Seit kurzem scheint mein Mailcow ein open relay zu sein. Es werden Mails mit einem bestimmten Absender (info@smtp.domain.org) an externe versendet. Aber diesen Absender gibt es gar nicht als Mailbox.
Wie kann das sein und wie kann ich das unterdrücken?
GermanMailcow open relay?
Wie kommst du drauf das es über deinen Server läuft?
Bitte mehr details und ggf. mal nen Mailheader von einer dieser Mails.
Have something to say?
Join the community by quickly registering to participate in this discussion. We'd like to see you joining our great moo-community!
Maago Wie kann das sein und wie kann ich das unterdrücken?
Schau dir die Postfix logs an. Von welcher IP werden die Mails eingeliefert, die dann versendet werden?
Hier ein Beispiel aus dem Postfix Log:
*** ENVELOPE RECORDS deferred/8/8CEF510897B4 ***
message_size: 1522 1761 13 0 1522 0
message_arrival_time: Wed Apr 9 12:25:40 2025
create_time: Wed Apr 9 12:25:40 2025
named_attribute: log_ident=8CEF510897B4
named_attribute: rewrite_context=remote
sender: info@smtp.floeser.net
named_attribute: log_client_name=unknown
named_attribute: log_client_address=10.10.5.1
named_attribute: log_client_port=49910
named_attribute: log_message_origin=unknown[10.10.5.1]
named_attribute: log_helo_name=[127.0.0.1]
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=unknown
named_attribute: reverse_client_name=unknown
named_attribute: client_address=10.10.5.1
named_attribute: client_port=49910
named_attribute: server_address=10.10.5.253
named_attribute: server_port=25
named_attribute: helo_name=[127.0.0.1]
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
warning_message_time: Wed Apr 9 16:25:40 2025
named_attribute: dsn_orig_rcpt=rfc822;lmanuel.perea@gmail.com
original_recipient: lmanuel.perea@gmail.com
done_recipient: lmanuel.perea@gmail.com
named_attribute: dsn_orig_rcpt=rfc822;clanima61@gmail.com
original_recipient: clanima61@gmail.com
done_recipient: clanima61@gmail.com
named_attribute: dsn_orig_rcpt=rfc822;amartinez251@comcast.net
original_recipient: amartinez251@comcast.net
done_recipient: amartinez251@comcast.net
named_attribute: dsn_orig_rcpt=rfc822;bbmathome@aol.com
original_recipient: bbmathome@aol.com
recipient: bbmathome@aol.com
named_attribute: dsn_orig_rcpt=rfc822;winslow@gmx.es
original_recipient: winslow@gmx.es
done_recipient: winslow@gmx.es
named_attribute: dsn_orig_rcpt=rfc822;stmarkas@yahoo.com
original_recipient: stmarkas@yahoo.com
recipient: stmarkas@yahoo.com
named_attribute: dsn_orig_rcpt=rfc822;pirate1975@web.de
original_recipient: pirate1975@web.de
done_recipient: pirate1975@web.de
named_attribute: dsn_orig_rcpt=rfc822;vbenayachi@gmail.com
original_recipient: vbenayachi@gmail.com
done_recipient: vbenayachi@gmail.com
named_attribute: dsn_orig_rcpt=rfc822;vronskylouis@icloud.com
original_recipient: vronskylouis@icloud.com
done_recipient: vronskylouis@icloud.com
named_attribute: dsn_orig_rcpt=rfc822;chris-gusta509@hotmail.fr
