Zum Inhalt springen

Hybride E-Mail mit Microsoft 365 und Mailcow: Vollständige Anleitung + Checkliste

Warum Mailcow + Microsoft 365 Hybrid besser als klassisch istSchema des Hybrids und VorteileSchritt 1. DNS-KonfigurationSchritt 2. Microsoft 365 — Gateway-KonfigurationSchritt 3. Mailcow als zentrales PostfachspeicherSchritt 4. Feinabstimmung in M365Prüfung und DebuggingCheckliste für die EinsatzbereitschaftHäufige Fehler und LösungenFAQ: Häufig gestellte FragenFazit

Warum Mailcow + Microsoft 365 Hybrid besser als klassisch ist

In der modernen Geschäftswelt ist E-Mail nicht nur ein Werkzeug, sondern das Rückgrat der Kommunikation. Unternehmen stehen oft vor dem Dilemma: volle Kontrolle und Flexibilität mit einem eigenen Mailserver wie Mailcow oder die Sicherheit, Zuverlässigkeit und höchste Zustellbarkeit von Cloud-Giganten wie Microsoft 365?

Warum nicht das Beste aus beiden Welten kombinieren?

Microsoft 365 (Exchange Online Protection) dient als leistungsstarkes Gateway für den gesamten E-Mail-Verkehr, filtert Spam und Bedrohungen und sorgt für eine einwandfreie Absenderreputation.

Mailcow fungiert als zuverlässiger und kostengünstiger Speicher für alle Postfächer und gibt Ihnen volle Datenhoheit über Ihren eigenen Server.


Warum ist das hybride System die ideale Lösung?

Dieser Ansatz bietet einzigartige Vorteile, insbesondere für europäische und speziell deutsche Unternehmen.

  1. DSGVO-Konformität und Datenkontrolle
    Für viele Unternehmen in Deutschland und der EU ist die Speicherung von Daten auf lokalen Servern nicht nur eine Präferenz, sondern eine gesetzliche Anforderung (DSGVO). In unserem hybriden Modell dient Microsoft 365 lediglich als Transitknoten – es filtert und leitet E-Mails weiter, speichert sie aber nicht. Alle Nachrichten, Kontakte und Kalender befinden sich physisch auf Ihrem Mailcow-Server, entweder auf Ihrem Hosting oder in Ihrem Unternehmen, was volle Datensouveränität und DSGVO-Konformität gewährleistet.

  2. Kosteneffizienz
    Sie müssen keine teuren Microsoft 365 Lizenzen für jeden Mitarbeiter kaufen. Eine Basislizenz mit Exchange Online Protection (EOP) reicht aus, um den gesamten Mailverkehr zu verarbeiten. Die Postfächer selbst werden in Mailcow erstellt, was die monatlichen Kosten erheblich reduziert.

  3. Sicherheit auf Weltniveau
    Sie erhalten Zugriff auf Microsoft Exchange Online Protection – einen der besten Filter der Welt zum Schutz vor Spam, Phishing und Malware. Alle eingehenden und ausgehenden E-Mails durchlaufen dieses zuverlässige System.

  4. Maximale Zustellbarkeit
    E-Mails, die über Microsoft-Server mit deren IP-Adressen und perfektem DKIM versendet werden, landen zuverlässig im Posteingang und nicht im Spam-Ordner.


Schema des Hybrids und Vorteile

Schema:

Internet → Microsoft 365 (EOP, eingehende Filterung) → Mailcow (Postfächer) → Microsoft 365 (EOP, ausgehende Filterung) → Internet

Vorteile:

  • DSGVO & Kontrolle — E-Mails werden in Mailcow in Ihrem Land oder lokal gespeichert.
  • Kostenersparnis — Basislizenz von M365 mit EOP reicht aus.
  • Zustellbarkeit — Versand über Microsoft-IPs mit DKIM.
  • Sicherheit — Schutz auf Microsoft-Niveau beim Ein- und Ausgang.


Schritt 1. DNS-Konfiguration

Alle Einträge in Cloudflare (oder anderem DNS) sollten auf DNS only (graue Wolke) gestellt werden.

ZweckTypNameWert
MailhostAmail203.0.113.10
MailempfangMX@
SPFTXT@v=spf1 ip4:203.0.113.10 include:spf.protection.outlook.com -all
DMARCTXT_dmarcv=DMARC1; p=quarantine; sp=quarantine; adkim=s; aspf=s; fo=1; pct=100; rua=mailto:[email protected]
DKIMCNAMEselector1/2._domainkeyEinträge von Microsoft 365

💡 Metzler IT Tipp: Tragen Sie kein IPv6 in SPF ein, wenn es nicht aktiv genutzt wird.


