Wir kümmern uns um deine Mail-Infrastruktur.

Vom ersten v=DMARC1; p=none bis zur durchgesetzten p=reject-Policy ohne dass legitime Mails kaputt gehen. Wir ziehen die Reise mit dir durch — datengetrieben, nicht raterisch.

• Bestandsaufnahme: SPF-Records, DKIM-Selektoren, bestehende DMARC-Status
• Sender-Inventar inkl. Drittsender (Mailchimp, SendGrid, Klaviyo, Pipedrive, …)
• SPF-Records ohne 10-Lookup-Trap (Flattening, Macro-Strategien)
• DKIM-Selektor-Rotation & Multi-Sender-Setup
• DMARC-Reise: none → quarantine → reject mit RUA-Aggregator-Backing
• Sub-Domain-Strategie (sp=) für Marketing- vs. Transactional-Domains

Inbound-Gateway zwischen Internet und deinem Mailserver — Anti-Spam, Anti-Malware, Sandboxing, Quarantäne. Outbound-Gateway für Reputation und DLP. Self-hosted oder Managed.

• Setup & Tuning von Inbound-Gateways (Postfix-vorgelagert oder Cloud)
• Anti-Spam-Engine-Tuning (Rspamd-Bayes, neuronale Filter, RBL-Pflege)
• Sandbox-Anbindung für Anhänge (Defender, ClamAV, externe APIs)
• Quarantäne-Konzepte: zentral vs. User-Self-Service (Daily-Digest)
• Outbound-Gateway: Rate-Limit, DLP-Regeln, IP-Warm-up
• Greylisting-Strategien, Backscatter-Schutz, SPF-Reject-Policies

Default-Quarantäne in M365 schickt einmal eine sterile Mail, die in 90 % der Fälle ignoriert wird. Echte Quarantäne-Workflows brauchen klare Notifications, einfache Self-Release-UX und einen Eskalations-Pfad zum MSP, wenn der User unsicher ist.

• End-User-Quarantäne-Digest — täglich, gebrandet, mit klaren „Freigeben"-Buttons
• Custom-Quarantine-Policies pro Threat-Typ (Phish, High-Confidence-Phish, Malware, Bulk)
• Self-Release-Workflows für Bulk & Spam — gesperrt für Phish/Malware (zur MSP-Eskalation)
• Release-Approval-Routing — High-Risk-Releases gehen erst zum Admin/MSP, nicht direkt zum User
• „Frag den MSP"-Button im Digest — Mail an dein Support-Postfach, mit Mail-Kontext
• Audit-Log für jede Release-Aktion — Compliance-Nachweis bei Vorfällen
• Whitelist-Vorschläge automatisch aus wiederholten False-Positives

Default-Konfiguration in den meisten Tenants: ein Postfach postmaster@, das niemand liest. Echte Mail-Security braucht differenzierte Alert-Pfade — Real-Time, Daily-Digest, MSP-Eskalation — getrennt nach Schweregrad.

• Real-Time-Alerts bei: Mass-Mail-Outbound, Compromised-User-Detection, gesperrtem Outbound-Sender, ungewöhnlichem Forward-Setup
• Daily-Digest für: Quarantäne-Volumen, Top-Spoofer, neue DMARC-Quellen, Pass-Rate-Trends
• Spike-Alerts wenn Pass-Rate plötzlich kippt (mind. 1× pro Tag aus DMARC-Reports)
• Eskalations-Pfade: User → Admin → MSP, mit definierten SLAs pro Stufe
• Slack/Teams-Integration — Alerts direkt in deinen Incident-Channel statt in einen unbeachteten Inbox
• PagerDuty/OpsGenie-Anbindung für 24/7-Setups
• SIEM-Forwarding (Sentinel, Splunk, Elastic) — Audit-Logs & Quarantäne-Events strukturiert weiterleiten
• Stille-Detection — Alarm wenn DMARC-Reports plötzlich ausbleiben (oft Zeichen dass deine Mailbox kaputt ist)

SeppMail ist der Schweizer Standard für sichere E-Mail-Kommunikation — automatisch S/MIME-Signatur, OpenPGP, einfacher Domain-Encryption, plus „GINA"-Webmail-Portal für Empfänger ohne eigene Krypto-Infrastruktur. Wir setzen SeppMail Appliance oder SeppMail.cloud auf, integrieren in deinen Mailserver oder M365-Tenant, und bringen Policy-Roll-out durch.

• Setup & Integration — Appliance (on-prem/colo) oder SeppMail.cloud, dazu Mail-Routing über deinen bestehenden Server
• Domain-Verschlüsselung — automatisch verschlüsselte Mails zu Partner-Domains ohne User-Interaktion
• S/MIME & OpenPGP — automatische Schlüssel-Verwaltung, kein manuelles Zertifikate-Hin-und-Her
• GINA-Webmail — Empfänger ohne Krypto kriegen einen Link, lesen die Mail im Browser per Passwort
• DLP & Content-Scan — Mails mit „vertraulich" im Subject automatisch verschlüsseln
• FINMA- und revDSG-Konformität — Audit-Trail, Mail-Archivierung, Schlüssel-Backup
• M365-Connector-Setup — sauber gegen EOP konfiguriert, kein DMARC-Bruch

HIN (Health Info Net) ist die de-facto Pflicht-Plattform für Spitäler, Praxen, Apotheken und Versicherer in der Schweiz — sichere Mail, gesicherter Patientendaten-Austausch, Telematikdienste, EPD-Anbindung. Wir setzen HIN sauber gegen deine bestehende Mail-Infrastruktur auf und kümmern uns um die Compliance-Doku.

