Tool im Einsatz

docker-mailserver

Der eigene Mailserver als . Postfix + Dovecot + Rspamd + ClamAV, vollständig konfiguriert, in 1-2 Tagen live. Eine konkrete Alternative zu Strato, Ionos und Google Workspace für , die Mail-Souveränität ernst meinen.

Projekt-Profil

docker-mailserver

Production-ready full-stack mail server

Stand: 1. Juni 2026

GitHub-Sterne

18k

Forks

2.0k

Offene Issues

107

Lizenz

MIT

Aktuelle Version

v15.1.0

Sprache

Shell

Erstveröffentlichung

28. März 2015

Letzter Commit

28. Mai 2026

→ GitHub-Repository → Offizielle Website → Dokumentation

Was ist docker-mailserver?

docker-mailserver ist eine vorkonfigurierte Mail-Suite im Container: Postfix als SMTP-Server, Dovecot als IMAP-Server, Rspamd als modernen Spam-Filter, ClamAV für Anhangs-Scanning, gegen Brute-Force, OpenDKIM/SPF/DMARC für Mail-Authentifizierung. Alles aus einer Quelle, alles mit einem Setup-Skript verwaltbar.

Im Unterschied zu Mailcow (11-Container-Stack mit eigener UI) ist docker-mailserver schlanker: ein Container plus optional eine Webmail-Oberfläche (Roundcube, SOGo). MIT-lizenziert, läuft seit 2015 produktiv, hat eine sehr aktive Community und detaillierte Dokumentation.

Warum ein Ingenieurbüro den Mailserver selbst hostet

Für ein Ingenieurbüro mit 30–50 aktiven Bauprojekten ist E-Mail die Lebensader: Bauherren-Korrespondenz, Architekten-Abstimmung, Behörden-Anfragen, Subunternehmer-Lieferungen. Strato- oder Ionos-Mail funktioniert, hat aber drei harte Limits: meist nur 20–50 Aliase pro Domain, Spam-Filter ist mittelmäßig, kein Catch-all möglich.

Mit eigenem Mailserver: unbegrenzte Aliase (projekt-2026-007@, projekt-2026-008@ pro Bauprojekt), Rspamd mit Bayes-Lernen wird vom Sekretariat trainiert und filtert in 6 Monaten besser als jeder kommerzielle Filter, Catch-all für die Domain erlaubt es, jede ausgedachte Adresse zu empfangen. Plus: Mail-Daten bleiben in deutschem Rechtsraum auf eigenem .

Mandantenfall

Statisches Büro Möllers

Ingenieurbüro für Tragwerksplanung, 8 Personen — Inhaber Thomas Möllers, 2 Tragwerksplaner, 2 Bauleiter, 1 Konstrukteur, 2 Sekretariat. 30–50 aktive Bauprojekte, durchschnittlich 150 E-Mails pro Tag eingehend. Vor 14 Monaten von Strato-Webhosting auf eigenen Mailserver auf Hetzner-VPS migriert. Heute: 0 Spam-Beschwerden, 0 verlorene Mails, 100 % Mail-Souveränität.

Unbegrenzte Projekt-Aliase

Für jedes Bauprojekt soll eine eigene Mail-Adresse möglich sein (projekt-2026-007@büro.de). Bauherr antwortet immer auf diese Adresse, intern wird sie an den projektverantwortlichen Tragwerksplaner geroutet. Bei Strato war das auf 50 Aliase begrenzt.

Funktionierender Spam-Filter

Strato-Spam-Filter hat 30 % Spam durchgelassen und 5 % False Positives gehabt — gefährliche Mischung. Eigener Rspamd mit Bayes-Training durch das Sekretariat erreicht nach 6 Monaten >99 % Spam-Erkennung bei <0.1 % False Positives.

DSGVO-konformes Mail-Routing

Bauherren-Daten, Standorte von Anlagen, Statik-Berechnungen sind sensibel. Mail-Server auf Hetzner-VPS in Falkenstein/Nürnberg — kein US-Hop, kein US-Cloud-Provider, DSGVO-Konformität trivial nachweisbar.

