SMTP-Security-Gateway

Das einzige E-Mail-Gateway, das aktiv-aktiv ohne Master clustert.

Self-hosted. Open-Source-Stack. DSGVO per Architektur. NetCell MailGuard schaltet sich per MX-Record vor Ihren bestehenden Mailserver — Spam, Phishing und Malware werden lokal auf Ihren Servern gefiltert. Keine Cloud, keine US-Drittanbieter, kein Datenexport.

Preise ansehen Architektur erklärt
curl -fsSL https://get.netcell-mailguard.de | sudo bash

Debian 12/13 · amd64 + arm64 · Single-Node oder Cluster
Voraussetzung: sudo und curl sind installiert.

NetCell MailGuard Admin-Dashboard — Mail-Verkehr, Threat-Radar, Bayes & Neural Klassifikator-Statistiken
0

Cloud-Abhängigkeiten — alles auf Ihren Servern

Cluster-Nodes — kein Quorum, kein Master/Replica

14

Detection-Layer — von DNSBL bis Anhangs-Sandbox

DSGVO

per Architektur — Made in Germany, kein Datenexport

Made in Germany

DSGVO per Architektur — keine Compliance-Akrobatik nötig.

Cloud-Anbieter wie Mimecast, Proofpoint und Hornetsecurity routen jede E-Mail durch fremde Infrastruktur. Für Anwälte, Steuerberater, Krankenhäuser, Behörden und alle unter strikter DSGVO-/BDSG-Aufsicht ist das ein Compliance-Albtraum mit Auftragsverarbeitungsverträgen, Drittland-Übermittlung und Standardvertragsklauseln. NetCell MailGuard läuft auf Ihrem Server, in Ihrem Rechenzentrum — die Mail verlässt nie Ihre Infrastruktur.

Kein Auftragsverarbeitungsvertrag Sie sind selbst Verarbeiter — nichts geht an Dritte. AVV nach Art. 28 DSGVO entfällt komplett.
Keine Drittland-Übermittlung Alle Komponenten bleiben in der EU/im EWR — kein Schrems-II-Risiko, keine Standardvertragsklauseln nötig.
Lückenloses Audit-Log Jede Admin-Aktion, jede Quarantäne-Freigabe, jede Policy-Änderung mit Zeitstempel und Akteur — Pflicht-Nachweis für Art. 5 (1) f.
Hersteller in Deutschland NetCell IT, Leverkusen — deutscher Support, deutsche Verträge, kein US-Cloud-Act-Zugriff.

DSGVO-Argument im Detail →

Funktionsumfang

Acht Features, die uns vom Markt absetzen.

Standardfunktionen wie SPF/DKIM/DMARC haben alle Anbieter. Diese acht Punkte sind unsere echten Differenziatoren.

Active-Active ohne Master

Jeder Cluster-Node ist gleichberechtigter Peer — kein Failover, kein Promote, kein Quorum. Konfiguration und State werden verschlüsselt zwischen allen Nodes synchronisiert. Skaliert horizontal ohne Limit.

DSGVO per Architektur

Self-hosted, kein Datenexport, kein Cloud-Provider zwischen Sender und Empfänger. Keine AVV-Verträge, keine Drittland-Klauseln. Anwälte, Steuerberater, Behörden, Krankenhäuser sind die Zielgruppe.

Anhangs-Sandbox lokal

Verdächtige Office-, PDF- und Archive-Anhänge werden in einer isolierten Sandbox auf Ihrem Server detoniert — nicht zu einem Cloud-Sandbox-Anbieter geschickt. Eigene Detection-Regeln pflegbar.

DACH-Phishing-Detection

Pattern für deutschsprachige Phishing-Wellen: Konto gesperrt, Steuererstattung, GEZ, Klarna, DHL-Paket, Apple-ID. Englisch-trainierte Cloud-Modelle erkennen das oft nicht.

End-User-Quarantäne-Portal

Empfänger bekommen täglich einen Digest mit Single-Click-Release. Kein Admin-Eingriff für False-Positives, kein „Können Sie mal die Mail freischalten"-Ticket. Token-basiert, sicher.