Schritt 2. Microsoft 365 — Gateway-Konfiguration

2.1. Domain hinzufügen

  • Domain in M365 bestätigen
  • In EAC → Mail flow → Accepted domains → Internal relay einstellen

2.2. Connectors

A) Eingehend (Inbound):

  • Typ: Microsoft 365 → Mailcow
  • Smart Host: mail.example.com
  • TLS erforderlich, Zertifikat-CN prüfen

B) Ausgehend (Outbound):

  • Typ: Mailcow → Microsoft 365
  • Authentifizierung per IPv4 (203.0.113.10)
  • ❌ IPv6 wird nicht unterstützt

Fix für Fehler 550 5.7.64 Relay Access Denied:

In Mailcow → extra.cf: smtp_address_preference = ipv4

Postfix neu starten: docker restart mailcowdockerized-postfix-mailcow-1

2.3. DKIM in M365

  • DKIM im Defender-Portal aktivieren
  • CNAME-Einträge selector1 und selector2 im DNS veröffentlichen


Schritt 3. Mailcow als zentrales Postfachspeicher

3.1. Ausgehender Mailflow über EOP

In Routing → Sender dependent transports: example.com → example-com.mail.protection.outlook.com:25

3.2. DKIM

Am besten DKIM in Mailcow deaktivieren und nur Microsoft-Signaturen verwenden.

Alternativ: Doppelsignatur aktivieren und TXT-Key veröffentlichen.

3.3. Rufverbesserung

In extra.cf:

myhostname = mail.example.com

smtpd_banner = $myhostname ESMTP

smtp_helo_name = $myhostname


Schritt 4. Feinabstimmung in M365

4.1. Falsch-Positiv reduzieren

In EAC → Mail flow → Rules eine Regel erstellen:

Wenn Absender = Mailcow IP → SCL=0

4.2. DMARC

Empfohlener Record:

v=DMARC1; p=quarantine; sp=quarantine; adkim=s; aspf=s; fo=1; pct=100; rua=mailto:[email protected]


Prüfung und Debugging

DNS prüfen (Linux/macOS):

dig +short TXT example.com

dig +short CNAME selector1._domainkey.example.com

dig +short TXT _dmarc.example.com

dig +short MX example.com

Mailcow Logs:

docker logs -f mailcowdockerized-postfix-mailcow-1

In Microsoft 365:

  • Message trace — Zustellung prüfen
  • Threat Explorer — Filterung analysieren


Checkliste für die Einsatzbereitschaft

Prüfung

Status

MX zeigt auf *.mail.protection.outlook.com

Accepted domain = Internal relay

Connectoren eingerichtet

DKIM in M365 aktiv, CNAME veröffentlicht

SPF und DMARC korrekt

PTR zeigt auf mail.example.com

Tests = spf=pass, dkim=pass, dmarc=pass


Häufige Fehler und Lösungen

Fehler

Lösung

 550 5.7.64 Relay Access Denied

 IPv4 in Mailcow aktivieren

 DKIM=permerror

 DKIM in Mailcow deaktivieren oder Key veröffentlichen

 E-Mails landen im Gmail-Spam

 E-Mails in HTML + Text schreiben

 Cloudflare Proxy (orange Wolke)

 nur „DNS only“ verwenden

FAQ: Häufig gestellte Fragen

Microsoft 365 filtert und sendet, Mailcow speichert Postfächer lokal. Vorteile: Microsoft-Reputation + volle Datenkontrolle.

  • Kostenersparnis: Basislizenz mit EOP reicht
  • DSGVO-Konformität: Postfächer bleiben lokal
  • Flexibilität: Sie verwalten Mailcow und integrieren es in Ihre Infrastruktur
  • SPF: ip4:Ihre_IP include:spf.protection.outlook.com
  • DKIM: in Microsoft 365 aktivieren und CNAME ins DNS eintragen
  • DMARC: mit p=quarantine starten, später auf p=reject verschärfen

Nein, Microsoft 365 akzeptiert kein IPv6 für Connectoren per IP. Am besten IPv4 nutzen. Für IPv6 wäre mTLS per Zertifikat erforderlich.

  • SPF, DKIM und DMARC prüfen
  • E-Mails als HTML + Text senden
  • Signatur, Kontaktdaten, Logo hinzufügen
  • Empfänger sollen Mails als „Kein Spam“ markieren

Am besten nur Microsoft-DKIM aktiv lassen. Für Doppelsignatur muss der TXT-Key von Mailcow veröffentlicht werden.

MX auf *.mail.protection.outlook.com, A-Record mail.example.com, SPF/DKIM/DMARC gültig, PTR korrekt.

Mit vorhandenem Mailcow-Server: 2–4 Stunden.

Mit umfassender Einrichtung (inkl. DNS-Audit und Tests): ca. 1 Arbeitstag.

Fazit

Hybride E-Mail mit Mailcow + Microsoft 365 ist die perfekte Balance:

  • Microsoft-Filter und Reputation,
  • volle Kontrolle und Speicherung bei Ihnen,
  • DSGVO-Konformität und Kosteneinsparungen.

Mit korrekter Einrichtung von DNS, DKIM und Connectors erhalten Sie ein E-Mail-System auf Enterprise-Niveau.

Möchten Sie Hybrid bei sich einführen?

Das Metzler IT Team unterstützt Sie bei:

  • DNS- und Connector-Konfiguration,
  • SPF/DKIM/DMARC/ARC-Audit,
  • finaler Zustellbarkeitsprüfung.

Kontaktieren Sie uns, um fertige DNS-Templates für Ihre Domain zu erhalten.



Jetzt strategisches Gespräch vereinbaren

Anmelden , um einen Kommentar zu hinterlassen
Gmail und Odoo perfekt kombinieren – so geht's