Was ist Proxmox Mail Gateway (PMG)?
Timo Wevelsiep•Aktualisiert: 29.06.2026Hinweis zum Inhalt: Versionen, Befehle und Preise können sich ändern. Bitte prüfen Sie kritische Schritte vor dem produktiven Einsatz eigenständig. Dieser Leitfaden ersetzt keine individuelle Beratung.
Proxmox als Managed Service - WZ-IT plant, baut und betreibt Proxmox-Umgebungen inklusive Mail Gateway: vorgeschalteter Spam- und Virenschutz, Quarantäne, Cluster und sauberes Monitoring. Termin vereinbaren · Mehr zu Proxmox
Proxmox Mail Gateway (PMG) ist eine quelloffene E-Mail-Sicherheitslösung der Proxmox Server Solutions GmbH, die als vorgeschalteter Mail-Proxy vor dem eigentlichen Mailserver arbeitet. PMG nimmt den gesamten ein- und ausgehenden E-Mail-Verkehr entgegen, filtert Spam, Viren, Phishing und unerwünschte Anhänge und leitet nur saubere Nachrichten an den dahinterliegenden Mailserver weiter. Die Software steht unter der GNU AGPLv3 und ist vollständig kostenlos nutzbar; eine optionale Subscription liefert das stabile Enterprise-Repository und Hersteller-Support.
Entscheidend für das Verständnis: PMG ist kein Mailserver. Es speichert keine Postfächer und verwaltet keine Konten, sondern sitzt als Filterschicht zwischen Internet und Mailsystem. Die eigentliche Zustellung, Speicherung und der Zugriff per IMAP oder Exchange bleiben bei Ihrem bestehenden System.
Was Proxmox Mail Gateway konkret macht
PMG positioniert sich in der Mail-Kette typischerweise zwischen Firewall und internem Mailserver. Der MX-Eintrag der Domain zeigt auf das Gateway, nicht mehr direkt auf den Mailserver. Jede eingehende E-Mail durchläuft damit zuerst PMG:
- Annahme und Vorprüfung: Postfix nimmt die Verbindung an und prüft bereits auf SMTP-Ebene, etwa per Greylisting, DNS-Blocklisten (RBL/DNSBL) und SPF.
- Inhaltsanalyse: SpamAssassin bewertet Header und Inhalt, ClamAV scannt auf Viren und Schadcode, Regeln prüfen Anhänge und Absender.
- Entscheidung: Aus den Signalen entsteht ein Spam-Score. Je nach Schwellwert wird die Mail durchgelassen, in die Quarantäne verschoben oder abgelehnt.
- Zustellung: Saubere Nachrichten gehen an den dahinterliegenden Mailserver (Exchange, Postfix, Mailcow, Zimbra und andere).
Auch der ausgehende Verkehr läuft über PMG. So lassen sich kompromittierte interne Systeme erkennen, bevor sie die Reputation der eigenen Domain beschädigen, und ausgehende Mails per DKIM signieren.
Die Kernfeatures im Überblick
PMG bündelt etablierte Open-Source-Bausteine zu einem einheitlich verwalteten Gateway. Die wichtigsten Funktionen:
- Spam-Filter: Mehrstufige Bewertung aus SpamAssassin-Regeln, statistischer Analyse (Bayes), Greylisting, SPF/DKIM/DMARC, DNS-Blocklisten und Prüfungen wie SMTP-Whitelist und Absenderverifikation. Das Ergebnis ist ein numerischer Spam-Score.
- Virenscan: ClamAV prüft jede Nachricht und jeden Anhang auf Viren, Trojaner und Malware. Optional lassen sich kommerzielle Virenscanner anbinden.
- Quarantäne: Verdächtige Spam-, Viren- und Anhang-Mails landen in getrennten Quarantänen statt im Postfach. Nutzer erhalten konfigurierbare Quarantäne-Berichte und können einzelne Mails selbst freigeben, ohne Eingriff der Administration.
- Regelsystem (Rule System): Ein flexibles Regelwerk aus Objektgruppen (Wer, Was, Wann) und Aktionen erlaubt feingranulare Richtlinien, etwa das Blockieren bestimmter Dateitypen, Disclaimer-Anhänge oder das gezielte Umleiten von Nachrichten.
- Whitelists und Blacklists: Pro Domain und pro Nutzer lassen sich Absender, Domains und IPs auf Positiv- oder Negativlisten setzen.
- Cluster: Mehrere PMG-Knoten bilden einen Cluster mit synchronisierter Konfiguration und gemeinsamer Quarantäne-Datenbank. Das liefert Hochverfügbarkeit, Lastverteilung und Skalierung bis in den Bereich von Millionen Mails pro Tag.
- Message Tracking Center: Eine zentrale Suche zeigt nachvollziehbar, was mit jeder einzelnen Nachricht passiert ist, von der Annahme bis zur Zustellung oder Ablehnung.
- Statistiken und Berichte: Dashboards und Auswertungen zu Spam-Aufkommen, Viren, Top-Absendern und Empfängern.
