BIMI für Mailcow — DNS-Record, SVG-Hosting und DKIM in der Mailcow-UI
Mailcow (mailcow-dockerized) ist ein Docker-basierter Mailserver-Stack auf Basis von Postfix, Dovecot und Rspamd. Mailcow-Originaldokumentation auf Englisch — die hier verwendeten Begriffe wurden ins Deutsche übertragen. Mailcow stellt selbst keinen BIMI-Konfigurationsbereich bereit — BIMI ist ein DNS-Record beim DNS-Provider. DKIM wird über die Mailcow-UI verwaltet (Configuration → ARC/DKIM keys), das SVG-Logo wird entweder über data/web/ in der nginx-mailcow-Instanz oder über einen eigenen nginx-Reverse-Proxy gehostet. update.sh sorgt für Docker-Update-Disziplin.
BIMI für Mailcow-Dockerized
Mailcow (offizielle Mailcow-Doku: docs.mailcow.email, Mailcow-Originaldokumentation auf Englisch — die hier verwendeten Begriffe wurden ins Deutsche übertragen) ist ein Docker-basierter Mailserver-Stack mit Postfix als MTA und Rspamd für DKIM-Signing. Mailcow stellt — anders als die meisten Cloud-Provider — keinen eigenen BIMI-Konfigurationsbereich bereit: BIMI ist ein DNS-Record nach IETF Internet-Draft Version 14 (1. Mai 2026), der vom EMPFANGENDEN Mailserver-System ausgewertet wird. Mailcow muss aber DMARC-konform versenden, damit BIMI greift.
DKIM-Verwaltung in der Mailcow-UI: Unter Configuration → ARC/DKIM keys (Originalbezeichnung Englisch) wird pro Domain ein Selector mit RSA-Schlüsselpaar erzeugt — typisch dkim als Default-Selector. Den vom UI angezeigten Public-Key tragen Sie als TXT-Record unter <selector>._domainkey.<domain> beim DNS-Provider ein. Mailcow signiert ausgehende Mails dann automatisch über den Rspamd-Container. Schlüssellänge 2048 Bit ist Standard. ARC-Signing ist ebenfalls in der UI konfigurierbar. Details unter DKIM für Mailcow.
SVG-Hosting in Mailcow — zwei Patterns: (a) Über data/web/bimi/ in der nginx-mailcow-Instanz, sodass das Logo unter https://mail.ihre-domain.de/bimi/logo.svg erreichbar ist — die mitgelieferte nginx-Konfiguration liefert .svg-Dateien per Default mit Content-Type image/svg+xml aus. (b) Über einen eigenen nginx-Reverse-Proxy, sodass das Logo unter https://ihre-domain.de/bimi/logo.svg auf der Apex-Domain erreichbar ist. Update-Disziplin (NIS2 lit. e): Mailcow-Releases werden über ./update.sh im /opt/mailcow-dockerized/-Verzeichnis eingespielt — regelmäßige Updates sind Pflicht für CVE-Patches in Postfix, Dovecot, Rspamd und nginx im Container-Stack.
Outlook-Limitation Stand Februar 2026: Microsoft Outlook und Exchange Online unterstützen BIMI NICHT — Tests gegen Outlook zeigen kein Logo, das ist erwartet. Hardening-Pfad: MX → SPF → DKIM in der Mailcow-UI → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → BIMI. Bedrohungs-Cluster: Email-Spoofing und Phishing.
Der BIMI Internet-Draft 14 trennt die Header-Felder klar nach Rolle: Das optionale BIMI-Selector-Feld ist absenderseitig — es wählt einen Nicht-Default-Selector. BIMI-Location und BIMI-Indicator sind empfängerseitig: Sie werden vom auswertenden Mailserver eingefügt und tragen den verifizierten, base64-kodierten Indicator zum Client. Für einen Mailcow-Stack heißt das: Auf dem ausgehenden Pfad ist nichts zu konfigurieren — kein Eintrag in docker-compose.override.yml, keine Rspamd-Regel, keine Zeile in data/conf/postfix/extra.cf. Der default-Selector ist fest; ein BIMI-Selector-Header wäre wirkungslos, da Clients nur default auswerten. Auf dem eingehenden Pfad fügt ein vollständiger BIMI-Evaluator die Location- und Indicator-Header ein — das ist keine Standard-Funktion des mailcow-Stacks und für die eigene BIMI-Veröffentlichung nicht nötig. Mailcows BIMI-Aufgabe bleibt: DMARC-konform versenden sowie DNS-Record und Logo bereitstellen.
