docker-mailserver LXC für Proxmox: Stack + Admin-UI + Webmail + Hardening

- dms-lxc.sh: Proxmox-Host-Installer (unprivilegierter LXC, Debian 13, Docker),
  curl-Self-Download, Multi-Domain-DKIM, SnappyMail-Provisionierung, PVE-Firewall
- Stack: docker-mailserver, Node-Admin-API (Supabase-Auth), React-Admin-UI
  (OPENBUREAU-Look), SnappyMail (Shibui-Theme), Rspamd-Web-UI, docker-socket-proxy
- Admin: Postfächer/Aliase/Catch-all/Quota, editierbare Domains+Settings,
  Server (Quota/Queue über abgesicherte Bridge), Status & DNS
- Hardening: no-new-privileges, Whitelisted exec-Bridge, Rspamd-Passwort,
  .env chmod 600, PVE-CT-Firewall, generisch/teilbar (keine festen Domains)

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

stack/mailserver.env

@@ -0,0 +1,32 @@
+# ============================================================================
+#  docker-mailserver — statische Feature-Flags
+#  (Hostname/Domain kommen über docker-compose aus der .env)
+#  Vollständige Referenz: https://docker-mailserver.github.io/docker-mailserver/latest/config/environment/
+# ============================================================================
+
+TZ=Europe/Zurich
+LOG_LEVEL=info
+
+# --- TLS ---
+# Fester Cert-Pfad (gemountet aus ./docker-data/certs nach /etc/letsencrypt).
+# Das Setup-Skript legt dort beim ersten Start ein SELF-SIGNED-Zertifikat ab,
+# damit STARTTLS sofort funktioniert. Für ein echtes Zertifikat einfach diese
+# zwei Dateien durch das NPM-Let's-Encrypt-Cert ersetzen (cert.pem=fullchain,
+# key.pem=privkey) und `docker compose restart mailserver` — KEINE Änderung hier.
+# Siehe README, Abschnitt "TLS mit Nginx Proxy Manager".
+SSL_TYPE=manual
+SSL_CERT_PATH=/etc/letsencrypt/cert.pem
+SSL_KEY_PATH=/etc/letsencrypt/key.pem
+
+# --- Spam / Antivirus ---
+ENABLE_RSPAMD=1
+RSPAMD_GREYLISTING=1
+ENABLE_OPENDKIM=0
+ENABLE_OPENDMARC=0
+ENABLE_CLAMAV=0
+ENABLE_FAIL2BAN=1
+
+# --- Sicherheit / Submission ---
+ONE_DIR=1
+PERMIT_DOCKER=none
+SPOOF_PROTECTION=1