MX für Mailcow einrichten

Schritt-für-Schritt-Anleitung: MX-Record für Mailcow Docker-Mailserver konfigurieren — MAILCOW_HOSTNAME in mailcow.conf setzen, DNS-Records anlegen, PTR/FCrDNS beim IP-Provider und Let's-Encrypt-Zertifikat. Mailcow ist der meistgenutzte Self-Hosted-Mailserver für Docker in DACH.

MX prüfen Plattform entdecken

Mailcow · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 14. Mai 2026

MX-Records für Mailcow (Self-Hosted Docker)

Mailcow ist eine Open-Source-Mailserver-Lösung mit Web-UI, basierend auf Docker — sie bündelt Postfix (MTA), Dovecot (IMAP), SOGo (Webmail/Groupware), Rspamd (Anti-Spam), ClamAV und Let's Encrypt in einem zusammenhängenden Setup. Der zentrale Konfigurationsschlüssel ist MAILCOW_HOSTNAME in mailcow.conf — dieser FQDN wird als MX-Hostname und für TLS-Zertifikate verwendet. Mailcow ist der meistgenutzte Self-Hosted-Mailserver für Docker in der DACH-Region.

Als Maßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) und BSI TR-03108 ist die MX-Konfiguration die Basis für SPF, DKIM und DMARC. Bei Mailcow-Setups liegt die TOM-Verantwortung beim Betreiber, wird aber durch das integrierte Admin-UI und automatisches Let's-Encrypt-Renewal vereinfacht. Der Wolf-Agents Email Security Check erkennt Mailcow-Stack automatisch (Banner-Detection für ESMTP Postfix mailcow), validiert PTR/FCrDNS, scannt DNSSEC und prüft die Konsistenz zwischen MAILCOW_HOSTNAME, MX-Record und TLS-Zertifikat (SAN-Match).

Hardening-Pfad: Nach dem MX-Record folgt SPF für Mailcow (Server-IP als ip4:/ip6:), DKIM mit Mailcow-Admin-UI-Generation und DMARC. Für Transport-Verschlüsselung: MTA-STS. Bedrohungs-Cluster: Ein korrekt gehärteter Mailcow-MX-Record schließt DNS-Hijacking-Spoofing und SubdoMailing über verwaiste Mailserver-Subdomains.

Ausführliche Einführung in MX-Infrastruktur

1 Schritt 1 von 4

MAILCOW_HOSTNAME in mailcow.conf setzen

Der zentrale Konfigurationsschritt: MAILCOW_HOSTNAME in mailcow.conf (typischer Pfad /opt/mailcow-dockerized/mailcow.conf) auf den gewünschten FQDN setzen. Dieser Hostname muss exakt mit dem MX-Eintrag, dem A/AAAA-Record und dem PTR-Record übereinstimmen — er wird auch für das Let's-Encrypt-Zertifikat verwendet.

# mailcow.conf — Hostname-Konfiguration
# Pfad: /opt/mailcow-dockerized/mailcow.conf

MAILCOW_HOSTNAME=mail.ihre-domain.de
MAILCOW_PASS_SCHEME=BLF-CRYPT

# Nach Änderung: Mailcow neu starten
# cd /opt/mailcow-dockerized
# docker compose down
# docker compose up -d

MAILCOW_HOSTNAME nach Setup nicht ändern (Information-Gain)

Die Mailcow-Doku warnt explizit: nach dem ersten erfolgreichen Setup sollte MAILCOW_HOSTNAME nicht mehr geändert werden — eine Änderung erfordert manuelle Datenbankmigration und ggf. Neugenerierung aller TLS-Zertifikate. Wählen Sie den FQDN sorgfältig (idealerweise mail.ihre-domain.de) und ändern Sie ihn nur, wenn unvermeidbar. Quelle: docs.mailcow.email/getstarted/prerequisite-dns (abgerufen 2026-05-14).