DMARC-Voraussetzung in der Mailcow-UI prüfen
BIMI ist die Belohnung für ein vollständig konfiguriertes DMARC-Setup. In Mailcow läuft DKIM-Signing über den Rspamd-Container — verwaltet in der Web-UI unter Configuration → ARC/DKIM keys (Originalbezeichnung Englisch).
# DMARC-Voraussetzung im Mailcow-Stack prüfen
# Mailcow-Originaldokumentation auf Englisch -
# Konfigurations-Pfade werden hier in deutscher Beschreibung referenziert.
# Mailcow-Version (NIS2 lit. e - Versions-Hygiene)
cd /opt/mailcow-dockerized
git log -1 --pretty=format:"%h %s %ai"
# DKIM-Selector in der Mailcow-UI prüfen
# Browser: https://mail.ihre-domain.de/admin
# -> Configuration -> ARC/DKIM keys
# -> Eintrag für die Domain mit Selector "dkim" (Default) oder eigenem
# Der Public-Key wird vom Mailcow-UI als TXT-Record-Vorschlag angezeigt -
# direkt in die DNS-Konfiguration uebernehmen.
# DKIM-Selector im DNS verifizieren
dig TXT dkim._domainkey.ihre-domain.de +short
# Erwartet: v=DKIM1; k=rsa; t=s; s=email; p=<2048-Bit-Public-Key>
# DMARC-Policy
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
# SPF (Mailcow-Doku: v=spf1 mx a -all reicht typischerweise)
dig TXT ihre-domain.de +short | grep "v=spf1"
# MAILCOW_HOSTNAME ist Pflicht-Hostname im PTR / Reverse-DNS (FCrDNS)
grep MAILCOW_HOSTNAME /opt/mailcow-dockerized/mailcow.confDer DKIM-Selector ist unabhängig vom BIMI-Selector — BIMI verlangt immer default._bimi, DKIM kann jeden Selector verwenden (Mailcow-Default dkim). Wichtig ist, dass die DKIM-Signatur am Empfänger validiert, das Domain-Alignment passt (DKIM-d-Wert gleich From-Domain) und DMARC pass durchläuft. Details unter DKIM für Mailcow.
SVG Tiny PS Logo über data/web/ oder eigenen nginx hosten
Das Logo muss als SVG Tiny Portable/Secure vorliegen — konvertieren Sie mit dem offiziellen BIMI Group SVG Converter. Pflicht-Attribute laut BIMI-Draft V14: baseProfile gleich tiny-ps, version gleich 1.2, quadratischer viewBox, deckender Hintergrund (keine Transparenz, keine opacity). Verboten: animate, script, externe Referenzen, eingebettete Rasterbilder. Empfohlene Dateigröße unter 32 KB. Mailcow bietet zwei Hosting-Patterns — Variante A über data/web/ in der mitgelieferten nginx-Instanz oder Variante B über einen eigenen Reverse-Proxy.
Logo nach /opt/mailcow-dockerized/data/web/bimi/logo.svg kopieren — direkt erreichbar unter https://mail.ihre-domain.de/bimi/logo.svg. VMC ebenfalls als vmc.pem daneben legen. VMC-Anbieter für das Gmail-Häkchen: DigiCert, Sectigo oder GlobalSign — registrierte Marke (EUIPO/DPMA/USPTO) ist Pflicht, Verifizierung 2-6 Wochen, Standardlaufzeit 397 Tage. Variante B: eigener nginx-Reverse-Proxy auf der Apex-Domain für saubere URL-Struktur.