• HIN-Mail-Setup — Anschluss an dein Postfach (M365, Exchange, Mailcow, IMAP), Routing für @hin.ch-Adressen
• HIN Client & Mobile-Setup für alle Mitarbeitenden — Single-Sign-On wo möglich
• HIN Sign & HIN Encrypt — Signieren und Verschlüsseln innerhalb & außerhalb des HIN-Netzes
• Spital/Praxis-Integration — KIS/PIS/PRAX-Anbindung (Sumex, Triamun, Vitomed, MediWin, etc.)
• EPD-Vorbereitung (Elektronisches Patientendossier) — Anschluss an Stammgemeinschaft/zertifizierte Plattform
• Compliance-Doku — KVG, Datenschutzgesetz Gesundheitsbereich, FMH-Anforderungen
• Übergänge zu SeppMail sauber regeln — wenn HIN intern, SeppMail extern

Mail-Setup ist nur ein Teil — die andere Hälfte ist was du damit machst. Wir bauen Newsletter-Stacks (Brevo, Mailchimp, ActiveCampaign), integrieren in dein CRM, automatisieren Sales-Sequenzen und verbinden Ticketsysteme so, dass Mail-Auth (SPF, DKIM, DMARC) sauber bleibt — kein p=quarantine-Stolperstein für deine Marketing-Mails.

• Brevo (Sendinblue) — Setup mit Custom-DKIM & Domain-Authentifizierung, sauber DMARC-aligned
• Mailchimp / ActiveCampaign / Klaviyo — Onboarding inkl. SPF-Include & DKIM-CNAME
• Microsoft Dynamics, HubSpot, Pipedrive, Salesforce — Mail-Integration, Sender-Authentifizierung, Reply-Tracking
• CRM-Workflow-Automation — Make/Zapier/n8n/Power Automate-Flows für Lead → Mail → Ticket → CRM
• Ticket-Systeme — Zammad, Freshdesk, Zendesk, Halo, OTOBO — Mail-Integration mit korrekter Reply-Authentifizierung
• Transactional-Mail — Postmark, Mailgun, SES für System-Mails & Receipts (anders als Marketing-Mail-Stack!)
• Bounce- & Complaint-Handling — Listen sauber halten, Reputation schützen
• BIMI-Roll-out für Marketing-Domains — dein Logo neben jeder Newsletter-Mail in Gmail/Yahoo/Apple

Du willst die Hoheit über deine Mail-Daten zurück? Wir setzen Mailcow professionell auf — gehärtet, monitored, dokumentiert. Migrieren von Exchange, IONOS, Strato, Kerio.

• Mailcow-Setup von Null inkl. Hardening (Fail2Ban, IP-Limits, MTA-Tuning)
• Migration von Exchange / IONOS / Strato / Kerio — mit IMAP-Sync und User-Mapping
• Backup-Strategie: borgbackup, restic oder S3-Snapshots inkl. Restore-Tests
• SOGo / Roundcube Webmail-Anpassung & SSO
• Rspamd-Tuning, ClamAV-Anbindung, DKIM-Selector-Management
• Performance-Tuning bei 100+ Postfächern (Redis, Dovecot-Quota, Memcached)
• 24/7-Monitoring (Mail-Queue, Disk, Cert-Ablauf, RBL-Listings)

Die „nächste Schicht" über DMARC. Wer ernsthaft moderne Mail betreibt, hat diese Standards an Bord — und liefert damit gleichzeitig Compliance-Nachweise.

• MTA-STS — Policy-Hosting, DNS-Records, Validierung; auch Reseller-fähig
• TLS-RPT — Reporting-Endpunkt-Setup & Auswertung
• BIMI — Logo-Anzeige in Gmail/Yahoo/Apple inkl. VMC-Beratung (DigiCert/Entrust)
• ARC — Authentication-Chain für Mailing-Listen & Forwarding-Szenarien
• DANE / DNSSEC für TLSA-Records auf MX
• OpenPGP/SMIME-Roll-out im Unternehmen

DMARC und Mail-Auth sind in fast jedem Cyber-Framework explizit oder implizit gefordert. Wir mappen deinen aktuellen Stand gegen die Anforderungen und liefern Auditor-tauglich.

• FINMA-Rundschreiben 2023/1 — operationelle Resilienz
• revDSG / DSGVO — Audit-Log, Datenexport, AVV/DPA
• ISO/IEC 27001:2022 — Annex A.13 Communication Security
• NIS2 Art. 21 — Mail-Auth als Pflicht-Maßnahme
• NIST SP 800-177 Rev. 1 — Trustworthy Email
• CIS Controls v8 — Control 9.5 (DMARC explizit)
• Auditor-tauglicher Bericht: Tool-Beitrag vs. Kunden-Pflicht klar abgegrenzt