Whitelabel-Branding

Eigenes Logo, eigener Produktname, eigene Digest-Subjects als globale Cluster-Identität. Reseller verkaufen MailGuard unter eigener Marke — Endkunden sehen nicht „NetCell MailGuard".

API-first mit OpenAPI

Jede UI-Funktion auch über REST-API. API-Keys mit Scope und Rate-Limit, OpenAPI-Spec als versionierter Vertrag, Webhook-Hooks für Quarantäne- und Reputation-Events.

Per-Domain-Policies

Quarantäne-Schwelle, Detection-Policy, DKIM-Keys, DMARC-Reporting, Mail-Filter-Listen, Header-Rewrite — alles pro Domain individuell. Operator-Team verwaltet alle Domains zentral aus einem UI.

Alle Features im Detail →

Anhangs-Sandbox

Detonation auf Ihrem Server, nicht in fremder Cloud.

Verdächtige Office-Dokumente, PDFs und Archive werden in einer isolierten YARA-Umgebung auf Ihrem Server zur Ausführung gebracht — das Verhalten wird beobachtet, nicht nur die Signatur abgeglichen. Cloud-Anbieter wie Mimecast, Proofpoint und Hornetsecurity laden jeden Anhang in ihre eigene Infrastruktur hoch; bei uns verlässt die Datei nie Ihr Rechenzentrum.

Verhaltens-Detection Auto-execute-Makros, PowerShell-Aufrufe, embedded Executables in PDFs, JavaScript-Heap-Spray — alles wird im Sandkasten beobachtet, nicht nur als Signatur abgeglichen.
Verschachtelte Archive Passwort-ZIPs mit Passwort im Mail-Body, ZIP-Bomben, mehrstufig geschachtelte Container — werden aufgelöst und jede Stufe einzeln detoniert.
Pflegbare YARA-Regeln Operator schreibt eigene .yar-Regeln für neue Bedrohungen, ohne auf das Update-Fenster des Cloud-Herstellers zu warten. CVE-Pattern, Malware-Familien, eigene IoC-Listen.
Verdict-Feedback in rspamd Detonations-Ergebnis (clean/suspicious/virus/phish) fließt als ThreatScore-Boost zurück in die rspamd-Pipeline — Quarantäne oder Reject je nach Schwelle, gleiche Detection-Policy wie alle anderen Layer.

Anhangs-Sandbox im Detail →

Architektur

Jeder Node ist Master.

Kein Failover-Drama bei Hardware-Defekt. Kein Promote-Skript. Keine Split-Brain-Vermeidung. Jeder Knoten verarbeitet eingehende Mails, jeder repliziert Konfigurations-Änderungen an alle anderen, jeder kann jederzeit dazukommen oder weggehen.

   ┌──────────────┐  verschlüsselt  ┌──────────────┐
   │  MailGuard   │ ◀──────────────▶│  MailGuard   │
   │   Node 1     │   Sync          │   Node 2     │
   │              │                 │              │
   │  Detection-  │                 │  Detection-  │
   │  Stack       │ ◀──────────────▶│  Stack       │
   │  + Sandbox   │                 │  + Sandbox   │
   └──────┬───────┘                 └──────┬───────┘
          │                                │
          └────── MX Round-Robin ──────────┘
                       │
                       ▼
              Bestehender Mailserver
              (Linux-MTA / Exchange / Microsoft 365 / Google Workspace)

Architektur im Detail →

Transparente Preise

Free oder Pro. Sie skalieren mit.

Free deckt 1 Domain dauerhaft ab — mit allen Detection-Features. Pro skaliert mit Ihrem Setup: Einstieg ab 29 €/Monat (10 Domains, 1 Server). Domain- und Cluster-Anzahl wählen Sie selbst. Cloud-Mail-Security-Anbieter (Hornetsecurity, Mimecast, Proofpoint, Microsoft Defender for O365) verlangen für vergleichbare Größenordnung 1.000-2.500 €/Monat.