Multi-Domain-Hosting in einer Mailcow-Instanz (NEU R3-Mehrwert + R3-Verifikation)

Eine Mailcow-Instanz kann beliebig viele Domains hosten — der MAILCOW_HOSTNAME ist die Verwaltungs-Domain (die Subdomain, unter der das Mailcow-UI und die Server-Identität laufen), während weitere Kundendomains pro Tenant im Admin-UI hinzugefügt werden. Originalzitat (Englisch) aus Mailcow-Doku: „The mail DNS record which binds the subdomain to the given ip address must only be set for the domain on which mailcow is running and that is used to access the web interface. For every other mailcow managed domain, the MX record will route the traffic.“ Deutsche Zusammenfassung: Nur für die MAILCOW_HOSTNAME-Domain brauchen Sie A/AAAA + PTR/FCrDNS + TLS-Zertifikat. Für alle Kundendomains reicht ein MX-Record, der auf MAILCOW_HOSTNAME zeigt. Praktische Konsequenz: Eine Mailcow-Instanz mit mail.wolf-agents.com als Hostname kann Mails für kunde-a.de, kunde-b.at, kunde-c.ch entgegennehmen — jeweils mit eigenen DKIM-Schlüsseln, SPF-Records und DMARC-Policies pro Domain. Multi-Tenant-Hosting ist Mailcow-Standardfunktion, keine Enterprise-Erweiterung. Quelle direkt-verifiziert: docs.mailcow.email/getstarted/prerequisite-dns (abgerufen 2026-05-16).

2 Schritt 2 von 4

DNS-Records MX + A/AAAA anlegen

Im DNS-Provider den MX-Record auf MAILCOW_HOSTNAME setzen, plus A/AAAA-Records für den Hostnamen. Optional: autodiscover. und autoconfig. CNAMEs für Email-Client-Autoconfig.

; Mailcow Docker Mailserver — DNS-Zone
ihre-domain.de.       IN  MX  10  mail.ihre-domain.de.
mail.ihre-domain.de.  IN  A         203.0.113.10
mail.ihre-domain.de.  IN  AAAA      2001:db8:42::10

; Optional: Auto-Discovery-Records für Email-Clients
autodiscover.ihre-domain.de.   IN  CNAME  mail.ihre-domain.de.
autoconfig.ihre-domain.de.     IN  CNAME  mail.ihre-domain.de.

; PTR-Records beim IP-Hosting-Provider setzen:
;   10.113.0.203.in-addr.arpa.   IN  PTR  mail.ihre-domain.de.
;   ...ip6.arpa.                 IN  PTR  mail.ihre-domain.de.

Autodiscover für Outlook/Thunderbird

Mailcow unterstützt Autodiscover/Autoconfig — Email-Clients wie Outlook, Thunderbird und Apple Mail finden die Server-Einstellungen automatisch, wenn die CNAMEs auf MAILCOW_HOSTNAME zeigen. Das reduziert Support-Aufwand bei der Benutzer-Einrichtung deutlich.

3 Schritt 3 von 4

PTR/FCrDNS + Let's Encrypt aktivieren

PTR beim IP-Provider auf MAILCOW_HOSTNAME setzen — für IPv4 und IPv6 separat. Mailcow holt das Let's-Encrypt-Zertifikat automatisch und erneuert es alle 60 Tage; die Domain MAILCOW_HOSTNAME muss dafür von außen per HTTPS auf Port 80/443 erreichbar sein (HTTP-01-Challenge).

Let's Encrypt + SAN-Erweiterung

Mailcow holt standardmäßig ein Let's-Encrypt-Zertifikat für MAILCOW_HOSTNAME. Für zusätzliche Subdomains (z.B. autodiscover, autoconfig) erweitert Mailcow das SAN-Feld automatisch, sofern die CNAMEs/A-Records in der DNS-Zone vorhanden sind und HTTP-01 erreichbar ist. Quelle: docs.mailcow.email/getstarted/prerequisite-dns (abgerufen 2026-05-14).

4 Schritt 4 von 4

Mailcow Admin-UI + dig-Verifikation

In der Mailcow Admin-UI (typisch https://mail.ihre-domain.de) unter Konfiguration → E-Mail-Setup → Domains die Domain hinzufügen — Mailcow zeigt anschließend einen DNS-Diagnose-Bereich mit Soll-Werten für SPF, DKIM, DMARC und MX an. Vergleich mit dig-Output für externe Validierung.