BIMI-Record im DNS — niemals in mailcow.conf
Der BIMI-Record gehört NICHT in die Mailcow-Konfiguration (mailcow.conf, data/conf/postfix/extra.cf oder docker-compose.override.yml). BIMI ist ein DNS-TXT-Record, der beim DNS-Provider Ihrer Domain hinterlegt wird — Cloudflare, deSEC, Netcup oder Hetzner DNS. TTL-Empfehlung 3600 Sekunden.
; BIMI-Record - beim DNS-Provider der Domain, NICHT in mailcow.conf
; Mailcow stellt keinen BIMI-Konfigurationsbereich bereit.
; Selector immer: default._bimi (BIMI Draft V14, 1. Mai 2026)
;
; v=BIMI1 Version (Pflicht)
; l=URL SVG-Logo-URL, HTTPS Pflicht
; a=URL VMC-Zertifikat-URL, optional (Gmail blaues Häkchen Pflicht)
; Variante A: SVG ueber Mailcow-Web (data/web/bimi/)
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://mail.ihre-domain.de/bimi/logo.svg; a=https://mail.ihre-domain.de/bimi/vmc.pem"
; Variante B: SVG ueber eigenen nginx-Reverse-Proxy auf Apex
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a=https://ihre-domain.de/bimi/vmc.pem"
; Variante OHNE VMC (Yahoo/Fastmail/AOL/Apple-iCloud, KEIN Gmail-Logo):
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a="Der Mailcow-Stack ist Mailserver-Backend — DNS-Verwaltung läuft beim DNS-Provider Ihrer Domain. Mailcow zeigt zwar in der UI unter Configuration → ARC/DKIM keys die zu setzenden DKIM-DNS-Records an — Sie übernehmen die Records aber manuell ins DNS, Mailcow propagiert nichts automatisch.
Verifikation per dig, curl, Container-Logs und update.sh
Nach DNS-Propagation (typisch 1-24 Stunden) verifizieren Sie den BIMI-Record per dig, die SVG-Erreichbarkeit per curl, das DKIM-Signing in den Mailcow-Container-Logs und die Logo-Anzeige per Test-Mail an Gmail, Apple Mail, Yahoo, GMX und WEB.DE. Outlook zeigt KEIN Logo — das ist erwartet. Parallel ./update.sh --check für die Mailcow-Update-Disziplin nach NIS2 lit. e.
# BIMI-Record nach DNS-Propagation prüfen
dig TXT default._bimi.ihre-domain.de +short
# SVG-Erreichbarkeit (Content-Type Pflicht)
curl -sI https://mail.ihre-domain.de/bimi/logo.svg | head -5
# Erwartet: HTTP/2 200 + content-type: image/svg+xml
# VMC-Erreichbarkeit
curl -sI https://mail.ihre-domain.de/bimi/vmc.pem | head -5
# DKIM-Signing im Mailcow-Postfix-Container prüfen
docker exec postfix-mailcow tail -20 /var/log/mail.log | grep -i dkim
# Mailcow-Update-Disziplin (NIS2 lit. e)
cd /opt/mailcow-dockerized
./update.sh --check
# Update einspielen:
# ./update.sh
# update.sh ist das offizielle Update-Werkzeug aus der
# Mailcow-Originaldokumentation auf Englisch (docs.mailcow.email).
# Test-Mail vom Mailcow an Gmail / Apple / Yahoo / GMX / WEB.DE senden.
# Outlook ignoriert BIMI Stand Februar 2026.
Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Mailcow-Setups über die Banner-Detection des Postfix-Containers („ESMTP Postfix“) in Kombination mit dem typischen MAILCOW_HOSTNAME-Pattern, validiert DMARC-Enforcement-Level, BIMI-Record-Syntax, SVG-Tiny-PS-Konformität und VMC-Erreichbarkeit. Das Monitoring überwacht alle 6 Stunden auf BIMI-Drift.