Free

Single-Domain, dauerhaft kostenlos

0 € / dauerhaft
  • 1 Domain · 1 Server
  • Alle 14 Detection-Layer + Sandbox
  • Threat-Feeds + DACH-Phishing-Keywords
  • DKIM/DMARC + Audit-Log + DSGVO-Tools
  • Kein Cluster, kein Portal, kein Whitelabel
Free anfordern ↗

Pro EMPFOHLEN

Domain- und Cluster-Größe wählbar — Einstieg 10 Domains, 1 Server

ab 29 € / Monat
  • Domain-Anzahl wählbar (10/25/50/100/250)
  • Cluster-Nodes wählbar (1-10, +10 €/Node)
  • Alles aus Free + Reporting + End-User-Portal
  • + Whitelabel-Branding + REST-API (full)
  • + E-Mail-Support <48 h
Pro konfigurieren ↗

Custom

Reseller, Enterprise, Sonderverträge

Anfrage / individuell
  • 250+ Domains oder 10+ Nodes
  • SLA + Telefon-Support + Account-Manager
  • On-Premise-Perpetual-Lizenz
  • Reseller-Verträge (Multi-Cluster)
  • SIEM-Anbindung + Audit-Log-Export
Sales kontaktieren

Erstinstallation läuft 30 Tage automatisch im Trial-Mode mit vollem Pro-Funktionsumfang — danach Free oder Pro entscheiden. Komplette Preismatrix ansehen →

FAQ

Häufige Fragen

Was unterscheidet MailGuard von Hornetsecurity oder Mimecast?

MailGuard läuft auf Ihren eigenen Servern — Hornetsecurity, Mimecast und Proofpoint sind Cloud-Services. Bei MailGuard sehen Sie jeden Header, jede Detection-Entscheidung und können das System per Audit-Log nachvollziehen. Keine US-Drittanbieter, keine Datenweitergabe, DSGVO per Architektur.

Wie funktioniert Active-Active ohne Master?

Jeder Cluster-Node ist gleichberechtigter Peer. Konfiguration und State werden verschlüsselt zwischen allen Nodes synchronisiert. Kein Quorum, kein Failover, kein Promote. Neue Nodes joinen mit einem Befehl. Skaliert horizontal ohne Limit.

Brauche ich Cloud-Anbindung?

Nein. MailGuard läuft auf Servern oder VMs in Ihrer eigenen Infrastruktur. Threat-Intel-Feeds (OpenPhish, URLhaus) werden gepullt — die Mails selbst verlassen Ihre Infrastruktur niemals.

Welche Detection-Layer sind aktiv?

14 Schichten: SPF, DKIM, DMARC, ARC, RBL/URIBL, Header-Anomalie-Detection, externe Phishing-Feeds (OpenPhish, URLhaus, PhishTank), URL-Shortener-Resolver, DACH-spezifische Phishing-Keywords, Suspicious-TLD-Self-Learning, Spamscanner mit ML-Klassifikator (statistisch + neural + Reputation), Virenscanner und Sandbox-Detonation für unbekannte Anhänge — alles lokal pro Node.

Kann ich MailGuard als Reseller verkaufen?

Ja, mit zwei Einschränkungen: das Whitelabel-Branding (Logo, Produktname, Primary-Color) ist eine globale Identität pro Cluster — also eine Marke nach außen. Pro Domain individuell konfigurierbar sind die Digest-From-Adresse, DMARC-rua-Adresse und Detection-Policy. Wer eigene Marken pro Endkunde betreiben will, braucht entweder ein Cluster pro Endkunde oder lebt mit einer einheitlichen Reseller-Marke. MailGuard ist Single-Tenant — ein Operator-Team verwaltet alle Domains zentral.

Wie funktioniert das Lizenzmodell?

30 Tage Trial mit vollem Standard-Funktionsumfang, danach Standard 29 €/Server/Monat. Kein Freemium — am Tag 31 endet die Trial-Lizenz und die Mail-Verarbeitung pausiert. Konfiguration bleibt 14 Tage erhalten falls Sie spät zugreifen wollen. Postfächer-Anzahl ist nie ein Limit. Custom-Lizenzen mit SLA, Telefon-Support oder On-Premise-Perpetual auf Anfrage.

Bereit für eigenen Server statt Cloud?

Installieren Sie NetCell MailGuard auf Ihrem eigenen Server. 30 Tage kostenfrei testen, danach 29 € pro Server — keine Kreditkarte für den Trial nötig.

Preise ansehen