Holdings, Verbände und IT-Dienstleister stehen oft vor demselben Problem: zehn Domains, zehn unterschiedliche Spam-Filter, zehn Quarantäne-Postfächer, zehn Reporting-Welten. Eine zentrale Mail-Security-Infrastruktur wäre günstiger, sicherer und besser auditierbar – wenn sie pro Domain unterschiedlich konfigurierbar bleibt.
Das Problem mit „einer Domain pro Gateway"
Klassische On-Prem-Lösungen werden gerne pro Mandanten dupliziert: ein Gateway für die Holding, eines für die Tochter A, eines für die Tochter B. Jede Instanz braucht eigenes Patching, eigene Lizenz, eigenes Monitoring. Skaliert mit dem Wachstum, aber nicht mit den Personalkosten der IT.
Die Idee: Domain-Registry im Mail-Security-Gateway
SecTepe.Comm löst das mit einer zentralen Domain-Registry im Mail-Security-Gateway. Jede Domain ist ein Datenbank-Eintrag mit eigenen Eigenschaften:
- Pro-Domain-Direction-Policies: Inbound und Outbound können unterschiedlich streng sein. Eine Marketing-Domain braucht andere Outbound-Regeln als eine Steuerberatungs-Domain.
- Pro-Domain-Quarantäne: Mails landen in der Quarantäne der jeweiligen Domain – inkl. eigener Release-Approver-Gruppe.
- Pro-Domain-DLP: Die Outbound-DLP-Policies referenzieren die Domain. Eine Tochter mit Kreditkartenverarbeitung kann strikter sein als die Schwester ohne.
- Pro-Domain-Statistiken: Dashboards filtern automatisch pro Domain – jeder Mandant sieht nur seine Zahlen.
Auto-Bootstrap beim Deployment
Eine neue Domain wird üblicherweise an drei Stellen konfiguriert: DNS (MX/SPF/DKIM/DMARC), Mailcow (Domain & Mailboxen anlegen) und Gateway (Policy-Set). SecTepe.Comm automatisiert die Mailcow-Seite über die Mailcow-API und seedet das Default-Policy-Set bei Container-Start aus den Umgebungs-Variablen DOMAIN und MAIL_ADDITIONAL_DOMAINS. So ist eine neue Mandantendomain in 10 Minuten produktiv – inklusive ZAP (Zero-Hour Auto Purge) gegen retroaktiv erkannte Bedrohungen.
Direction-Detection: woher weiß das Gateway, ob eine Mail rein oder raus geht?
Klingt trivial, ist es aber nicht: ein Gateway, der zwischen Postfix und Internet sitzt, sieht von beiden Seiten dieselben TCP-Verbindungen. SecTepe.Comm löst das, indem es Sender- und Empfänger-Domain gegen die Domain-Registry prüft: ist der Sender eine lokale Domain → outbound; ist der Empfänger eine lokale Domain → inbound; sonst → relay. Die Policy-Auswahl hängt direkt an dieser Direction.
UI-gestütztes Domain-Management
Das Anlegen einer neuen Domain läuft komplett über das Web-UI: Domain eintragen, Policy wählen, „Provision in Mailcow" klicken – fertig. Wer die Domain wieder entfernt, hat einen sicheren „retroaktive ZAP"-Knopf, der alle Mails dieser Domain aus den Postfächern entfernt, bevor die DNS-Einträge gelöscht werden.
Was es operativ verändert
- Eine Plattform statt N – ein Patch-Zyklus, ein Monitoring-Bord, ein Audit.
- Konsistente Policy-Defaults durch Templates – was bei der Holding gilt, gilt automatisch bei der neuen Tochter.
- Mandantentrennung trotz gemeinsamer Infrastruktur – jeder Domain-Owner sieht nur seine Daten.
- Schnellere M&A-Integration: eine zugekaufte GmbH ist binnen Stunden im Mail-Security-Schutz.
Fazit
Multi-Domain-Mail-Security ist 2026 kein Nice-to-have, sondern für jede Organisation mit mehreren Geschäftsbereichen oder Tochtergesellschaften eine Effizienz- und Sicherheitsfrage. Die Kombination aus zentraler Plattform und feingranularer Policy-Hoheit pro Domain ist der pragmatische Weg dorthin – und Voraussetzung dafür, dass NIS-2-Audits auch in komplexen Konzernstrukturen durchführbar bleiben.