WireGuard-VPN-Server

Kernel-schneller VPN-Exit auf einem Sentinel — um auf die Admin-UI Ihres Mailservers über Ihren eigenen Tunnel statt über das öffentliche Internet zuzugreifen.
Den vollständigen Anwendungsfall-Hub ansehen