original_recipient: chris-gusta509@hotmail.fr
done_recipient: chris-gusta509@hotmail.fr
named_attribute: dsn_orig_rcpt=rfc822;dr.falk.brd@gmx.de
original_recipient: dr.falk.brd@gmx.de
done_recipient: dr.falk.brd@gmx.de
named_attribute: dsn_orig_rcpt=rfc822;lennygris@icloud.com
original_recipient: lennygris@icloud.com
done_recipient: lennygris@icloud.com
named_attribute: dsn_orig_rcpt=rfc822;mallevalmarlene@gmail.com
original_recipient: mallevalmarlene@gmail.com
done_recipient: mallevalmarlene@gmail.com
*** MESSAGE CONTENTS deferred/8/8CEF510897B4 ***
Received: from [127.0.0.1] (unknown [10.10.5.1])
by mail.floeser.net (Postcow) with ESMTP id 8CEF510897B4;
Wed, 9 Apr 2025 12:25:40 +0200 (CEST)
Authentication-Results: mail.floeser.net;
none
From: "CANADlAN PHARNACY" <info@smtp.floeser.net>
To: lmanuel.perea@gmail.com
Cc: clanima61@gmail.com, amartinez251@comcast.net, bbmathome@aol.com,
winslow@gmx.es, stmarkas@yahoo.com, pirate1975@web.de, vbenayachi@gmail.com,
vronskylouis@icloud.com, chris-gusta509@hotmail.fr, dr.falk.brd@gmx.de,
lennygris@icloud.com, mallevalmarlene@gmail.com
Subject: THE ONLINE DRUGSHOPNEW!- that renovate masculine capability
Message-ID: <42742011.B6025B949C1185F4@smtp.floeser.net>
X-Priority: 3
Importance: Normal
Date: Wed, 9 Apr 2025 13:25:48 +0300
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8
X-Mailer: Infraware POLARIS Mobile Mailer v2.5
X-Last-TLS-Session-Version: None
X-Spamd-Result: default: False [3.50 / 15.00];
MISSING_MIME_VERSION(2.00)[];
SUSPICIOUS_RECIPS(1.50)[];
MIME_GOOD(-0.10)[text/plain];
BAD_WORDS(0.10)[];
BAYES_HAM(-0.00)[23.19%];
FREEMAIL_TO(0.00)[gmail.com];
FREEMAIL_ENVRCPT(0.00)[gmail.com,comcast.net,aol.com,yahoo.com,web.de,icloud.com,hotmail.fr,gmx.de];
RCVD_COUNT_ZERO(0.00)[0];
BCC(0.00)[];
TAGGED_RCPT(0.00)[];
ARC_NA(0.00)[];
FUZZY_RATELIMITED(0.00)[rspamd.com];
MID_RHS_MATCH_FROM(0.00)[];
FREEMAIL_CC(0.00)[gmail.com,comcast.net,aol.com,gmx.es,yahoo.com,web.de,icloud.com,hotmail.fr,gmx.de];
MIME_TRACE(0.00)[0:+];
FROM_EQ_ENVFROM(0.00)[];
FROM_HAS_DN(0.00)[];
SUBJECT_HAS_EXCLAIM(0.00)[];
HAS_X_PRIO_THREE(0.00)[3];
TO_MATCH_ENVRCPT_ALL(0.00)[];
TO_DN_NONE(0.00)[];
RCPT_COUNT_TWELVE(0.00)[13]
X-Rspamd-Queue-Id: 8CEF510897B4
Das sieht nicht aus wie ein postfix log, sondern wie SMTP headers aus dem Client.
Maago named_attribute: client_address=10.10.5.1
Wer hat diese IP adresse?
- Edited
Im Postfix steht sowas drin:
606831089EFC: to=<info@smtp.floeser.net>, relay=smtp.floeser.net[95.111.238.98]:25, delay=1, delays=0.01/0.01/1/0, dsn=5.4.6, status=bounced (mail for smtp.floeser.net loops back to myself)
[unknown]
Das ist die Docker IP
[unknown] ich hab die Docker IP in der Config angepasst ..
Jub das Ding ist offen
solltest im Log ein paar Meldungen haben zu der domain appriver
- Edited
Die “Docker IP” fängt eigentlich mit 172.x an…
Oder ist das die IP des Docker hosts?
