Mailserver auf Basis von Mailcow: Modern, stabil und sicher

Seit einiger Zeit (ca. eineinhalb Jahre) betreibe ich meinen eigenen “kleinen” Mailserver auf Basis von Mailcow… Die Optik der Webseiten macht zwar auf den ersten Blick keinen sehr professionellen Eindruck, die Details bei genauerem Hinsehen sind jedoch äußerst gut.

Inzwischen wird der Server von einer größeren Handvoll Freunden/Familien/NutzerInnen aktiv und ohne nennenswerte Zwischenfälle verwendet. Wer aus meinem näheren Umfeld nicht widerspricht, bekommt da eine Mailbox “aufgeschwatzt” 😉. Nein, ich freue mich immer über neue Leute, die das nutzen – dann lohnt sich die Arbeit damit umso mehr.

Buzzwords über Mailcow

Ein Mailserver auf Basis von Mailcow ist “auf dem Stand der Technik”:
  • IMAP-Mailserver Dovecot.
  • Antivirus-System ClamAV.
  • Spamfilter Rspamd.
  • Indexierung der Mails mit Hilfe der Such-Engine solr.
  • Stets aktuelle SSL-Zertifikate via letsencrypt.
Gute Argumente:
  • Zugriff via Web oder alle üblichen Mail-Programme.
  • Guter Spam- und Viren-Schutz mit modernen Techniken.
  • Alle Mails sind vertraulich.
  • integrierter Kalender und Adressbuch (optional nutzbar).
  • Server ist voll-verschlüsselt – auch die Admins des Hosters haben also keinen Zugriff.
  • Mehrfache verschlüsselte Sicherungen der Mails und der Konfiguration.
  • Speicherplatz für Mails ist günstig erweiterbar.
  • Professionelles Monitoring, dass alles laufend funktioniert.
  • Alle Komponenten sind verbreitete und bewährte Open-Source-Software.
  • Hosting mit Öko-Strom in Deutschland.

Was mir und den UserInnen gefällt

  • Das integrierte Web-Mail SOGo ist schlank, übersichtlich und funktional. Es kann auch von weniger technisch Interessierten sehr gut benutzt werden.

  • Ich kann weitere Admins erstellen, die dann eigenständig “ihre” Domains konfigurieren und pflegen können.

  • Der eingebaute Spam- und Virenfilter funktioniert meines Erachtens sehr gut und aktualisiert sich automatisch. Schwellwerte zur Filterung könnten auch individuell verstellt werden, das war aber bei mir bzw. meinen NutzerInnen noch nicht nötig. Einzelne Domains lasse ich zusätzlich von SecuMail schützen.

  • Zugriff via Web (s.o.), IMAP und Exchange-Clients. Damit werden alle gängigen Clients unterstützt: iPhone/iOS, Android, Outlook, Thunderbird…

Die wichtigsten technischen Eigenschaften:

  • Alles wird via Docker betrieben und mit eine Update-Skript automatisch aktualisiert.

  • Vertraulichkeit: Mails werden verschlüsselt abgelegt. Auch Admin können “fremde” Mails nicht ohne Weiteres lesen. (Natürlich ist es prinzipiell möglich, das liegt in der Natur der Sache, aber es gehört etwas “kriminielle Energie” dazu.)

  • Aktuelle Mail-Techniken werden eingesetzt und der Admin wird von Mailcow bei der Konfiguration unterstützt:

  • Passworte werden nach dem Stand der Technik verschlüsselt abgespeichern, also gehasht und gesalzen (zumindest soweit ich das beurteilen kann). Sie können nicht im Klartext wieder ausgelesen oder gar angezeigt werden.

  • Die Konfiguration und Administration ist fast vollständig über die Admin-Oberfläche möglich. Diese ist zwar nicht perfekt übersichtlich, aber für ein so komplexe Sache doch erstaunlich gut.

  • Mailboxen können entweder einzeln größenbegrenzt werden (Quota), oder alle Mailboxenn einer Domain zusammen. Nähert sich eine Mailbox dem Limit, bekommt sie eine Hinweis-Mail.

  • Fail2ban-ähnlicher Schutz gegen Brute-Force-Attacken.

Das Projekt Mailcow ist sehr “lebendig”

  • Es wird laufend weiterentwickelt und gepflegt.

  • Es ist Open-Source mit professionellem Support durch die “Betreiber-Firma”. Ich habe übrigens eine “mailcow Stay-Awesome-License (SAL)” gekauft.

  • Es gibt dabei “genug” Beiträge von der Community (sowohl Support als auch Code), sodass ich die Abhängigkeit vom Initiator und der Betreiber-Firma nicht als kritisch einschätze.

  • Es gibt einen Telegram-Channel mit täglich reichlich Aktivität, wo auch die Kern-Entwickler lesen und antworten.

  • Es gibt ein frequentiertes Online-Forum.

  • Die häufig aktualisierte technische Dokumentation ist recht breit und deckt Vieles ab – im einzelnen recht knapp, was aber meist kein Nachteil ist.

Betrieb meiner Installation

Damit alles stabil und verläasslich läuft, überprüfe ich automatisch und regelmäßig mit Hilfe meines Zabbix-Monitoring:

  • …ob alle Docker-Container laufen.

  • …ob alle wichtigen Dienste (SMTP, IMAP, Web) sowohl über IPv4 als auch über IPv6 erreichbar sind und sinnvoll reagieren.

  • …ob alle Updates eingespielt sind.

  • …ob Mails korrekt empfangen und weitergeleitet werden. Dies mache ich über den externen Online-Dienst Everycloud Mailflow Monitor.

Backup:

  • Die Mails in den Mailboxen werden verschlüsselt mit borg auf drei verschiedene Ziel-Systeme gesichert und 1 Jahr aufbewahrt.
  • Die Installation wird ebenfalls u.a. mit borg regelmäßig gesichert.

Weitere Links

Screenshots

Login

Zugriffs-Konfiguration

Mailbox-Administration

rspamd

2 thoughts on “Mailserver auf Basis von Mailcow: Modern, stabil und sicher

  1. Ich verwende Mailcow auch schon länger und bin damit sehr zufrieden. Mich würde noch interessieren wie du die E-Mails verschickst.
    Sendest du direkt über deinen Server/IP oder über ein Relay? Beim Senden über den eigenen Server/IP kommt es immer mal wieder vor, das die größeren Anbieter die E-Mails nicht annehmen.

    1. Ja, diese Erfahrung habe ich auch gemacht. Bei Einzelnen habe ich mich auch via Mail freischalten lassen. Ich glaube, T-Online war das zum Beispiel: Dazu musste ich eine Checkliste erfüllen, was aber ok war, danach hat eine Mail ausgereicht, damit sie Mails akzeptieren: http://www.telekom.com/pflichtangaben

      Damit fahre ich momentan ganz gut. Für “Notfälle” verwende ich auch für ausgehende Mails die Dienste von https://www.secumail.de/, das ist aber kommerziell.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.