Häufige Fehler bei BIMI für Mailcow
BIMI-Konfigurationsbereich in der Mailcow-UI gesucht
Problem: Unter Configuration in der Mailcow-UI wird nach einem BIMI-Tab gesucht. Ursache: Mailcow stellt selbst keinen BIMI-Konfigurationsbereich bereit — BIMI ist ein DNS-Record, der vom empfangenden Mailserver ausgewertet wird. Lösung: BIMI-Record beim DNS-Provider der Domain setzen (Cloudflare, deSEC, Netcup, Hetzner DNS), nicht in der Mailcow-UI.
DKIM-Key in der UI angezeigt, aber nicht im DNS publiziert
Problem: BIMI-Record gesetzt, DMARC-Policy p=reject, kein Client zeigt das Logo. Ursache: Der von der Mailcow-UI unter Configuration → ARC/DKIM keys angezeigte Public-Key wurde nicht als TXT-Record beim DNS-Provider eingetragen — DMARC scheitert an fehlendem DKIM-pass-mit-Alignment. Lösung: In der UI auf den DKIM-Eintrag klicken, den vorgeschlagenen DNS-TXT-Record kopieren und unter <selector>._domainkey.<domain> beim DNS-Provider eintragen. Details unter DKIM für Mailcow.
update.sh-Disziplin vergessen — Container-Stack veraltet
Problem: Mailcow-Stack läuft seit Monaten ohne ./update.sh, Postfix-/Dovecot-/Rspamd-/nginx-Container haben CVEs. Ursache: Fehlende Update-Disziplin verletzt NIS2 lit. e (Schwachstellen-Management). Lösung: ./update.sh --check regelmäßig prüfen, Updates monatlich einspielen — update.sh ist das offizielle Update-Werkzeug aus der Mailcow-Originaldokumentation auf Englisch (docs.mailcow.email).
Outlook-Test als Konfigurations-Fehler interpretiert
Problem: Test-Mail vom Mailcow an Outlook-Konto kommt OHNE Logo an — Annahme „Mailcow-BIMI-Setup ist defekt“. Ursache: Microsoft Outlook und Exchange Online unterstützen BIMI Stand Februar 2026 NICHT. Lösung: Test ausschließlich gegen Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail und AOL Mail durchführen.
Compliance: NIS2 lit. a + lit. e + lit. h, BSI TR-03108, DSGVO mit Mailcow BIMI
Eine BIMI-Plus-VMC-Kombination auf einem Mailcow-Stack erfüllt drei NIS2-Buchstaben gleichzeitig: lit. a (Risikoanalyse + Sicherheit) durch visuelle Brand-Identity-Authentifizierung, lit. e (Schwachstellen-Management) durch Mailcow-Update-Disziplin via update.sh (regelmäßige Patches in Postfix, Dovecot, Rspamd und nginx im Container-Stack — Mailcow-Originaldokumentation auf Englisch unter docs.mailcow.email, die hier verwendeten Begriffe wurden ins Deutsche übertragen) und lit. h (Kryptografie) durch X.509-PKI-Logo-Bindung im VMC plus DKIM-2048-Bit-Signing über die Mailcow-UI.
Mailcow-BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. e (Mailcow-Update-Disziplin via update.sh) + NIS2 lit. h (VMC-Kryptografie + DKIM-2048-Bit-Signing in der Mailcow-UI) + BSI TR-03108 (DMARC-Enforcement-Voraussetzung) + DSGVO Art. 32 (Schutz personenbezogener Daten vor Phishing). Wolf-Agents-USP: Der Email Security Check erkennt Mailcow-Setups über die Banner-Detection des Postfix-Containers in Kombination mit dem MAILCOW_HOSTNAME-Pattern, prüft die kombinierte DMARC-BIMI-VMC-Kette, validiert SVG-Tiny-PS-Konformität und warnt vor abgelaufenen VMCs. Cross-Verweis: Email-Spoofing und Phishing.
BIMI-Anleitung für weitere Provider:
Wie steht Ihre Domain bei BIMI · Mailcow?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.