Webmail für Browser-Zugriff

Mitarbeitende unterwegs (Baustelle, Hotel) brauchen Mail-Zugriff im Browser, ohne dass auf jedem Gerät ein IMAP-Account eingerichtet wird. SOGo oder Roundcube als zweiter Container — gleicher Server, gleiche Authentifizierung.

Anti-Phishing für Subunternehmer-Mails

Bau-Subunternehmer haben oft schlechte Mail-Praxis — gefälschte Absender, dubiose Anhänge. SPF/DKIM/DMARC erkennen Spoofing, ClamAV scannt Anhänge, Quarantäne hält verdächtige Mails zurück bis manuelle Prüfung.

10-Jahres-Archivierung

Bauherren-Korrespondenz ist steuerlich 10 Jahre aufzubewahren. Archiv-Mailbox mit automatischer Verschiebung nach 30 Tagen, IMAP-Backup auf separates NAS — revisionssicher, schnell durchsuchbar mit Dovecot-Suchindex.

Was der Mailserver konkret leistet

Acht produktive Konfigurations-Patterns aus 14 Monaten Möllers-Betrieb. Jedes davon hat eine Sequenz aus der Vorzeit ersetzt, die Strato-Webhosting entweder gar nicht oder nur eingeschränkt konnte.

Catch-all für Projekt-Aliase

Wildcard-Alias @ingenieurbuero-moellers.de → catchall@.... Jede ausgedachte Adresse (kann@, kunde-mueller@, projekt-2027-001@) wird empfangen. Sekretariat sortiert manuell oder per Sieve-Regel. Vorher: Strato hat nicht-existente Adressen bounced — Bauherren bekamen Bouncebacks bei Tippfehlern.

Rspamd mit Bayes-Lernen

Sekretariat markiert Spam im Webmail (SOGo), Rspamd lernt mit. Nach 4 Wochen Training: 95 % Spam-Erkennung, nach 6 Monaten >99 %. False Positives wandern in Junk-Ordner, nicht ins Quarantäne-Nirwana. Inhaber kann täglich Junk-Ordner kurz prüfen, falls etwas durch ist.

DKIM/SPF/DMARC korrekt konfiguriert

Drei DNS-Records bei Hetzner: SPF (TXT 'v=spf1 mx -all'), DKIM (TXT mit Schlüssel), DMARC (TXT 'v=DMARC1; p=reject; rua=...'). Auswirkung: Mails an gmail.com, outlook.com landen verlässlich im Posteingang, nicht im Spam. Verlust-Quote bei Versand: von 8 % auf 0,2 %.

SOGo Webmail + Kalender + Kontakte

Zweiter Container SOGo bietet Webmail mit Kalender-Sync (CalDAV) und Kontakt-Sync (CardDAV). Mitarbeitende synchronisieren Outlook auf Notebook und iPhone gegen denselben Server. Termine, Aufgaben, Adressbuch in einer Quelle.

Fail2ban gegen Brute-Force

Anmelde-Versuche werden ge-banned nach 5 Fehlern in 10 Minuten. Im Schnitt: 50–200 ge-bannte IPs pro Woche. SOGo-Login und IMAP/SMTP gleichermaßen geschützt. Lokale Mitarbeiter werden über Whitelist nie ausgesperrt.

ClamAV-Quarantäne für Anhänge

Eingangs-Mails mit Anhang werden von ClamAV gescannt. Verdächtige Anhänge (Makro-XLS, gepackte EXE, JS-Dateien) wandern in Quarantäne-Ordner. Inhaber prüft 1× pro Woche, Mail wird entweder freigegeben oder verworfen. Bisher 7 echte Trojaner abgefangen.

Postfix-Routing für Listen

Mitarbeiter-Listen (alle@, tragwerksplaner@, bauleiter@) als simple Alias-Gruppen. Eine Mail an alle@ geht an alle 8 Mitarbeitenden. Bei Wechsel der Personalstärke: Alias-Eintrag aktualisieren, keine Mailman-Komplexität.

10-Jahres-Archiv auf NAS

Mailbox 'Archiv' wird täglich per auf ein Synology-NAS via IMAP-Backup gesichert. Mails älter als 30 Tage werden automatisch in Archiv verschoben (Sieve-Regel). Vollständige 14-Monate-Korrespondenz sofort durchsuchbar, mit Dovecot-Volltextsuche.

Kern-Funktionen von docker-mailserver

Was die Software als Mail-Stack bietet — und welche Funktionen in einem 8-Personen-Setup tatsächlich tragen.

Postfix + Dovecot Production-Setup

Bewährter Mail-Standard-Stack: Postfix als SMTP-Mailserver, Dovecot als IMAP-Mailbox-Server. Vorkonfiguriert mit sicheren Defaults — TLS-Erzwingung, opportunistische Verschlüsselung, korrekte Header.

Rspamd statt SpamAssassin

Rspamd ist deutlich performanter als das klassische SpamAssassin: schneller, weniger RAM, modernere Heuristiken (Reputation, Fuzzy Hashing, Greylisting). Bayes-Filter lernt aus Mitarbeitenden-Klicks im Webmail.

ClamAV für Anhang-Scanning

ClamAV-Engine scannt jeden Mail-Anhang auf bekannte Malware-Signaturen. Updates der Signaturen automatisch alle paar Stunden. Bei Treffer: Mail in Quarantäne, Inhaber informiert.

DKIM/SPF/DMARC + Fail2ban

Mail-Authentifizierung out-of-the-box: DKIM-Schlüssel-Generierung per Befehl, SPF-/DMARC-Empfehlungen aus der Doku. schützt Login-Endpoints (SOGo, IMAP, SMTP) vor Brute-Force-Versuchen.

SOGo / Roundcube optional

Webmail ist NICHT in docker-mailserver enthalten — ein bewusster Architektur-Entscheid. SOGo oder Roundcube laufen als separater Container, sprechen via IMAP gegen den Mailserver. Sauber getrennt, einzeln aktualisierbar.

setup.sh für alle Verwaltungsaufgaben

Eine zentrale Helper-Script: `setup email add`, `setup alias add`, `setup config dkim`, `setup debug ...`. Kein /etc/postfix-Editieren, keine Dovecot-Magie. Für IT-affine Mitarbeitende oder Beratungs-Support gut handhabbar.

Alternativen ehrlich verglichen

Wenn docker-mailserver nicht passt — was sonst?

Drei Alternativen für KMU-Mail-Souveränität. Jede mit eigenem Tradeoff zwischen Kontrolle, Komfort und Aufwand.

All-in-One Stack

Mailcow

SerNet, GPL-3.0

+ Komplette Web-UI für Mail-Verwaltung
+ SOGo + Sieve-Editor + Quarantäne integriert
− 11 Container, höhere Komplexität
− RAM-Bedarf ca. 2 GB

Script-basiert

Mail-in-a-Box

Joshua Tauberer, CC0

+ Ein-Befehl-Setup auf Ubuntu
+ Sehr einfache Erstinstallation
− Weniger flexibel, kein Container
− Updates manuell und seltener

SaaS-Hosted-Mail

Strato/Ionos/Workspace

Diverse, proprietär

+ Kein eigener Server, kein Setup
+ Mobile-Apps + Web-UI fertig
− Begrenzte Aliase, Catch-all selten möglich
− Mittlere Spam-Filter, kein Bayes-Training

Faustregel: Wer ein Setup unter Kontrolle haben will (DKIM-Schlüssel, Postfix-Logs) und einen IT-affinen Mitarbeitenden oder Beratungs-Support hat, ist mit docker-mailserver pragmatisch unterwegs. Wer eine komplette Web-UI für Mail-Verwaltung will und 11 Container nicht scheut, nimmt Mailcow. Hosted-Mail bleibt sinnvoll, wenn Mail-Souveränität nicht das Top-Thema ist.

Pricing

MIT. Postfix-Standard. Kein Sternchen.

Lizenz

MIT — klassische OSI-Open-Source-Lizenz ohne Auflagen. Quellcode lesen, modifizieren, kommerziell verwenden — alles erlaubt. Auch Postfix, Dovecot, Rspamd selbst sind alle MIT- oder ähnlich permissiv lizenziert.

