App-Passwörter sind separate Passwörter, die Mailclients (Outlook, Apple Mail, Thunderbird) zum Login nutzen — anstatt Deines Hauptpassworts. Du brauchst sie, wenn Du 2FA aktiviert hast (was wir empfehlen), weil Mailclients in der Regel kein TOTP können. Statt für jeden Client ein Workaround zu basteln, nimmst Du pro Client ein eigenes App-Passwort.
Wann brauche ich App-Passwörter?
- 2FA aktiv auf dem Postfach UND Mailclient ohne 2FA-Support → App-Passwort nötig.
- Kein 2FA: Hauptpasswort reicht, App-Passwörter sind optional.
Wir empfehlen, auch ohne 2FA App-Passwörter zu nutzen, wenn Du mehrere Clients hast — falls einer kompromittiert wird, kannst Du nur dessen App-Passwort widerrufen, ohne überall neu konfigurieren zu müssen.
App-Passwort als User selbst anlegen
Über die Mailcow-User-Login-Seite (typisch Hauptseite, dann „User-Login” oder direkt /user/):
- Anmeldung mit Postfach-Adresse + Hauptpasswort + 2FA-Code.
- App-Passwörter → Hinzufügen.
- Im Dialog:
- Name: ein sprechender Name, z.B. „Apple Mail iPhone” oder „Outlook Office-PC”. Damit Du später weißt, welches App-Passwort wozu gehört.
- Erlaubte Protokolle: IMAP, POP3, SMTP, ActiveSync, SOGo — meist alle aktiv lassen, außer Du willst gezielt einschränken.
- Klick Hinzufügen.
Wichtig: Mailcow zeigt das App-Passwort einmal an. Notiere es Dir oder kopiere es direkt in den Mailclient — danach ist es nicht mehr sichtbar.
Format des App-Passworts
Mailcow generiert App-Passwörter im Format xxxx-xxxx-xxxx-xxxx — vier Vierergruppen mit Trennstrichen, insgesamt 16 Zeichen.
In Mailclients trägst Du das App-Passwort genauso ein wie ein normales Passwort. Trennstriche kannst Du mitkopieren oder weglassen — Mailcow akzeptiert beide Varianten.
App-Passwort als Domain-Admin für einen User anlegen
Wenn Du als Domain-Admin für einen Mitarbeiter App-Passwörter generieren willst (etwa weil er sich nicht selbst einloggen will):
- Konfiguration → Mailboxen → Mailbox des Users öffnen.
- Tab App-Passwörter.
- Hinzufügen → Name vergeben → erlaubte Protokolle → Speichern.
Das generierte Passwort kopierst Du und schickst es dem User auf einem sicheren Weg (Passwort-Manager-Sharing, persönlich, niemals per unverschlüsselter Mail).
App-Passwort widerrufen
Wenn ein Gerät verloren geht oder ein Mitarbeiter geht, widerrufst Du das jeweilige App-Passwort:
- Mailcow-User-Login → App-Passwörter (oder als Domain-Admin im Mailbox-Edit).
- Auf das App-Passwort klicken → Löschen.
Sofort wirksam. Der Mailclient wird beim nächsten Login-Versuch abgewiesen, der User muss ein neues App-Passwort einrichten.
Best Practices
Pro Client ein eigenes App-Passwort. Ein App-Passwort für „Apple Mail iPhone”, eines für „Apple Mail Mac”, eines für „Outlook Arbeitsrechner”. So kannst Du gezielt widerrufen, falls ein Gerät weg ist.
Sprechende Namen vergeben. „App-Passwort 1” sagt nichts. „iPhone XS Mai 2026” ist eindeutig.
Regelmäßig aufräumen. Alle 6–12 Monate die App-Passwörter durchgehen, alte gerätelos gewordene löschen. Reduziert Angriffsfläche.
App-Passwörter sind nicht für SOGo Webmail. SOGo Webmail nutzt das Hauptpasswort + 2FA-Code. App-Passwörter sind nur für IMAP/POP3/SMTP/ActiveSync — also externe Mailclients und Mobile-Apps mit ActiveSync.
