Geht problemlos. Ist aber nicht trivial, wenn man die Sophos mit all ihren Features was WAF, IPS usw. nutzen will.
Es erfordert einiges Wissen.
Mailcow wird ganz normal in Standardkonfiguration erstellt. Aber mit einer private IP.
Ich verwende den MTA Modus von Sophos um die Mails zu empfangen. MX record muss auf die public IP der Sophos zeigen. Dieser leitet die Mails dann an die Mailcow weiter:
Dann noch DNAT Rules für IMAPS und SMTP (port 587) erstellen die auf die mailcow zeigen.
Vorher ein Lets Encrypt Zertifikat mit der Sophos anlegen. Für mail.deinedomain.de, autoconfig.deinedomain.de und autodiscover.deinedomain.de
Wichtig: mail.deinedomain.de muss der erste Name sein der eingegeben wird.
Wenn das Zertifikat erfolgreich ausgestellt wurde, kann man es nur mittels API abholen, dann muss man noch Root und Intermediate von LE hinzufügen (ich habe ein Script dafür geschrieben). Dann gemäß dieser Anleitung auf die mailcow kopieren.
Das Webinterface kann man mit Webserver protection (entspricht einem reverse proxy) absichern.
So sieht meine Rule aus:
