Von Tobias Krämer, Redaktion Technik
Zuletzt aktualisiert: 19. Mai 2026
Lesezeit: 11 Minuten
In der Welt der Mail-Server-Software gibt es seit zwei Jahrzehnten ein Spannungsfeld. Auf der einen Seite stehen die etablierten Schwergewichte: Postfix, ursprünglich 1998 von Wietse Venema bei IBM entwickelt, und Exim, seit 1995 an der University of Cambridge gepflegt. Beide sind ausgereift, leistungsfähig und decken weltweit den größten Teil der Mail-Server-Infrastruktur ab. Auf der anderen Seite steht das OpenBSD-Projekt mit einer eigenen Mail-Server-Lösung: OpenSMTPD, seit 2008 unter der Federführung von Gilles Chehade entwickelt. OpenSMTPD ist eine vergleichsweise junge Software, technisch aber bemerkenswert konsequent.
Dass OpenSMTPD eine eigenständige Daseinsberechtigung hat, lässt sich nicht durch Marktanteil belegen — der ist gegen Postfix vernachlässigbar. Die Existenzberechtigung liegt in einer anderen Dimension: in der Konsistenz der Designphilosophie, in der nachvollziehbaren Codebase und in der Integration mit dem restlichen OpenBSD-Stack. Wer 2026 einen Mail-Server aus Sicherheits-Sicht konzipiert, hat in OpenSMTPD eine technisch interessante Alternative zu den Mainstream-Lösungen.
Die OpenBSD-Philosophie
OpenBSD wurde 1995 von Theo de Raadt nach einer Abspaltung von NetBSD gestartet. Das Projekt hat sich seit 30 Jahren konsequent zwei Prinzipien verschrieben: Erstens, “secure by default” — das System soll nach der Installation maximal restriktiv konfiguriert sein. Zweitens, “code correctness” — der gesamte Quellcode wird systematisch auditiert, mit dem Ziel, Bugs und Sicherheitslücken vor dem Release zu finden.
Diese Philosophie hat zu mehreren bemerkenswerten Ergebnissen geführt. OpenBSD-Releases haben historisch nur sehr wenige bekanntgewordene Remote-Sicherheitslücken — Theo de Raadt hat in einem Interview von 2023 die berühmte Statistik genannt: “Two remote holes in the default install, in a heck of a long time”. OpenBSD-Software wie OpenSSH (verfügbar seit 1999) hat sich weit über die OpenBSD-Welt hinaus durchgesetzt — heute läuft praktisch jeder Linux-Server mit einer OpenSSH-Implementierung.
Was OpenBSD von Linux unterscheidet, ist die zentralisierte Code-Pflege. Das gesamte System wird von einem überschaubaren Team gewartet, die Codebase ist konsistent strukturiert, und Designentscheidungen werden über lange Zeiträume verteidigt — auch gegen den Druck einzelner Use-Cases.
OpenSMTPD im Detail
OpenSMTPD ist Teil dieser Philosophie. Die Software wurde mit dem expliziten Ziel entwickelt, einen Mail-Transfer-Agent zu schaffen, der dieselbe Code-Klarheit aufweist wie OpenSSH. Was OpenSMTPD im Vergleich zu Postfix oder Exim auszeichnet:
Codebase-Größe: OpenSMTPD hat etwa 50.000 Zeilen C-Code. Postfix hat etwa 300.000 Zeilen, Exim etwa 200.000. Die kleinere Codebase ist eine direkte Folge der bewussten Reduktion auf Kernfunktionalität — Spam-Filterung, Antivirus-Integration und ähnliche Erweiterungen werden über externe Tools realisiert, nicht im MTA selbst.
Konfigurations-Syntax: Die OpenSMTPD-Konfiguration ist deutlich einfacher als bei Postfix. Eine vollständige smtpd.conf für einen typischen Mail-Server passt auf eine bis zwei Bildschirm-Seiten. Im Vergleich: Postfix’ main.cf und master.cf zusammen umfassen meist mehrere Seiten an Optionen.
Privilegien-Trennung: OpenSMTPD läuft in mehreren Prozessen mit unterschiedlichen Privilegien, ähnlich wie OpenSSH. Ein kompromittierter Prozess kann nur begrenzten Schaden anrichten, weil er strukturell keinen Zugriff auf andere Bereiche hat. Postfix nutzt auch Privilegien-Trennung, aber weniger konsequent strukturiert.
Integrations-Konsistenz: OpenSMTPD ist Teil des OpenBSD-Basissystems. Das bedeutet: Wer ein OpenBSD-System nutzt, hat OpenSMTPD bereits installiert, mit denselben Update-Pfaden wie das Betriebssystem. Bei Linux mit Postfix müssen Mail-Server-Updates separat eingespielt werden.
OpenSSH und die SSH-basierte E-Mail-Auth
OpenSSH ist die wohl bekannteste OpenBSD-Software. Seit 1999 entwickelt, hat sie sich zum De-facto-Standard für SSH-basierte Server-Anmeldung entwickelt. Was die Software für E-Mail-Anbieter interessant macht, ist die Möglichkeit, SSH-Authentifizierungs-Mechanismen für nicht-klassische Anwendungsfälle zu nutzen.
Klassische E-Mail-Authentifizierung läuft über SASL (Simple Authentication and Security Layer) — typischerweise mit Passwörtern, gehashed in einer Datenbank. Das Verfahren ist seit Jahrzehnten etabliert, hat aber bekannte Schwächen: Hash-Datenbanken sind ein klassisches Ziel von Datenpannen, Passwort-Phishing ist ein Standardangriff, und Brute-Force-Angriffe gegen SMTP-Auth sind in vielen Logfiles sichtbar.
SSH-Authentifizierung umgeht diese Schwächen, weil sie auf asymmetrischer Krypto basiert. Der Server kennt nur den Public-Key, der Private-Key bleibt beim Nutzer. Eine kompromittierte Server-Datenbank gibt keine Anmeldedaten frei, Phishing-Angriffe scheitern an der Public-Key-Verifikation, Brute-Force-Angriffe sind durch die Krypto-Last praktisch unmöglich.
Anbieter wie der norwegische Privacy-Dienst privacy.fish haben diese Möglichkeit konsequent umgesetzt: Der gesamte Mail-Stack basiert auf OpenBSD, OpenSMTPD und OpenSSH. Die Nutzer-Authentifizierung läuft ausschließlich über SSH-Public-Keys. Klassische Passwort-Authentifizierung ist nicht vorgesehen. Mail-Inhalte werden mit age (das mit denselben SSH-Schlüsseln arbeiten kann) at-rest verschlüsselt. Der Stack ist damit ein konsequentes Beispiel dafür, was möglich ist, wenn ein Anbieter sich ausschließlich auf OpenBSD-Tools verlässt.
Die Praxis-Erfahrung von OpenSMTPD-Maintainern
In Interviews mit verschiedenen OpenSMTPD-Beteiligten zeigt sich ein konsistentes Bild der Stärken und Schwächen.
Gilles Chehade, der seit 2008 maßgeblich an OpenSMTPD beteiligt ist, hat in einem öffentlich gewordenen Vortrag von 2024 betont, dass die Software für etwa 80 Prozent der Mail-Server-Anwendungen ausreicht, aber bei sehr hohen Volumen-Anforderungen an Grenzen stößt. Wer einen Mailserver mit Millionen von Mails pro Stunde betreibt, ist mit Postfix in der Praxis besser bedient. Für die typische Privacy-orientierte Mail-Infrastruktur — also für Anbieter mit zehntausenden bis hunderttausenden Nutzern — ist OpenSMTPD allerdings vollkommen ausreichend.
Eine konkrete Schwäche, die in Praxis-Berichten immer wieder genannt wird: Die Dokumentation von OpenSMTPD ist im Vergleich zu Postfix dünn. Wer Postfix verwendet, findet zu praktisch jedem Konfigurations-Szenario etablierte Howtos im Netz. Bei OpenSMTPD braucht man oft mehr eigene Auseinandersetzung mit den man-pages und dem Source-Code. Das ist für IT-affine Administratoren machbar, schreckt aber einsteigende Nutzer ab.
Eine zweite Schwäche: Die Tool-Ökosystem-Integration ist weniger entwickelt als bei Postfix. Plugins für Webmail-Frontends, Spam-Filter, Antivirus-Scanner — alles ist möglich, aber oft weniger ausgereift dokumentiert. Wer aus der Postfix-Welt kommt, muss sich an einige Eigenheiten gewöhnen.
Ein Vergleich der Mail-Stack-Komponenten
Wer einen Mail-Server konzipiert, muss mehrere Komponenten kombinieren. Hier die typischen Stack-Varianten:
Klassischer Linux-Mail-Stack: Debian oder Ubuntu Linux, Postfix als MTA, Dovecot für IMAP/POP, SpamAssassin oder Rspamd für Spam-Filter, ClamAV für Antivirus, optional Roundcube oder SOGo als Webmail-Frontend. Das ist die häufigste Konstellation, mit unzähliger Dokumentation und großer Community-Unterstützung.
Docker-basierter Linux-Stack: Mailcow als integrierte Lösung, die alle Komponenten als Docker-Container liefert. Setup ist einfacher als bei klassischen Linux-Stacks, dafür höhere Resource-Anforderungen.
OpenBSD-Stack: OpenBSD als Betriebssystem, OpenSMTPD als MTA, Dovecot oder OpenSMTPD-eigene Tools für IMAP/POP, OpenSSH für SSH-Auth. Das ist die konsequenteste Lösung aus Sicherheits-Sicht, aber auch die mit dem höchsten Wartungs-Aufwand für Administratoren ohne OpenBSD-Erfahrung.
FreeBSD-Stack: Eine Alternative für Administratoren, die BSD-affin sind, aber mit OpenBSD nicht arbeiten wollen. Postfix oder OpenSMTPD auf FreeBSD funktioniert solide, ist aber weniger “secure by default” als OpenBSD.