Welche Mailclients brauchen App-Passwörter?
Aus unserer Erfahrung:
| Client | App-Passwort nötig bei aktivem 2FA? |
|---|---|
| Apple Mail (macOS / iOS) | Ja, immer |
| Outlook 2019 / 2021 / 365 | Ja, immer |
| Outlook für Mac | Ja |
| Thunderbird | Ja |
| Windows Mail / Outlook (Win 10/11) | Ja |
| K-9 Mail / Thunderbird Mobile | Ja |
| Gmail-App (Android) | Ja |
| Standard Android Mail | Ja |
Praktisch alle Standalone-Mailclients brauchen App-Passwörter, sobald 2FA aktiv ist.
Häufige Fragen
Wenn ich 2FA deaktiviere, sind die App-Passwörter dann ungültig? Nein, sie funktionieren weiter. App-Passwörter sind unabhängig vom 2FA-Status — Du kannst sie auch ohne 2FA nutzen, etwa für bessere Trennung pro Client.
Wie viele App-Passwörter kann ich haben? Praktisch unbegrenzt. Pro Postfach sind viele Dutzend möglich — wir haben Setups mit 50+ Apps gesehen.
Was passiert, wenn jemand mein App-Passwort herausfindet? Er kann sich am Mailserver mit Deinem Postfach authentifizieren — IMAP/POP3/SMTP/ActiveSync. Mit dem Hauptpasswort kann er aber nicht auf SOGo zugreifen oder Mailcow-Settings ändern. Daher: wenn Du den Verdacht hast, App-Passwort kompromittiert → sofort löschen, neues anlegen.
Wo kann ich sehen, wann ein App-Passwort zuletzt benutzt wurde? Aktuell zeigt Mailcow keine letzten-Login-Zeitstempel pro App-Passwort. Wenn das wichtig für Dich ist (etwa für Compliance), schreib uns ein Ticket — wir können in den Server-Logs nachschauen.
Brauche ich App-Passwörter, wenn ich nur SOGo Webmail nutze? Nein. SOGo läuft mit Hauptpasswort + 2FA-Code. App-Passwörter sind nur für externe Clients/Apps.
Kann ich App-Passwort und Hauptpasswort parallel für IMAP nutzen? Wenn 2FA aus ist: ja, beide funktionieren. Wenn 2FA an ist: nur das App-Passwort, das Hauptpasswort wird ohne TOTP-Code nicht akzeptiert.
Wie sicher sind App-Passwörter? Sehr sicher, solange Du sie sauber handhabst — pro Client einmal eingeben, nirgends sonst speichern, bei Geräteverlust widerrufen. Sie sind 16-Zeichen-Random-Strings, also gegen Brute-Force praktisch unknackbar.
Was, wenn ich mein Initial-Passwort nicht geändert habe und 2FA aktiviere? Setze beim Aktivieren erstmal ein eigenes Passwort. Sonst hast Du das Problem, dass Du Deinen Hauptlogin nicht mehr nutzen kannst (weil unbekannt) und alle Mailclients über App-Passwörter laufen müssen — was dann schmerzhaft wird, falls Du das Initial-Passwort nicht mehr findest.
Weiter geht’s
Erste Anmeldung als Domain-Admin in der Mailcow-GUI
Nach der Bestellung Deines Mailserver-Tarifs bekommst Du Zugang zur Mailcow-GUI. Hier ein Überblick, was Du als Domain-Admin siehst und wo Du was findest.
Postfächer anlegen, bearbeiten und Quotas setzen
So legst Du als Domain-Admin neue Mailadressen an, vergibst Speicher-Quotas, änderst Passwörter und löscht Postfächer wieder.
Aliase und Catchall einrichten
Mehrere Mailadressen auf ein Postfach umleiten — info@, kontakt@, presse@ alles in eine Mailbox. Plus Catchall für alle Tippfehler-Adressen.
Domain-weite Sieve-Filter als Domain-Admin setzen
Filter, die für alle Postfächer Deiner Domain gleichzeitig gelten — etwa um Newsletter Domain-weit in einen bestimmten Ordner zu sortieren oder bestimmte Sender abzuweisen.