Google Safe Browsing meldet mailcow Seiten als gefährlich

tweyhr3156

mlcwuser
Das habe ich befürchtet. So weit will ich dann doch nicht gehen :-(

esackbauer

tweyhr3156 Kann man denn das SSO wieder deaktivieren und wieder auf den alten Login zurück

Wenn es am SSO liegen würde, warum habe ich dann das Problem nicht?
Vielleicht hat es damit etwas zu tun ob auch andere Sachen auf der Domain gehostet werden. auf meiner Domain läuft nur mein Mailserver und der wird auch nicht von der Google Suche indiziert.

tweyhr3156

Wie viele User nutzen denn die Instanzen?
Hier sind es ca. 200 bis 300 User pro Instanz.

mlcwuser

tweyhr3156 Hier sind es ca. 200 bis 300 User pro Instanz.

Das könnte sicherlich einen Einfluss haben. Wenn 200–300 User sich via Chrome oder anderen Browsern, die Safe Browsing nutzen, tagtäglich einloggen, vielleicht sogar mit aktiviertem „Enhanced Protection“-Modus, und falls dieser Modus tatsächlich proaktiv verdächtige Seiten an Google meldet, ist die Wahrscheinlichkeit wahrscheinlich deutlich höher, dass Google Safe Browsing die Domain oder URL „flaggt“, als bei meiner Instanz, wo ich mich nur alle zwei Wochen mal im Admin-Interface einlogge.

Allerdings hat man damit immer noch nicht die eigentliche Ursache gefunden, warum diese Mailcow-Instanzen überhaupt „geflaggt“ werden, weil Immer noch viel zu viele Wahrscheinlichkeiten in der Gleichung. 😉

flybyray

mlcwuser Wenn 200–300 User sich via Chrome oder anderen Browsern, die Safe Browsing nutzen, tagtäglich einloggen

Mir ist das Problem heute aufgefallen und ich kann mit sicherheit sagen ich bin der einzige der sich auf einer mailcow instanz einlogged. Auf der subdomain(mit eigenstaendiger IP) laeuft ausschließlich mailcow.
Ich habe noch ein anderes System (ausschließlich teleport) mit subdomain auch mit eigentstaendiger IP und selbst diese subdomain ist gelistet.

Mir scheint das eher ein strukturelles Problem bei Google Safe Browsing zu sein. Hoffentlich werden die irgendwie verdonnert.

stefan21

tweyhr3156 Kann man denn das SSO wieder deaktivieren und wieder auf den alten Login zurück? Das wäre mal ein Test wert.
Gefunden habe ich in der Doku nichts. Nur das komplette deaktivieren von SOGo. Das wäre bei mir aber keine Option.

Vielleicht ist ein Rollback auf eine alte Version möglich?

tweyhr3156

Ich meinte, in einer der letzten Release Notes stand drin, dass die Datenbankstruktur upgedatet wird. Und daher kein Rollback mehr möglich ist. Finde den Eintrag aber gerade nicht :-(

eazyliving

Ich hab sogo auf mail.meine.domain - geflaggt.

Netterweise wird aber komplett meine.domain geflaggt. Und jetzt kommt der Moment, in dem ich über einen Anwalt nachdenke.

Google nimmt mich und meine Dienste hier ohne Berechtigung und ohne Möglichkeit einzugreifen in Haft und sperrt meine komplette Domain. Ohne Richter, ohne Staatsanwalt, ohne rechtsstaatliches Verfahren. Das bekommen hier in Deutschland nicht mal Politiker so einfach hin.

Mir platzt gerade der Kragen.

muety

Wir hatten bei server.camp gestern das gleiche Problem. Für eine private Website ist alles sehr ärgerlich. Aber für uns als Business ist das gewissermaßen “mission-critical”. Die “Macht”, die Google hier hat, ist schon teilweise erschreckend.

Danke der super hilfreichen Tipps aus der Community (🙏) waren wir zum Glück innerhalb von weniger als 24 Stunden wieder online. Der Image-Verlust bleibt aber natürlich.

