Als IT-Dienstleister wollte ich es genau wissen: Einen eigenen Mailserver betreiben – komplett unter meiner Kontrolle, ohne Abhängigkeit von externen Anbietern.
Dafür setzte ich Mailcow ein, eine Open-Source-Mailserver-Suite, die auf einem dedizierten VPS bei Hetzner läuft. Alles schön abgesichert, regelmäßig gepatcht und mit Anti-Spam-Mechanismen versehen.
So weit, so gut – dachte ich.
✉️ Was passiert eigentlich, wenn eine E-Mail gesendet wird?
Wenn Sie eine E-Mail versenden, läuft im Hintergrund ein mehrstufiger Prozess ab:
- Verbindung zwischen Servern
Ihr Mailserver nimmt die Nachricht an und stellt eine Verbindung zum Ziel-Mailserver her – z. B. zu Microsoft, Yahoo, GMX, Web.de oder eben Telekom. - Identitäts- und Sicherheitsprüfungen
Bevor die E-Mail angenommen wird, prüft der empfangende Server:- Reverse DNS – Passt die IP-Adresse zum Hostnamen?
- SPF, DKIM, DMARC – Stimmen die Authentifizierungs-Records?
- Reputation – Ist der Absender-Server als seriös bekannt oder eher als Spam-Schleuder?
- Annahme oder Ablehnung
Besteht der Server diese Checks nicht, heißt es: ❌ „554 – Bad reputation“ oder ähnliche Fehlermeldungen.
📡 Mein Problem mit der Telekom
Während Google, GMX, Web.de und Yahoo meine E-Mails ohne Murren akzeptierten, blockierte die Telekom alles, was von meinem Server kam.
Die Begründung der Telekom: Meine IP-Adresse sei „lange Zeit inaktiv“ gewesen und habe daher keine Reputation. Aus Sicherheitsgründen akzeptiert die Telekom solche Absender erst nach Prüfung – ein Schutzmechanismus für ihre Kunden.
In der Praxis bedeutete das: Selbst perfekt konfigurierte Mails mit allen Standards wurden abgelehnt. Somit habe ich die Telekom direkt kontaktiert.
🛠️ Der Weg zur Freischaltung
Nach einem freundlichen, aber sehr technischen Austausch mit dem E-Mail-Engineering-Team der Telekom wurde klar:
- Der Hostname meines Servers musste eindeutig auf mich als Betreiber zurückzuführen sein.
- Eine öffentlich zugängliche Kontaktmöglichkeit (Telefonnummer, Impressum) musste direkt mit der Versanddomain verknüpft sein.
- Der Server durfte nicht als Shared Host genutzt werden – nur ich darf E-Mails über diese IP versenden.
- Missbrauchsschutz (Rate Limits, Konto-Sperrungen bei Spam) musste aktiv sein.
Ich passte die Konfiguration an, leitete meine Domain cmdsrv.de direkt auf meine Impressumsseite weiter und bestätigte alle geforderten Punkte.
Daraufhin erhielt ich von der Telekom die Bestätigung, dass meine IP-Reputation zurückgesetzt wird:
„Wir werden veranlassen, dass die Reputation dieser IP Nummer bei unseren Systemen resettet wird. (Berücksichtigen Sie bitte, dass es je nach Systemlast bis zu 24 Stunden dauern kann, bis die Änderung wirksam wird, erfahrungsgemäß dürfte dies allerdings in ein bis zwei Stunden erledigt sein.)“
📊 DMARC-Reports – Pflicht für Admins
Neben SPF, DKIM und einer sauberen Reputation sollten Sie als Mailserverbetreiber unbedingt DMARC-Reports auswerten.
Diese Berichte werden von vielen Providern automatisch an Sie gesendet, wenn Sie eine Postmaster-Adresse einrichten und im DNS den passenden DMARC-Eintrag setzen.
Ein Beispiel für einen funktionierenden DMARC-DNS-Record:
v=DMARC1; p=quarantine; rua=mailto:postmaster@DOMAINNAME.deWichtig:
- postmaster@DOMAINNAME.de sollte eine funktionierende E-Mail-Adresse sein, die Sie regelmäßig abrufen.
- In diesen Reports sehen Sie, von welchen IP-Adressen E-Mails im Namen Ihrer Domain versendet wurden und ob sie die SPF/DKIM-Prüfungen bestanden haben.
- So erkennen Sie frühzeitig Missbrauch und Konfigurationsfehler.
🔗 Wichtige Links zum Testen der Mailserver-Reputation & -Konfiguration
- Google Postmaster Tools – https://postmaster.google.com/
- Microsoft SNDS & Smart Network Data – https://sendersupport.olc.protection.outlook.com/snds/
- Telekom Postmaster FAQ & Kontakt – https://postmaster.t-online.de
- GMX / Web.de Postmaster – https://postmaster.gmx.net/de/
- MailTester (SPF/DKIM/DMARC prüfen) – https://www.mail-tester.com/
- MultiRBL Blacklist-Check – https://multirbl.valli.org/
- MXToolbox Mailserver-Analyse – https://mxtoolbox.com/
💡 Mein Tipp: Führen Sie diese Tests vor dem Livegang durch – so vermeiden Sie Überraschungen bei strengen Providern wie der Telekom.
☎️ Kontakt zur Telekom Postmaster-Hotline
Falls Ihre Mails von der Telekom geblockt werden, erreichen Sie das E-Mail Engineering unter:
Deutsche Telekom AG
E-Mail Engineering
Deutsche-Telekom-Allee 9
64295 Darmstadt
E-Mail: tobr@rx.t-online.de
Postmaster-FAQ: https://postmaster.t-online.de
✅ Checkliste für Mailserver-Betreiber
Sicherheit & Authentifizierung
- SPF-Record korrekt gesetzt
- DKIM-Signatur aktiv und gültig
- DMARC-Policy eingerichtet (und Reports auswerten)
- Funktionierende postmaster@-Adresse eingerichtet
DNS & Erreichbarkeit
- Reverse DNS (PTR) zeigt auf den korrekten Hostnamen
- A- und MX-Records stimmen und zeigen auf den Server
- Web-Impressum und Kontaktseite mit Versanddomain verknüpft
Reputation & Tests
- IP-Adresse nicht auf Blacklists
- Tests bei Google, Microsoft, Telekom, GMX/Web.de bestanden
- Mail-Testrating mindestens 9/10
Betrieb & Monitoring
- Spam- und Virenschutz aktiv
- Rate Limits für ausgehende Mails
- Log-Überwachung & Alerts bei Auffälligkeiten
- Regelmäßige Backups der Mailserver-Konfiguration und Postfächer
🤝 Austausch mit anderen IT-Administratoren
Falls Sie bei ähnlichen Problemen Unterstützung oder fachlichen Austausch suchen, lade ich Sie herzlich in meine Matrix-Supportgruppen ein.
Hier helfe ich gerne bei Fragen rund um Mailserver, Netzwerke und IT-Sicherheit:
💬 https://it-service-commander.de/support-2/gruppen/