Mailcow open relay?

Maago

Seit kurzem scheint mein Mailcow ein open relay zu sein. Es werden Mails mit einem bestimmten Absender (info@smtp.domain.org) an externe versendet. Aber diesen Absender gibt es gar nicht als Mailbox.
Wie kann das sein und wie kann ich das unterdrücken?

esackbauer

Maago Wie kann das sein und wie kann ich das unterdrücken?

Schau dir die Postfix logs an. Von welcher IP werden die Mails eingeliefert, die dann versendet werden?

KaiserN

Wie kommst du drauf das es über deinen Server läuft?

Bitte mehr details und ggf. mal nen Mailheader von einer dieser Mails.

Maago

Hier ein Beispiel aus dem Postfix Log:
*** ENVELOPE RECORDS deferred/8/8CEF510897B4 *** message_size: 1522 1761 13 0 1522 0 message_arrival_time: Wed Apr 9 12:25:40 2025 create_time: Wed Apr 9 12:25:40 2025 named_attribute: log_ident=8CEF510897B4 named_attribute: rewrite_context=remote sender: info@smtp.floeser.net named_attribute: log_client_name=unknown named_attribute: log_client_address=10.10.5.1 named_attribute: log_client_port=49910 named_attribute: log_message_origin=unknown[10.10.5.1] named_attribute: log_helo_name=[127.0.0.1] named_attribute: log_protocol_name=ESMTP named_attribute: client_name=unknown named_attribute: reverse_client_name=unknown named_attribute: client_address=10.10.5.1 named_attribute: client_port=49910 named_attribute: server_address=10.10.5.253 named_attribute: server_port=25 named_attribute: helo_name=[127.0.0.1] named_attribute: protocol_name=ESMTP named_attribute: client_address_type=2 warning_message_time: Wed Apr 9 16:25:40 2025 named_attribute: dsn_orig_rcpt=rfc822;lmanuel.perea@gmail.com original_recipient: lmanuel.perea@gmail.com done_recipient: lmanuel.perea@gmail.com named_attribute: dsn_orig_rcpt=rfc822;clanima61@gmail.com original_recipient: clanima61@gmail.com done_recipient: clanima61@gmail.com named_attribute: dsn_orig_rcpt=rfc822;amartinez251@comcast.net original_recipient: amartinez251@comcast.net done_recipient: amartinez251@comcast.net named_attribute: dsn_orig_rcpt=rfc822;bbmathome@aol.com original_recipient: bbmathome@aol.com recipient: bbmathome@aol.com named_attribute: dsn_orig_rcpt=rfc822;winslow@gmx.es original_recipient: winslow@gmx.es done_recipient: winslow@gmx.es named_attribute: dsn_orig_rcpt=rfc822;stmarkas@yahoo.com original_recipient: stmarkas@yahoo.com recipient: stmarkas@yahoo.com named_attribute: dsn_orig_rcpt=rfc822;pirate1975@web.de original_recipient: pirate1975@web.de done_recipient: pirate1975@web.de named_attribute: dsn_orig_rcpt=rfc822;vbenayachi@gmail.com original_recipient: vbenayachi@gmail.com done_recipient: vbenayachi@gmail.com named_attribute: dsn_orig_rcpt=rfc822;vronskylouis@icloud.com original_recipient: vronskylouis@icloud.com done_recipient: vronskylouis@icloud.com named_attribute: dsn_orig_rcpt=rfc822;chris-gusta509@hotmail.fr original_recipient: chris-gusta509@hotmail.fr done_recipient: chris-gusta509@hotmail.fr named_attribute: dsn_orig_rcpt=rfc822;dr.falk.brd@gmx.de original_recipient: dr.falk.brd@gmx.de done_recipient: dr.falk.brd@gmx.de named_attribute: dsn_orig_rcpt=rfc822;lennygris@icloud.com original_recipient: lennygris@icloud.com done_recipient: lennygris@icloud.com named_attribute: dsn_orig_rcpt=rfc822;mallevalmarlene@gmail.com original_recipient: mallevalmarlene@gmail.com done_recipient: mallevalmarlene@gmail.com *** MESSAGE CONTENTS deferred/8/8CEF510897B4 *** Received: from [127.0.0.1] (unknown [10.10.5.1]) by mail.floeser.net (Postcow) with ESMTP id 8CEF510897B4; Wed, 9 Apr 2025 12:25:40 +0200 (CEST) Authentication-Results: mail.floeser.net; none From: "CANADlAN PHARNACY" <info@smtp.floeser.net> To: lmanuel.perea@gmail.com Cc: clanima61@gmail.com, amartinez251@comcast.net, bbmathome@aol.com, winslow@gmx.es, stmarkas@yahoo.com, pirate1975@web.de, vbenayachi@gmail.com, vronskylouis@icloud.com, chris-gusta509@hotmail.fr, dr.falk.brd@gmx.de, lennygris@icloud.com, mallevalmarlene@gmail.com Subject: THE ONLINE DRUGSHOPNEW!- that renovate masculine capability Message-ID: <42742011.B6025B949C1185F4@smtp.floeser.net> X-Priority: 3 Importance: Normal Date: Wed, 9 Apr 2025 13:25:48 +0300 Content-Transfer-Encoding: quoted-printable Content-Type: text/plain; charset=UTF-8 X-Mailer: Infraware POLARIS Mobile Mailer v2.5 X-Last-TLS-Session-Version: None X-Spamd-Result: default: False [3.50 / 15.00]; MISSING_MIME_VERSION(2.00)[]; SUSPICIOUS_RECIPS(1.50)[]; MIME_GOOD(-0.10)[text/plain]; BAD_WORDS(0.10)[]; BAYES_HAM(-0.00)[23.19%]; FREEMAIL_TO(0.00)[gmail.com]; FREEMAIL_ENVRCPT(0.00)[gmail.com,comcast.net,aol.com,yahoo.com,web.de,icloud.com,hotmail.fr,gmx.de]; RCVD_COUNT_ZERO(0.00)[0]; BCC(0.00)[]; TAGGED_RCPT(0.00)[]; ARC_NA(0.00)[]; FUZZY_RATELIMITED(0.00)[rspamd.com]; MID_RHS_MATCH_FROM(0.00)[]; FREEMAIL_CC(0.00)[gmail.com,comcast.net,aol.com,gmx.es,yahoo.com,web.de,icloud.com,hotmail.fr,gmx.de]; MIME_TRACE(0.00)[0:+]; FROM_EQ_ENVFROM(0.00)[]; FROM_HAS_DN(0.00)[]; SUBJECT_HAS_EXCLAIM(0.00)[]; HAS_X_PRIO_THREE(0.00)[3]; TO_MATCH_ENVRCPT_ALL(0.00)[]; TO_DN_NONE(0.00)[]; RCPT_COUNT_TWELVE(0.00)[13] X-Rspamd-Queue-Id: 8CEF510897B4

esackbauer

Das sieht nicht aus wie ein postfix log, sondern wie SMTP headers aus dem Client.

Maago named_attribute: client_address=10.10.5.1

Wer hat diese IP adresse?

Maago

Im Postfix steht sowas drin:
606831089EFC: to=<info@smtp.floeser.net>, relay=smtp.floeser.net[95.111.238.98]:25, delay=1, delays=0.01/0.01/1/0, dsn=5.4.6, status=bounced (mail for smtp.floeser.net loops back to myself)

[unknown]
Das ist die Docker IP

[unknown] ich hab die Docker IP in der Config angepasst ..

KaiserN

Jub das Ding ist offen

solltest im Log ein paar Meldungen haben zu der domain appriver

esackbauer

Die “Docker IP” fängt eigentlich mit 172.x an…
Oder ist das die IP des Docker hosts?

Tatsächlich scheint es ein open relay zu sein:
https://mxtoolbox.com/SuperTool.aspx?action=smtp%3amail.floeser.net&run=toolpage#

Vermutlich hast du irgendwo mynetworks oder so für das ganze Internet freigeschaltet. Irgendwo hast du etwas an der Mailcow Netzkonfiguration geändert, dass mailcow jetzt von überall mails annimmt.
Die Default Einstellungen von mailcow sind jedenfalls so gestaltet, dass kein Relay möglich ist.

KaiserN

bzw. schau mal ob du nen relay hinterlegt hast und dich da vertan hast

https://docs.mailcow.email/de/manual-guides/Postfix/u_e-postfix-relayhost/

Maago

Die Postfix extra.cf ist leer. Da ist nichts definiert.

Internal IPv4 /24 subnet, format n.n.n (expands to n.n.n.0/24)

Use private IPv4 addresses only, see https://en.wikipedia.org/wiki/Private_network#Private_IPv4_addresses

IPV4_NETWORK=10.10.5

Internal IPv6 subnet in fc00::/7

Use private IPv6 addresses only, see https://en.wikipedia.org/wiki/Private_network#Private_IPv6_addresses

IPV6_NETWORK=fd4d:6169:6c63:6f77::/64

`IPV4_NETWORK=10.10.5

Internal IPv6 subnet in fc00::/7

Use private IPv6 addresses only, see https://en.wikipedia.org/wiki/Private_network#Private_IPv6_addresses

IPV6_NETWORK=fd4d:6169:6c63:6f77::/64
`

[unknown] ist komplett alles leer

[unknown] ist alles leer

[unknown] ich finde leider die Stelle nicht wo der fehler ist. Ich hab eigentlich nur die interne Docker Host IP geändert.

esackbauer

Maago Ich hab eigentlich nur die interne Docker Host IP geändert.

Von was auf was? Das hilft uns besser zu verstehen was du gemacht hast und was die auswirkungen sind.

KaiserN

net hudeln jetzt :-) “Kind ist schon in den brunnen gefallen” - Formatierung wäre schon nice

was sagt denn bzw. welche Werte haben:

smtpd_sender_restrictions
smtpd_relay_restrictions

bzw. hast du was in der Webgui definiert?

Maago

KaiserN wo finde ich diese Werte

Maago

Maago
smtpd pass - - n - - smtpd -o smtpd_sasl_auth_enable=no -o smtpd_sender_restrictions=permit_mynetworks,reject_unlisted_sender,reject_unknown_sender_domain

Maago

esackbauer
Ich hab die Docker IP von 172.22.1 auf 10.10.5 geändert.

[unknown] genau

KaiserN

wenn in der extra nichts ist dann in der main, du kannst aber auch einfach über alle configs nen grep danach machen um alle zu durchsuchen.

und bitte auch mynetworks

DocFraggle

Du hast scheinbar Dein Docker Netzwerk in der mailcow.conf via IPV4_NETWORK angepasst oder?

esackbauer

Maago Ich hab die Docker IP von 172.22.1 auf 10.10.5 geändert.

Warum hast du das gemacht? Was war die Motivation dahinter?

DocFraggle

Das ist aber nicht das gleiche Netz wie das primäre Deines Hosts oder?

Maago

DocFraggle Das ist eine andere IP als die vom Host ..

[unknown] weil ich Docker gesagt habe in der docker-daemon.json dass es nur das Netz 10.0.0.⅛ verwenden soll und hab dort auch die automatische Firewall Freischaltung disabled,

Maago

root@vmi2507244:/docker/mailcow-dockerized/data/conf/postfix# cat main.cf|grep mynetworks smtpd_relay_restrictions = permit_mynetworks, mynetworks_style = subnet postscreen_access_list = permit_mynetworks, $mynetworks, permit_mynetworks, permit_mynetworks, parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,qmqpd_authorized_clients

root@vmi2507244:/docker/mailcow-dockerized/data/conf/postfix# cat master.cf|grep mynetworks -o smtpd_sender_restrictions=permit_mynetworks,reject_unlisted_sender,reject_unknown_sender_domain -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_sender_restrictions=check_sasl_access,regexp:/opt/postfix/conf/allow_mailcow_local.regexp,reject_authenticated_sender_login_mismatch,permit_mynetworks,permit_sasl_authenticated,reject_unlisted_sender,reject_unknown_sender_domain -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_client_restrictions=permit_mynetworks,reject

[unknown] Nein, das ist eine andere IP als die vom Host

esackbauer

Maago Nein, das ist eine andere IP als die vom Host

Mag sein, aber das MUSS ein andere Netzwerkrange sein.
Deshalb meine Frage, warum du das Docker Netzwerk geändert hast.