Ich habe heute einen kleinen Blog Post zu dem Thema geschrieben – wen es interessiert:
https://server.camp/blog/unser-statement-zum-phishing-verdacht.

flybyray

Ja die Auswirkungen sind immens. Ich sehe aber auch die Browserhersteller mit involviert, da sie hier blind Vertrauen schenken.

Das flaggen der Basis-Domain, darf nicht automatisiert erfolgen! Niemals! Das muss immer über whois Abfragen und damit an den Betreiber gerichtet werden. Mit Anschreiben und Information mit Details, wer hat gemeldet, was hat er gemeldet, wer hat es geprüft.

Denn nun bekommt Google und seine Robots auch unbekannte Domainnamen geliefert welche Google normal nicht herausgefunden hätten. Ich kann mir hier also auch vorstellen, dass das mit Absicht geschehen ist. Denn diese zusätzlichen Daten bekommt man wirklich nicht einfach heraus. Im Prinzip beinhaltet das häufig Daten welche für präparierte SNI Aufrufe ausgenutz werden könnten, denn ohne diese Informationen kann man störer sehr leicht herausfiltern.

[unknown] in dem ich über einen Anwalt nachdenke

Das wäre tatsächlich notwendig. Möglicherweise könnte man hier was organisieren? Vielleicht gibt es schon andere Fälle? Betrifft es denn wirklich ausschließlich mailcow Instanzen die hier Opfer wurden?

mlcwuser

flybyray Ja die Auswirkungen sind immens. Ich sehe aber auch die Browserhersteller mit involviert, da sie hier blind Vertrauen schenken.

Safe Browsing kann man abschalten, zumindest in Firefox, hilft aber natürlich nicht, wenn man Kunden oder User hat, die es angeschaltet haben. Und ganz ehrlich, grundsätzlich sollte man es wohl auch angeschaltet lassen.

flybyray Das flaggen der Basis-Domain, darf nicht automatisiert erfolgen! Niemals! Das muss immer über whois Abfragen und damit an den Betreiber gerichtet werden. Mit Anschreiben und Information mit Details, wer hat gemeldet, was hat er gemeldet, wer hat es geprüft.

Sorry, aber das glaubst du doch nicht im Ernst. Die schicken dir ganz sicher keine detailierte Abhandlung und werden auch sonst nicht von sich aus mit dir interagieren. Safe Browsing ist ein freiwilliger Dienst, den man nutzen kann oder auch nicht (nun ja, nicht nutzen ist vor allem mit Google-Produkten schwierig, das gebe ich zu). 😉 Aber grundsätzlich funktioniert das wie E-Mail-Blacklists und irgendwelche Sperrlisten von Firewallherstellern. Die listen dich einfach, aus Gründen, die nicht immer offensichtlich sind, mal mit mehr und mal mit weniger manuellen Prozeduren, heute wohl vermehrt auch mit KI.

flybyray Denn diese zusätzlichen Daten bekommt man wirklich nicht einfach heraus.

Die bekommt man schon heraus, wenn sie z.B. von Client Devices und Browsern und lokaler AI an Google geliefert werden. Was genau alles gemacht wird und wo was gemacht wird weiss ich nicht, aber wenn man den Blog von Google liest, den ich weiter oben irgendwo verlinkt habe, macht Safe Browsing definitiv mehr, als nur stumpf öffentlich erreichbare Seiten zu scannen. Auch können Seiten manuell von Nutzern gemeldet werden, aber das ist hier wohl eher nicht das Problem.

flybyray Das wäre tatsächlich notwendig. Möglicherweise könnte man hier was organisieren? Vielleicht gibt es schon andere Fälle? Betrifft es denn wirklich ausschließlich mailcow Instanzen die hier Opfer wurden?

