Eigener Mailserver: Lehren aus dem Selbst-Hosten

„Hoste doch einfach selbst" klingt bei E-Mail verlockend — volle Kontrolle, keine Abhängigkeit von großen Anbietern. Ich betreibe seit einiger Zeit einen eigenen Mailserver (docker-mailserver mit Webmail-Frontend) und habe dabei ein paar Dinge gelernt, die ich vorher gern gewusst hätte.

Zustellbarkeit ist das eigentliche Problem

Einen Mailserver zum Laufen zu bringen dauert einen Abend. Dafür zu sorgen, dass die eigenen Mails nicht im Spam landen, ist die eigentliche Arbeit:

  • SPF, DKIM und DMARC sind Pflicht, nicht Kür. Ohne diese drei DNS-Einträge nehmen dich Gmail und Outlook heute schlicht nicht ernst.
  • PTR-Record (Reverse DNS) muss zum HELO-Namen passen. Bei den meisten Hostern einstellbar, wird aber gern vergessen.
  • IP-Reputation baut sich langsam auf. Ein frisch aufgesetzter Server auf einer Cloud-IP startet mit Misstrauen — erst recht, wenn die IP vorher jemand anderem gehörte. Blacklist-Check vor dem Setup lohnt sich.

Die fail2ban-Falle im Container

Ein Fehler, der mich einen Nachmittag gekostet hat: Der Mailserver lief im Container mit eigenem fail2ban. Ein Nutzer vertippte sich mehrfach beim Webmail-Login — und plötzlich bekam jeder beim Aufruf des Webmails nur noch Gateway-Timeouts.

Die Ursache: Aus Sicht des Mailservers kamen alle Webmail-Logins von der internen Docker-IP des Webmail-Containers. fail2ban hat also nicht den Angreifer gebannt, sondern das Webmail-Frontend selbst — und damit alle Nutzer auf einmal.

Die Lösung: die internen Container-Netze (bei Docker typischerweise 172.16.0.0/12) in die ignoreip-Liste von fail2ban aufnehmen und das Rate-Limiting stattdessen vor dem Proxy ansetzen, wo die echten Client-IPs sichtbar sind.

Merksatz: Hinter jedem Proxy sieht der Dienst nur noch die Proxy-IP. Jedes IP-basierte Sicherheitswerkzeug (fail2ban, Rate-Limits, Geo-Blocking) muss dort ansetzen, wo die echte Client-IP ankommt.

Lohnt sich das?

Ehrliche Antwort: für die meisten nicht. Ein gemanagter Anbieter kostet wenige Euro im Monat und erspart einem Reputation-Pflege, Monitoring und Update-Disziplin. Selbst hosten lohnt sich, wenn man lernen will, wie E-Mail wirklich funktioniert — als Sysadmin gibt es kaum ein lehrreicheres System: DNS, TLS, Queues, Reputation und Sicherheit greifen nirgendwo so sichtbar ineinander.

Wer es versucht: Monitoring von Anfang an mitdenken (Blacklist-Status, Queue-Länge, Zertifikats-Ablauf) und die ausgehende Reputation regelmäßig über Postmaster-Tools der großen Anbieter prüfen.