# Linux / macOS
dig MX ihre-domain.de +short
dig A mail.ihre-domain.de +short
dig AAAA mail.ihre-domain.de +short

# Reverse DNS (PTR/FCrDNS-Prüfung)
dig -x 203.0.113.10
dig -x 2001:db8:42::10

# DNSSEC-Validierung
dig +dnssec MX ihre-domain.de | grep -E "RRSIG|ad;"

# Mailcow-spezifische Prüfung
docker ps --filter "name=mailcow"
docker logs mailcow-dockerized-postfix-mailcow-1 2>&1 | tail -20

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt Mailcow-Stack-Pattern (Banner-Detection für „ESMTP Postfix mailcow“), validiert PTR/FCrDNS für IPv4 und IPv6, scannt die DNSSEC-Kette und prüft TLS-Zertifikat-SAN auf MAILCOW_HOSTNAME-Konsistenz. Das Monitoring überwacht den Mailcow-Container alle 6 Stunden.

Häufige Fehler bei Mailcow MX-Records

MAILCOW_HOSTNAME != MX-Hostname

Problem: MAILCOW_HOSTNAME=mail.example.com, MX-Record zeigt aber auf smtp.example.com. Ursache: DNS-Setup hat einen anderen Hostnamen als die Mailcow-Konfiguration. Lösung: MAILCOW_HOSTNAME und MX-Hostname müssen identisch sein — bei Discrepancy entweder DNS oder mailcow.conf anpassen (letzteres erfordert Mailcow-Restart).

Port 80 für Let's Encrypt blockiert

Problem: Let's-Encrypt-Zertifikat wird nicht erneuert, Mailcow nutzt selbstsigniertes Zertifikat. Ursache: Firewall blockiert eingehenden Port 80 (HTTP-01-Challenge). Lösung: Port 80 für ACME-Challenges öffnen — oder DNS-01-Challenge konfigurieren, wenn Port 80 dauerhaft geschlossen bleiben muss.

Fehlender PTR auf MAILCOW_HOSTNAME

Problem: PTR-Record der Server-IP zeigt auf generischen Provider-Hostnamen statt auf MAILCOW_HOSTNAME. Ursache: PTR beim IP-Provider nicht gesetzt. Lösung: Im IP-Provider-Panel (Hetzner Cloud, Netcup vServer) Reverse DNS auf MAILCOW_HOSTNAME setzen — sonst markiert Google ausgehende Mails als Spam.

Compliance · NIS2 · BSI · DSGVO

Compliance: NIS2, BSI TR-03108 und DSGVO mit Mailcow

Eine korrekt konfigurierte Mailcow-Architektur mit DNSSEC, PTR/FCrDNS und Admin-UI-DNS-Diagnose ist der prüfbare Nachweis für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung) und BSI TR-03108. Mailcow integriert Let's Encrypt, Rspamd Anti-Spam, DKIM-Signing und SOGo Webmail in einem Docker-Compose-Stack — das vereinfacht die Patch-Disziplin (Container-Updates per docker compose pull && docker compose up -d) und macht die TOM-Dokumentation klarer als bei Hand-konfigurierten Postfix/Dovecot-Setups. Bei Mailcow-Setups gehört die Container-Update-Policy und das Backup-Konzept (Mailcow-Helper-Scripts) explizit in die NIS2-TOM-Dokumentation.

Mailcow MX-Compliance-Stack: NIS2 lit. h (DNSSEC für MX, DNS-Provider aktivierbar) + lit. e (Container-Updates + Mailcow-Helper-Backup) + BSI TR-03108 (FCrDNS kundenseitig, Let's-Encrypt + Admin-UI-DNS-Diagnose) + DSGVO Art. 32 lit. b (Verfügbarkeit kundenseitig, Mailcow-Backup-Scripts). Wolf-Agents-USP: Der Email Security Check erkennt Mailcow-Stack (Banner-Detection für „ESMTP Postfix mailcow“), validiert PTR/FCrDNS, scannt DNSSEC und prüft TLS-SAN-Konsistenz mit MAILCOW_HOSTNAME — kein anderer DACH-Scanner deckt diese vier Mailcow-spezifischen Drift-Klassen ab. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.

MX-Anleitung für weitere Provider:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Hetzner Netcup Hostpoint Infomaniak World4You Proton Mail Postfix Exim Mailcow Cloudflare DNS Hetzner DNS

Wie steht Ihre Domain bei MX-Infrastruktur · Mailcow?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten