hallo, meine Mail queue ist immer ziemlich voll, und zwar mit solchen Einträgen: [upl-image-preview url=https://community.mailcow.email/assets/files/2024-05-18/1716009288-291713-grafik.png] also mit Nachrichten, die nichts mit meiner domain zu tun haben, so als würde jemand versuchen meinen Server als relay zu nutzen. Was ist das? Wie kann ich das verhindern?

@"fmueller64"#p15838 Es scheint als hättest Du Deine Mailcow als Open Relay laufen... das solltest Du schleunigst fixen [upl-image-preview url=https://community.mailcow.email/assets/files/2024-05-18/1716019218-929493-screenshot-20240518-095856.png]

ja, den Test hab ich auch gemacht, und der nähere Bericht ist da deutlich zurückhaltender (möglicherweise..). Ich habe den Server nach state-of-art-Anleitung konfiguriert, und da ist die Relay-Funktionalität ausgeschaltet. Ich verstehe es einfach nicht... Noch ne Idee/Tipp? Hier noch ein paar Beispiel-Einträge: [upl-image-preview url=https://community.mailcow.email/assets/files/2024-05-18/1716020459-600470-bildschirmfoto-vom-2024-05-18-07-34-52.png] und ich hab binnen 2h ca 1800 Einträge!

Entweder hat jemand deinen Server übernommen. z.B. während der Installation bis du das Standard-Passwort geändert hast. Im diesen 1-2min, wenn du Pech hast übernimmt jemand deinen Mailcow. Oder du hast es wirklich als open relay konfiguriert.

> @"fmueller64"#p15841 ich hab binnen 2h ca 1800 Einträge Ja das ist klar, die Spammer scannen alle IP Ranges nach Open Relay Servern um ihren Scheiss darüber zu verbreiten... Hast Du irgendeine spezielle Firewall NAT Konfiguration so dass Postfix nicht erkennen kann dass es sich um externe IP Adressen handelt?

das ist ein Cloud-Rechner bei Hetzner. Da hab ich die Ports geöffnet, die in der "mailcow-dockerized"-Anleitung beschrieben sind ich hab jetzt mal dem postfix-Container gestoppt, dass ich in das in Ruhe untersuchen kann wo würde ich eine falsche Relay konfig sehen?

Oder irgendwelche speziellen Einstellungen in der Mailcow GUI getätigt? Denn per Default ist das nicht aktiv, ich bin auch bei Hetzner

nein, sicher nix in Richtung "unsicher" gestellt. Aber mal was anderes: ist das was ich sehe, wirklich das, was wir meinen? Die Seite "MX-Toolbox" hatte nämlich ergeben, dass ich entweder einen open Relay betreibe, oder aber, dass es auch Server gibt, die alle Anfragen annehmen, aber nicht weiterleiten. Ich habe zwar diese vielen Einträge, aber sende ich die auch wirklich wirklich weiter? Ich denke, falls ja hätte ich doch sicher schon Mail von Hetzner bekommen, oder? Weiß jemand, wo ich sehen kann, ob ich diese Emails wirklich relaye? ich hab nämlich auch die Quotas runtergedreht (so auf 100/h je Mailbox).. Danke! Franz

Wollte ich gerade testen, aber jetzt ist Dein Server nicht mehr erreichbar

ich schmeiss ihn wieder an... angeschmissen, aktuell Ruhe...

OK, hast Du irgendwas gemacht? Jetzt sind alle Open Relay Tests grün, passt alles

Mail queue voll

DocFraggle

fmueller64 iptables… “command not found”

Also das würde mich jetzt wundern.. was benutzt Du denn als OS?

fmueller64

PRETTY_NAME=“Debian GNU/Linux 12 (bookworm)”
NAME=“Debian GNU/Linux”
VERSION_ID=“12”
VERSION=“12 (bookworm)”
VERSION_CODENAME=bookworm

DocFraggle

Also Docker baut sich ja das iptables Regelwerk für die Container zurecht, insofern muss es drauf sein 😃

Kanns sein dass Du das nicht als root ausgeführt hast? Oder mit sudo

Hab daheim Auch Debian 12

root@media:~# which iptables
/usr/sbin/iptables

fmueller64

hast natürlich recht… bin doof.
Ich sichere also den Output der o.g. iptables-Befehle, boote neu, gebe die Befehle nochmal ein und vergleiche dann? Welches Ergebnis erwartest Du? bzw. wie wäre es richtig?

DocFraggle

fmueller64 ich würde nicht booten, sondern Mailcow neu starten. Reboot startet die Container nicht neu, so blöd es klingt 😃

Also vorher o.g. iptables Outputs sammeln
Dann im Mailcow Verzeichnis:
docker compose down
warten…
docker compose up -d
Und danach nochmal die iptables Outputs, dann einen diff machen und evtl. Unterschiede anschauen

fmueller64

ok, es scheint so, als hätte ich das Problem gelöst (zumindest einen Workaround gefunden).

https://community.mailcow.email/d/2493-server-sending-spam-to-qqcom-once-in-a-while-from-internal-ip-address/6

ist auch Teil der offiziellen Mailcow-Dockerized-Doku:

https://docs.mailcow.email/post_installation/firststeps-disable_ipv6/?h=ipv6

Es scheint ein bekanntes ipv6-Problem von Mailcow (zumindest in der Dockerized-Version) zu sein. Die Lösung ist, ipv6 auszuschalten. Ob das mittelfristig andere Nachteile hat, weiß ich jetzt nicht.

Auf jeden Fall scheint der Spuk jetzt zu Ende zu sein, und auch die externen Tools attestieren meinem Server jetzt volle Gesundheit.

Aber ist das nicht komisch, dass eine 0815-Installation so eine Lücke hat? Das müssen doch 1000 andere auch haben, oder?

DocFraggle

Wie gesagt, ich hab meine VM auch bei Hetzner laufen, inkl IPv6, und ich hatte nie Probleme damit… ich hab aktuell allerdings Rocky 8 als OS.

Einen Eintrag gibts noch bzgl Ubuntu/Debian Systemen, aber keine Ahnung ob das was damit zu tun hat und warum genau man das machen sollte:

https://docs.mailcow.email/getstarted/prerequisite-system/#hetzner-cloud-and-probably-others

« Previous Page