- LDAP/Active-Directory-Anbindung: Nutzer und Gruppen lassen sich aus dem Verzeichnisdienst synchronisieren, um Regeln und Quarantäne-Zugriff zu steuern.
Verwaltung, Quarantäne-Freigabe und Konfiguration laufen über eine Weboberfläche, ergänzt um eine REST-API und die Kommandozeile.
PMG ist kein Mailserver: die klare Abgrenzung
Diese Unterscheidung sorgt in der Praxis häufig für Missverständnisse. PMG ersetzt keinen Mailserver und keine Groupware. Es übernimmt ausschließlich die Filter- und Transportschicht davor.
| Aufgabe | Proxmox Mail Gateway | Mailserver (z. B. Exchange, Mailcow) |
|---|---|---|
| Spam- und Virenfilter | Ja, Kernaufgabe | Teilweise, oft schwächer |
| Quarantäne | Ja, getrennt nach Typ | Selten granular |
| Postfächer speichern | Nein | Ja |
| IMAP/POP3/Exchange-Zugriff | Nein | Ja |
| Kalender, Kontakte, Groupware | Nein | Ja |
| Nutzerkonten und Passwörter | Nein (nur Sync für Regeln) | Ja |
Kurz gesagt: PMG schützt den Mailserver, ersetzt ihn aber nicht. Beide laufen typischerweise als getrennte Systeme, oft als virtuelle Maschinen auf einer Proxmox-VE-Umgebung. Was Proxmox VE als Virtualisierungsplattform leistet, erklärt unser Artikel Was ist Proxmox?.
Für wen eignet sich Proxmox Mail Gateway?
PMG ist für Organisationen interessant, die ihren E-Mail-Schutz selbst betreiben wollen, statt ihn an einen Cloud-Dienst auszulagern:
- Unternehmen mit eigenem Mailserver, die einen vorgeschalteten, dedizierten Spam- und Virenfilter brauchen.
- MSP und Hoster, die viele Domains und Mandanten über eine zentrale Plattform absichern.
- Behörden und regulierte Branchen, für die Datensouveränität und DSGVO-Konformität entscheidend sind, weil Mail-Metadaten und Quarantäne-Inhalte im eigenen Haus oder bei einem EU-Hoster bleiben.
- Organisationen, die VMware- oder Microsoft-Abhängigkeiten reduzieren und ihre Infrastruktur auf quelloffene Bausteine umstellen.
Der Gegenwert für diese Kontrolle ist Betriebsaufwand: Updates, Regel-Tuning, Monitoring und das saubere Zusammenspiel mit DNS, SPF, DKIM und DMARC wollen gepflegt werden.
Ist Proxmox Mail Gateway kostenlos?
Ja. PMG steht vollständig unter der GNU AGPLv3. Es gibt kein Feature-Gating und keine Begrenzung bei Domains oder Nutzern. Der Unterschied zwischen kostenloser und bezahlter Nutzung liegt im Repository und im Support, nicht im Funktionsumfang. Ohne Subscription nutzen Sie das No-Subscription-Repository mit aktuellen, aber weniger intensiv getesteten Updates; mit Subscription erhalten Sie das stabile Enterprise-Repository und Hersteller-Support.
Die Subscription wird pro Host und Jahr abgerechnet, inklusive unbegrenzter Nutzer und Domains. Die offiziellen Tarife (Stand Juni 2026):
| Tarif | Preis pro Host/Jahr | Support |
|---|---|---|
| Community | 190 EUR | Community-Support, Enterprise-Repo |
| Basic | 540 EUR | 5 Tickets/Jahr, Reaktion 1 Werktag |
| Standard | 1.260 EUR | 15 Tickets/Jahr, Reaktion 4 Stunden, Remote-Support |
| Premium | 1.900 EUR | Unbegrenzte Tickets, Reaktion 2 Stunden, Offline-Aktivierung |
Die genannten Reaktionszeiten gelten als garantierte Erstreaktion auf kritische Anfragen innerhalb der Geschäftszeiten. Preise sind netto zuzüglich Umsatzsteuer.
Aktuelle Version: Proxmox Mail Gateway 9.1
Die aktuelle Version ist Proxmox Mail Gateway 9.1, veröffentlicht am 11. Juni 2026. Sie basiert auf Debian 13.5 (Trixie) mit Linux-Kernel 7.0 als neuem Standard und bündelt unter anderem ZFS 2.4, PostgreSQL 17, SpamAssassin 4.0.2 mit aktualisierten Regelsätzen und ClamAV 1.4.4. Die wichtigsten Neuerungen:
- Verbesserte Quarantäne: Mails lassen sich in gemeinsam genutzten Postfächern als gelesen markieren, und positive sowie negative Spam-Scores sind auf einen Blick summiert sichtbar.
- Clientseitige Backup-Verschlüsselung mit Schlüsselverwaltung und optionalem Master-Key für die Wiederherstellung.
- Pre-Login-Consent-Banner sowie optionales Audit-Logging von Envelope-Headern für Nachvollziehbarkeit und Compliance.
PMG lässt sich auf eigener Hardware (Bare Metal) oder als virtuelle Maschine installieren, etwa innerhalb einer Proxmox-VE-Umgebung.