Die einzige Chance, die ich da sehe ist irgendwie mit “Marktmacht” und “standardmässig aktiv” in vielen Produkten zu argumentieren. Aber ja k.A. bin kein Anwalt, könnte mir aber vorstellen, dass es schwierig wird. 😉

tweyhr3156

Hat denn jemand das neue Update 2025-09c schon eingespielt?
Das Changelog ist lange. Das interessante dürfte sein: SOGo URL Encryption support

Für unsere Seiten kann ich sagen, dass die Anzahl der Meldungen stark zurückgegangen ist. Aber bisher nicht auf 0.

DocFraggle

tweyhr3156 Hat denn jemand das neue Update 2025-09c schon eingespielt?

Würde mich auch interessieren, bin noch nicht dazu gekommen.

flybyray

mlcwuser Safe Browsing kann man abschalten, zumindest in Firefox, hilft aber natürlich nicht, wenn man Kunden oder User hat

Sehe ich dennoch als Bevormundung so wie es implementiert wurde. Ist jedenfalls in keinem der Gängigen Browser bei der initialen Konfiguration (haben ja alle so wizzard ähnliche Dialoge wenn man mit einem leeren Profil startet) aufgetaucht, steht sicher im Kleingedruckten das eh keiner liest.
Auch DoH wurde irgendwann mal ganz heimlich still und Leise aufgedreht besonders in den Chrome-basierten Browsern und umgeht deine Vorauswahl wer deine DNS Anfragen auflösen darf.

mlcwuser Die schicken dir ganz sicher keine detailierte Abhandlung und werden auch sonst nicht von sich aus mit dir interagieren. Safe Browsing ist ein freiwilliger Dienst, den man nutzen kann oder auch nicht (nun ja, nicht nutzen ist vor allem mit Google-Produkten schwierig, das gebe ich zu).

Warum denn nicht? Kann man genauso Reporting verlangen wie es für andere Dienste Reporting gibt. Insbesondere wenn man sich dann auch “freiwillig” bei der Search Console registriert hat wäre es eigentlich entgegenkommend, wenn solches Reporting gleich dabei wäre. Wenn die Datenbank schon mit einem Flagging aktualisiert wird, kann auch gleich der Betreiber informiert werden.

mlcwuser Die bekommt man schon heraus, wenn sie z.B. von Client Devices und Browsern und lokaler AI an Google geliefert werden.

Wenn? Wenn nicht! Die Browserhersteller werden von dem Prinzip “Common Ownership” vereinnahmt. Vielen ist nicht klar wie Schadhaft dies sein kann. Gibt eine schöne Arte Doku welche das Prinzip eindringlich erlaeutert “Black Rock Die Unheimliche Macht eines Finanzkonzerns”. Ich warne daher nur sich seine Browser in Zukunft sehr sorgfaeltig aus zu suchen und sie notfalls in einer abgeschotteten Umgebung auf Herz und Nieren zu prüfen.

Wie gesagt mein erster Kommentar dazu ist/war. Ich nehme da auch die Browserhersteller in die Verantwortung. Das Problem liegt nicht bei Google (allein).

flybyray

mlcwuser Sorry, aber das glaubst du doch nicht im Ernst. Die schicken dir ganz sicher keine detailierte Abhandlung und werden auch sonst nicht von sich aus mit dir interagieren.

Ist nur ein bot Beitrag aber bei 1:27 wird erklärt, dass dies eigentlich das Ansinnen ist von diesem Google Tool. Also falls der Content evtl sogar aus dem Haus google AI generiert kam, der Kanal produziert komischerweise seit relativ neuer Zeit lauter Google Safe Browsing Content https://youtu.be/wRMI8_vGLoo?si=gJRNFq2mMFrUaChr ( mal zu 1:27 vorspulen ).

mlcwuser Black Rock ist hier ein schlechtes Beispiel

Ich habe deutlich hervor gehoben, dass es um das Prinzip „Common Ownership“ geht. Du kannst das sehr wohl sehr fachlich und allgemein haben: https://www.monopolkommission.de/images/HG22/Main_Report_XXII_Common_Ownership.pdf

Bei mir ist die Nutzungsweise auch ähnlich …

mlcwuser “Kleiner” Server, der nur von mir und meiner F

…amilie genutz.

mlcwuser Ich nutze Sogo gar nicht und denke deshalb, dass Sogo der “Culprit” ist.

