BEKOM OPEN PROMailcow DockerizedMailserver-Suite aus Deutschland

Mailcow wurde 2016 von Tim Krämer in Niederzissen (Rheinland-Pfalz) ins Leben gerufen und wird seitdem unter dem Dach der Servercow e.K. gepflegt. Das Projekt wird aktiv über GitHub entwickelt und durch eine breite deutschsprachige Community getragen. Die Trägerin sitzt in Deutschland; Beiträge, Updates und Sicherheits-Releases erscheinen in kurzen Zyklen.

Mailcow positioniert sich als pragmatischer, turnkey Open-Source-Mailserver. Statt einer Java-Middleware mit komplexer Installation liefert Mailcow einen vorbereiteten Docker-Compose-Stack, der innerhalb weniger Stunden produktiv läuft. Die Plattform fokussiert auf E-Mail-Kernfunktionen plus eine eingebaute Groupware-Schicht über SOGo – ohne den Funktions-Overhead großer Enterprise-Groupwares.

Mailcow steht vollständig unter GPL-3.0 zur Verfügung und ist ohne Lizenzkosten nutzbar. Es gibt keine getrennte Community- und Enterprise-Edition; der gleiche Code läuft im Selbstbetrieb, beim Hoster und im Managed Service. Kommerzieller Support ist über die Servercow e.K. oder über Managed-Service-Anbieter wie BEKOM verfügbar.

BEKOM prüft ergebnisoffen, ob Mailcow zum technischen und organisatorischen Bedarf passt. Geprüft werden Mailbox-Volumen, erwartete Mail-Last, Identity-Anbindung, Migrationspfad aus dem aktuellen System und Compliance-Anforderungen. Das Ergebnis ist eine dokumentierte Empfehlung mit Vergleich zu Alternativen wie Open-Xchange oder Microsoft 365 und einem Architekturvorschlag für das konkrete Einsatzszenario.

Für Neu-Einführungen plant BEKOM die Container-Plattform (Docker Engine, Storage-Layout, Netzwerk und TLS), das Domain- und Mailbox-Konzept sowie die Anti-Spam-Pipeline. Bei Migrationen aus Exchange, Microsoft 365 oder bestehenden Mailservern übernimmt BEKOM den Mailbox-Transfer über IMAP-Sync-Werkzeuge und den stufenweisen Cutover mit Parallelbetrieb.

Im Managed-Service-Modus übernimmt BEKOM den produktiven Betrieb der Mailcow-Plattform: dokumentierter Change-Prozess für Konfigurationen, Update-Fenster entlang der Mailcow-Release-Linie, Monitoring der Container und Mail-Dienste, Incident-Reaktion und regelmäßige Capacity-Reviews. Die strategische Hoheit über Domain-Strategie und Mailbox-Struktur bleibt beim Kunden.

Den Kern bildet Postfix als Mail Transfer Agent für SMTP-Versand und -Empfang, Dovecot als IMAP-/POP3-Server für den Mailbox-Zugriff und ManageSieve für serverseitige Filter-Regeln. Damit funktionieren alle gängigen Mail-Clients (Outlook, Thunderbird, Apple Mail) ohne herstellerspezifische Protokolle.

Mailcow bringt Rspamd als integrierte Anti-Spam-Engine mit, ergänzt um ClamAV für Antivirus-Scanning. Die Pipeline arbeitet mit Bayesian-Learning, DNS-Block-Listen, DKIM-Reputation und Greylisting. Eingehende und ausgehende Mails werden vor Zustellung bzw. Versand klassifiziert; auffällige Nachrichten werden in der Quarantäne abgelegt.

Mailcow liefert ein Web-basiertes Admin-UI, über das Domains, Mailboxen, Aliasse, Filter, Quarantäne und TLS-Zertifikate verwaltet werden. Administrationsrechte können delegiert werden, sodass Domain-Inhaber eigene Mailboxen pflegen können – ohne Server-Zugriff.

SOGo ist das integrierte Web-Frontend von Mailcow. Es vereint Mail, Kalender, Kontakte und Aufgaben in einer responsive Oberfläche, die im Browser auf Desktop, Tablet und Smartphone läuft – ohne Plugin-Pflicht oder native Client-Installation. Damit ist Mailcow nicht nur ein Mailserver, sondern eine schlanke Groupware-Plattform.

Mailcow unterstützt Mobile-Geräte über ActiveSync (über SOGo), CalDAV und CardDAV. Damit synchronisieren sich Mail, Kalender und Kontakte mit den Standard-Apps von iOS und Android sowie mit Thunderbird und DAVx⁵ – ohne herstellerspezifische Mobile-Pflicht-App.

Mailcow lässt sich an zentrale Identity-Provider anbinden. Über das LDAP-Bridge-Feature werden Nutzer aus Active Directory oder Keycloak synchronisiert; über SAML 2.0 und OpenID Connect (in Verbindung mit Keycloak oder Authentik) wird Single Sign-On für das Mailcow-UI und SOGo bereitgestellt. Multi-Domain-Betrieb ermöglicht getrennte Mandanten auf einer Instanz. Weiterführend: Identity & Access Management.