Laufende Kosten

Ein VPS mit eigener IP (Hetzner CPX21 ab 7 €/Monat in Falkenstein), DNS bei Hetzner oder eigenem Provider. RAM-Bedarf ca. 700 MB für 8 Mailboxen + SOGo. Speicher: 1–5 GB pro Mailbox abhängig von Mail-Volumen.

Aufwand

Erst-Setup: 1–2 Tage inkl. DNS-Konfiguration (MX, SPF, DKIM, DMARC), Mailbox-Anlage, Webmail-Container, Migration der bestehenden Mails per IMAP-Sync. KMU-Vollausstattung mit Backup-Routine und Mitarbeiter-Schulung: 3–5 Beratungstage.

Wichtig zur Klarheit: Mailserver selbst zu betreiben braucht entweder einen IT-affinen Mitarbeitenden oder einen Beratungs-Vertrag, der bei Problemen einspringt. Wer das scheut, ist mit Hosted-Mail besser bedient. Das letzte Tagged Release ist von August 2025 — aktive Entwicklung über `:latest`-Tag, regelmäßige Image-Updates. Stable seit über 10 Jahren.

setup.sh — Account, Alias, DKIM in 3 Befehlen

# Mail-Account anlegen
docker exec -ti mailserver setup email add \
  thomas.moellers@ingenieurbuero-moellers.de \
  ${ACCOUNT_PASSWORD}

# Alias fuer Projekt-Adresse
docker exec -ti mailserver setup alias add \
  projekt-2026-007@ingenieurbuero-moellers.de \
  thomas.moellers@ingenieurbuero-moellers.de

# DKIM-Schluessel generieren (publish in DNS!)
docker exec -ti mailserver setup config dkim
# → liefert TXT-Record fuer mail._domainkey.ingenieurbuero-moellers.de

# Status pruefen
docker exec -ti mailserver setup debug fail2ban
docker exec -ti mailserver setup debug login thomas.moellers@...

docker-mailserver bringt eine zentrale setup.sh mit, die alle Verwaltungsaufgaben kapselt. Keine /etc/postfix-Magie, keine Dovecot-Config von Hand. Quelle: docker-mailserver.github.io.

docker-mailserver-Setup als Docker-Compose

services:
  mailserver:
    image: ghcr.io/docker-mailserver/docker-mailserver:15.1.0
    container_name: mailserver
    hostname: mail.ingenieurbuero-moellers.de
    restart: always
    ports:
      - "25:25"
      - "143:143"
      - "465:465"
      - "587:587"
      - "993:993"
    volumes:
      - ./mail-data:/var/mail
      - ./mail-state:/var/mail-state
      - ./mail-logs:/var/log/mail
      - ./config:/tmp/docker-mailserver
      - /etc/letsencrypt:/etc/letsencrypt:ro
    environment:
      - SSL_TYPE=letsencrypt
      - ENABLE_RSPAMD=1
      - ENABLE_CLAMAV=1
      - ENABLE_FAIL2BAN=1
      - ENABLE_OPENDKIM=0
      - SPOOF_PROTECTION=1
      - PERMIT_DOCKER=none
    cap_add:
      - NET_ADMIN
    networks:
      - mail-net

networks:
  mail-net:

Ein Container mit allen Mail-Protokollen: SMTP (25/465/587), IMAPS (993), Sieve (4190). Volumes für Konfiguration, Mail-Daten und Zertifikate. Quelle: docker-mailserver.github.io, MIT-Lizenz.

Verwandte Themen

Mailserver braucht Plattform und Monitoring

als Plattform, Caddy als HTTPS-Layer für Webmail, für IMAP-/SMTP-Monitoring:

→ Docker (Container-Engine)→ Caddy (HTTPS für Webmail)→ Uptime Kuma (Mailserver-Monitoring)

Bereit für den nächsten Schritt?

Kostenloses Erstgespräch. Unverbindlich. In 30 Minuten wissen Sie, ob und wie KI Ihrem Unternehmen helfen kann.

Erstgespräch buchen Förderfähigkeit prüfen