Betrieb und Unterstützung
Ein vorgeschalteter Mail-Filter entfaltet seinen Wert erst durch sauberes Tuning und verlässlichen Betrieb: richtig gesetzte Spam-Schwellwerte, gepflegte Regeln, funktionierende DKIM- und DMARC-Konfiguration und ein Monitoring, das Quarantäne und Zustellung im Blick behält. Genau hier setzen wir an. WZ-IT plant, baut und betreibt Proxmox-Umgebungen inklusive Mail Gateway, vom ersten Cluster-Design bis zum laufenden Managed Service. Mehr dazu auf unserer Seite zu Proxmox als Managed Service oder direkt im unverbindlichen Erstgespräch.
Sie möchten Proxmox nicht selbst betreiben? WZ-IT übernimmt Einrichtung, Betrieb und Wartung – DSGVO-konform aus Deutschland.
Häufig gestellte Fragen
Antworten auf die wichtigsten Fragen
Nein. Proxmox Mail Gateway ist kein Mailserver, sondern ein vorgeschalteter Mail-Proxy. Es nimmt ein- und ausgehende E-Mails entgegen, filtert Spam, Viren und unerwünschte Anhänge und leitet saubere Nachrichten an Ihren eigentlichen Mailserver weiter. Postfächer, Kalender und die Mailbox-Verwaltung bleiben bei Ihrem bestehenden System wie Microsoft Exchange, Postfix oder Mailcow.
Ja. PMG steht unter der GNU AGPLv3 und ist vollständig kostenlos nutzbar, mit komplettem Funktionsumfang und ohne Limit bei Domains oder Nutzern. Optional gibt es eine Subscription pro Host und Jahr, die Zugriff auf das stabile Enterprise-Repository und Hersteller-Support liefert. Für den Produktivbetrieb ist eine Subscription empfehlenswert, technisch aber nicht zwingend.
Aktuell ist Proxmox Mail Gateway 9.1, veröffentlicht am 11. Juni 2026. Die Version basiert auf Debian 13.5 (Trixie) mit Linux-Kernel 7.0 und bündelt unter anderem SpamAssassin 4.0.2, ClamAV 1.4.4 und PostgreSQL 17. Neu sind Verbesserungen bei der Quarantäne und clientseitige Backup-Verschlüsselung mit Schlüsselverwaltung.
PMG kombiniert bewährte Open-Source-Komponenten: Postfix als Mail-Transfer-Agent, SpamAssassin für die Spam-Bewertung sowie ClamAV für den Virenscan. Dazu kommen Greylisting, DNS-basierte Blocklisten (RBL/DNSBL), SPF-, DKIM- und DMARC-Prüfung sowie ein eigenes Regelwerk. Aus diesen Signalen berechnet PMG einen Spam-Score und entscheidet über Annahme, Quarantäne oder Ablehnung.
Ja. Mehrere PMG-Knoten lassen sich zu einem Cluster verbinden, der Konfiguration, Regeln und Quarantäne-Datenbank synchron hält. Per DNS-MX-Einträgen mit gleicher Priorität wird die Last verteilt, und fällt ein Knoten aus, übernimmt ein anderer. Das sorgt für Hochverfügbarkeit und Skalierung bis zu mehreren Millionen E-Mails pro Tag.
Cloud-Spamfilter wie Microsoft Defender for Office 365 oder Proofpoint laufen als SaaS beim Anbieter. PMG betreiben Sie selbst, in der eigenen Infrastruktur oder bei einem EU-Hoster. Damit bleiben Mail-Metadaten und Quarantäne-Inhalte in Ihrer Hand, was für Datenschutz, DSGVO und Datensouveränität relevant ist. Der Preis dafür ist der Betriebsaufwand für Updates, Tuning und Monitoring.
Ja. PMG filtert nicht nur eingehende, sondern auch ausgehende Nachrichten. So lassen sich virenverseuchte oder als Spam eingestufte Mails aus dem eigenen Netz abfangen, bevor sie die Reputation der eigenen Domain beschädigen. Außerdem kann PMG ausgehende Mails per DKIM signieren.
Mehr zu Proxmox
- Was ist Proxmox?
- LXC vs KVM
- Proxmox vs Docker
- Storage: ZFS, Ceph & LVM
- Was kostet Proxmox?
- Proxmox vs VMware
- Von VMware zu Proxmox migrieren
- Nachteile & Eignung
- Proxmox installieren
- Proxmox auf Hetzner einrichten
- Hardware & Sizing
- Proxmox VE 8 auf 9 upgraden
- Subscription-Warnung entfernen
- Proxmox Troubleshooting (in Arbeit)
- HA-Cluster mit Proxmox aufbauen
- Cluster-Netzwerk auf Hetzner (vSwitch)
- Cluster-Netzwerk auf OVH (vRack)
- Cluster-Netzwerk auf IONOS (VLAN)
- Was ist Proxmox Backup Server?
- Proxmox Backup Server offsite (Pull-Architektur)
- Verschlüsselte Backups mit Hetzner Storage Box
- Was ist Datacenter Manager?
- Was ist Mail Gateway?
- Server mieten & Hosting