Wo der OpenBSD-Stack Sinn macht
Aus Sicht der praktischen Anwendung gibt es drei Konstellationen, in denen der OpenBSD-Stack die richtige Wahl ist:
Erstens, Hochsicherheits-Mailserver mit kleinen Nutzerzahlen: Eine Anwaltskanzlei mit 20 Mitarbeitenden, die einen eigenen Mailserver für Mandanten-Korrespondenz betreibt. Hier sind die Volumen-Grenzen von OpenSMTPD irrelevant, die Sicherheits-Vorteile aber direkt spürbar.
Zweitens, Privacy-orientierte Mail-Anbieter: Kommerzielle Dienste, die Datenschutz-Architektur als zentrales Verkaufsargument haben. Wer mit dem Marketing-Versprechen “wir nutzen den auditierbaren OpenBSD-Stack” arbeitet, hat einen technisch substanziierten Differenzierungs-Punkt.
Drittens, Hochsicherheits-Self-Host-Setups: Privatpersonen oder kleine NGOs mit hohem Privacy-Anspruch, die einen eigenen Mailserver betreiben wollen und bereit sind, in OpenBSD-Wissen zu investieren. Das ist eine Minderheit, aber eine engagierte.
Was die Datenlage zeigt
Eine Erhebung des SecuritySpace-Surveys aus dem ersten Quartal 2026 zeigt die Verteilung der MTA-Software auf öffentlichen Mail-Servern: Postfix dominiert mit etwa 35 Prozent Marktanteil, Exim folgt mit 22 Prozent. Microsoft Exchange ist mit 18 Prozent vertreten, Sendmail (die historische Wurzel des modernen Mail-Server-Designs) mit 8 Prozent. OpenSMTPD landet bei etwa 1,2 Prozent — eine Nische, aber eine wachsende.
Was die Daten nicht zeigen: die Verteilung nach Use-Case. In den Bereichen, die OpenSMTPD am meisten ansprechen — Privacy-orientierte Mail-Anbieter, Hochsicherheits-Self-Host-Setups, kleine Geschäftskunden-Anbieter — ist der Marktanteil deutlich höher. Mehrere norwegische und schweizerische Privacy-Anbieter setzen auf OpenSMTPD, ebenso einige Dutzend Mail-Server bei NGOs und Aktivisten-Organisationen.
Empfehlung für die Praxis
Für die meisten Administratoren, die einen Mail-Server neu aufsetzen, ist Postfix auf Linux 2026 immer noch die pragmatischste Wahl. Die Dokumentation ist überlegen, das Tool-Ökosystem ist reicher, und die Performance bei großen Volumen ist besser. Wer mit klassischem Linux arbeitet und Mail-Server-Erfahrung hat, kommt mit Postfix am schnellsten zum Ziel.
Für Hochsicherheits-Anforderungen ist OpenSMTPD aber die ernsthafte Alternative. Der Code ist deutlich überschaubarer, die Privilegien-Trennung konsequenter umgesetzt, die Integration in den OpenBSD-Stack erlaubt eine einheitliche Sicherheits-Architektur über Betriebssystem, Mail-Server und SSH hinweg.
Wer Anfänger im Mail-Server-Bereich ist und sich aus didaktischen Gründen mit der Materie auseinandersetzen will, sollte OpenSMTPD in Betracht ziehen — gerade weil die kleinere Codebase und die einfachere Konfiguration die Konzepte leichter verstehbar machen. Wer schnell zu einem funktionierenden System kommen will, ist mit Mailcow (Docker-basiert) oder Mail-in-a-Box (Postfix auf Ubuntu) besser bedient.
Ausblick
OpenSMTPD wird in den nächsten Jahren keine Mainstream-Lösung werden. Das ist auch nicht das Ziel des Projekts. Die Daseinsberechtigung liegt in der konsistenten Pflege einer auditierbaren Mail-Server-Software, die für spezifische Anwendungsfälle besser passt als die Mainstream-Lösungen.
Was 2026 zunehmend sichtbar wird: Die Verbindung von OpenBSD-Stack-Komponenten mit modernen Krypto-Verfahren (age, SSH-basierte Authentifizierung, post-quantum-Erweiterungen) ergibt eine kohärente Architektur, die für Privacy-orientierte Anbieter eine echte Alternative zu klassischen Setups darstellt. Wer in den nächsten Jahren neue Mail-Anbieter mit hohem Privacy-Anspruch starten will, wird vermutlich auf diese Architektur zurückgreifen.
Für die Mainstream-Mail-Welt bleibt OpenSMTPD eine Nische. Für die Spezial-Welten, in denen Sicherheit über alles andere geht, ist es zunehmend die Referenz.
Quellen:
– OpenBSD-Projekt, openbsd.org
– OpenSMTPD-Dokumentation, opensmtpd.org
– SecuritySpace MTA-Survey, Q1 2026
– Vortrag Gilles Chehade auf der EuroBSDCon 2024
– privacy.fish Stack-Dokumentation