BEKOM betreibt die Mailcow-Plattform als vollständigen Managed Service. Die strategische Kontrolle über Domain-Strategie, Mailbox-Struktur und Compliance-Vorgaben bleibt beim Kunden, die operative Verantwortung wird vertraglich geregelt.

Im Co-Managed-Modell behält das interne Team Konfigurations-Hoheit und Mailbox-Verantwortung; BEKOM übernimmt definierte operative Bereiche und Spezialthemen. Der Schnitt wird vertraglich beschrieben und kann im Zeitverlauf neu vereinbart werden, wenn sich Kompetenz oder Auslastung verschieben.

Betriebsmodelle für Mailcow sind keine starre Festlegung. Organisationen, die mit Fully Managed starten, übernehmen oft im Zeitverlauf einzelne Aufgaben selbst – andere bewegen sich in die Gegenrichtung, wenn interne Kapazitäten knapp werden. Der Wechsel erfolgt in dokumentierten Schritten ohne Plattform-Migration.

Microsoft 365 ist der Marktstandard für Cloud-E-Mail mit tiefer Integration in Teams, SharePoint und OneDrive. Mailcow fokussiert auf eine selbstgehostete Mail-Plattform mit offenen Protokollen, klarer Datenhoheit und einer schlanken SOGo-Groupware-Schicht. Die Entscheidung folgt der Cloud-Bereitschaft und der Bündel-Frage.

iRedMail ist eine ähnlich gelagerte, paket-basierte Open-Source-Mailserver-Distribution für Linux. Mailcow differenziert sich durch die Container-Architektur, die deutsche Trägerin und die kurzen Release-Zyklen. iRedMail liefert ein klassisches Linux-Paket-Setup, Mailcow einen vorbereiteten Docker-Compose-Stack.

Open-Xchange App Suite ist eine vollwertige Open-Source-Groupware-Plattform mit Java-Middleware, App-Suite-Web-Frontend und Modulen für Documents und Drive. Mailcow ist im Vergleich schlanker: Mail-Server-zentriert mit eingebauter SOGo-Groupware-Schicht. Die Wahl folgt dem Groupware-Tiefenbedarf.

Mailcow läuft als Docker-Compose-Stack auf einer Linux-Host-Plattform mit Docker Engine und Docker Compose. Der Stack besteht aus rund einem Dutzend Container (Postfix, Dovecot, Rspamd, ClamAV, SOGo, Solr, MariaDB, Redis, Nginx, ACME-Companion, Watchdog, PHP-FPM). Updates werden über ein zentrales Update-Skript eingespielt; Konfiguration und persistente Daten liegen in dokumentierten Volumes.

Mailcow läuft auf gängigen Linux-Distributionen (Debian, Ubuntu LTS) mit Docker Engine. Die Dimensionierung folgt der Mailbox-Anzahl, dem Mailvolumen und der Anti-Spam-Last. Für den Mittelstand sind moderne Multi-Core-x86-Systeme mit ausreichend RAM und SSD-Storage ausreichend; größere Setups werden in der Regel über mehrere Instanzen statt über ein Cluster betrieben.

Mailcow bietet eine REST-basierte HTTP-API für Verwaltungs- und Konfigurations-Aufgaben sowie offene Protokolle (IMAP, SMTP, ManageSieve, CalDAV, CardDAV, ActiveSync) für Client-Zugriff. Die Anbindung an externe Identity-Provider und Backup-Lösungen ist über dokumentierte Schnittstellen möglich.

BEKOM betreibt Mailcow in deutschen Rechenzentren und übernimmt die operative Verantwortung für Update-Zyklen, Anti-Spam-Pflege und Sender-Reputation. Im Unterschied zu Massen-Hostern, die Mailcow als Standardprodukt ohne Eingriffsmöglichkeit anbieten, plant BEKOM Domain- und Mandantenstruktur individuell und dokumentiert Konfigurations-Entscheidungen für Audit-Zwecke. Im Unterschied zu Systemhäusern, die Mailcow als Einmal-Aufsetzung verkaufen und den Folgebetrieb auf Stundensatzbasis abrechnen, vereinbart BEKOM einen dokumentierten Service-Umfang mit klar zugeordneten Aufgaben.

Der Eigenbetrieb eines Mailservers erzeugt verschiedene Kostentreiber: laufende Pflege des Anti-Spam-Stacks, Reputation-Wiederherstellung nach Block-Listen-Einträgen, Update-Tests auf der Docker-Plattform, TLS-Zertifikatsmanagement und Backup-Strategien für Postfächer und Konfiguration. Hinzu kommen Aufwände für DNS-Pflege (SPF, DKIM, DMARC), Incident-Bearbeitung bei Spam-Vorfällen und die Anbindung an Active Directory oder Keycloak.

Im Eigenbetrieb verbleiben alle operativen Risiken intern: Ausfälle der Mail-Plattform, Reputationsverlust durch Spam-Vorfälle, Compliance-Lücken bei Audits und Wissensverlust bei Personalwechsel. Im Managed Service trägt BEKOM die operativen Risiken im vertraglich vereinbarten Rahmen; die strategischen Entscheidungen (Domain-Strategie, Mailbox-Struktur, Compliance-Anforderungen) bleiben beim Kunden. Die Verantwortungs-Matrix im Service-Design-Dokument formalisiert diese Aufteilung.