Tatsächlich scheint es ein open relay zu sein:
https://mxtoolbox.com/SuperTool.aspx?action=smtp%3amail.floeser.net&run=toolpage
# mxtoolbox.com
Vermutlich hast du irgendwo mynetworks oder so für das ganze Internet freigeschaltet. Irgendwo hast du etwas an der Mailcow Netzkonfiguration geändert, dass mailcow jetzt von überall mails annimmt.
Die Default Einstellungen von mailcow sind jedenfalls so gestaltet, dass kein Relay möglich ist.
bzw. schau mal ob du nen relay hinterlegt hast und dich da vertan hast
Relayhosts - mailcow: dockerized Dokumentation docs.mailcow.email
- Edited
Die Postfix extra.cf ist leer. Da ist nichts definiert.
Internal IPv4 /24 subnet, format n.n.n (expands to n.n.n.0/24)
Use private IPv4 addresses only, see https://en.wikipedia.org/wiki/Private_network#Private_IPv4_addresses
IPV4_NETWORK=10.10.5
Internal IPv6 subnet in fc00::/7
Use private IPv6 addresses only, see https://en.wikipedia.org/wiki/Private_network#Private_IPv6_addresses
IPV6_NETWORK=fd4d:6169:6c63:6f77::/64
`IPV4_NETWORK=10.10.5
Internal IPv6 subnet in fc00::/7
Use private IPv6 addresses only, see https://en.wikipedia.org/wiki/Private_network#Private_IPv6_addresses
IPV6_NETWORK=fd4d:6169:6c63:6f77::/64
`
[unknown] ist komplett alles leer
[unknown] ist alles leer
[unknown] ich finde leider die Stelle nicht wo der fehler ist. Ich hab eigentlich nur die interne Docker Host IP geändert.
net hudeln jetzt :-) “Kind ist schon in den brunnen gefallen” - Formatierung wäre schon nice
was sagt denn bzw. welche Werte haben:
smtpd_sender_restrictions
smtpd_relay_restrictions
bzw. hast du was in der Webgui definiert?
Maago Ich hab eigentlich nur die interne Docker Host IP geändert.
Von was auf was? Das hilft uns besser zu verstehen was du gemacht hast und was die auswirkungen sind.
wenn in der extra nichts ist dann in der main, du kannst aber auch einfach über alle configs nen grep danach machen um alle zu durchsuchen.
und bitte auch mynetworks
Du hast scheinbar Dein Docker Netzwerk in der mailcow.conf via IPV4_NETWORK angepasst oder?
- Edited
esackbauer
Ich hab die Docker IP von 172.22.1 auf 10.10.5 geändert.
[unknown] genau
Das ist aber nicht das gleiche Netz wie das primäre Deines Hosts oder?
Maago Ich hab die Docker IP von 172.22.1 auf 10.10.5 geändert.
Warum hast du das gemacht? Was war die Motivation dahinter?
- Edited
root@vmi2507244:/docker/mailcow-dockerized/data/conf/postfix# cat main.cf|grep mynetworks
smtpd_relay_restrictions = permit_mynetworks,
mynetworks_style = subnet
postscreen_access_list = permit_mynetworks,
$mynetworks,
permit_mynetworks,
permit_mynetworks,
parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,qmqpd_authorized_clients
root@vmi2507244:/docker/mailcow-dockerized/data/conf/postfix# cat master.cf|grep mynetworks
-o smtpd_sender_restrictions=permit_mynetworks,reject_unlisted_sender,reject_unknown_sender_domain
-o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
-o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
-o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
-o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
-o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
-o smtpd_sender_restrictions=check_sasl_access,regexp:/opt/postfix/conf/allow_mailcow_local.regexp,reject_authenticated_sender_login_mismatch,permit_mynetworks,permit_sasl_authenticated,reject_unlisted_sender,reject_unknown_sender_domain
-o smtpd_client_restrictions=permit_mynetworks,reject
-o smtpd_client_restrictions=permit_mynetworks,reject
-o smtpd_client_restrictions=permit_mynetworks,reject
[unknown] Nein, das ist eine andere IP als die vom Host