Wir nutzen das sonst auch nicht. Nur sehr selten. Tatsächlich aber genau kurz vor dieser Flagg Aktion mit einem dieser Browser, die irgendwas im Hintergrund machen, dass ich genau für diese „Kleine“ Instanz/Domain einfach nicht möchte, weil sie nur mal von mir genutzt wird. Die ganze Domain wurde gesperrt und damit auch kleine andere Tools die auf Subdomains normal nicht öffentlich auffindbar und anderen Servern (andere IPs) arbeiten. Genau das störrt mich daran gewaltig, weil nun klar ist, dass solche Dinge einfach auf anderen Kanälen in Bot-Netzwerk der „GUTEN“ eingespeist wird.

Würde mich freuen wenn es also eine Art Ausnahme-Liste gibt, bei denen die Browser nichts an Google reporten.

mlcwuser

Versteh mich nicht falsch, ich möchte Google hier keinesfalls in Schutz nehmen. Ich finde Safe Browsing jetzt aber auch nicht grundsätzlich schlecht, allerdings sollten sie es wahrscheinlich ein wenig runtertunen. 😉

Zum Rest deines Posts oder dem generellen „Vibe“ des Posts: Black Rock ist hier ein schlechtes Beispiel und dient der Sache nicht unbedingt. Aber ich verstehe schon, was du meinst, und stimme dir prinzipiell zu. Kurzfristig sehe ich da aber keine Besserung und ich habe das Gefühl, dass sich die „Allgemeine Lage“ erst einmal in allen Belangen verschlechtern wird. Und ja, auch da wird die KI kräftig mithelfen.

Diese Diskussion gehört aber nicht unbedingt hierher. 😉

mlcwuser

DocFraggle Also ich würde es einspielen, schlimmer wird es mit dem Update ja wahrscheinlich nicht. 😉

Ich selbst habe es eingespielt, kann aber wie schon gesagt nichts aus eigener Erfahrung sagen, da ich nie betroffen war. “Kleiner” Server, der nur von mir und meiner Freundin genutzt wird. Kein Sogo, und so gut wie keine Interaktion mit dem User Web-UI.

eazyliving

mlcwuser Mein SOGo wird auch nur von mir, meiner Frau und meinem Bruder benutzt. Hat nicht geholfen. Du hast Glück gehabt 🙂

[unknown] Ich hab’s reingeholt, aber bisher hat sich nichts getan, trotz einiger Meldungen an g00gle

mlcwuser

Ich nutze Sogo gar nicht und denke deshalb, dass Sogo der “Culprit” ist. Nicht wegen Sogo an sich, sondern wahrscheinlich irgendwie wegen der Verbindung mit dem Mailcow-Login. Aber auch das ist reine Spekulation.

Mal ehrlich, wie viele Leute haben wir in diesem Thread? Fünf? Zehn? Zwanzig? Und dann sind da noch ein paar mehr im entsprechenden GitHub-Issue. Wie viele produktive Installationen hat Mailcow? Das wissen wir nicht, aber es ist sicher eine vier- oder eher sogar fünfstellige Zahl.

mlcwuser

flybyray Würde mich freuen wenn es also eine Art Ausnahme-Liste gibt, bei denen die Browser nichts an Google reporten.

In Google Chrome habe ich folgende Einstellungen gefunden:

Ohne jetzt gross weitergeforscht zu haben, würde ich sagen Im Erweiterten Modus schickt er immer alle URLs die du besuchst, und beim Standardschutz, dürfte der Schalter “Dazu beitragen, das Web für alle sicherer zu machen” interessant sein. Und man kann es auch ganz abschalten.

In Firefox gibt es nur folgende Einstellungen (für Erklärungen auf den Link klicken, habe nicht alles gelesen)

Hilft natürlich alles nichts wenn andere, die deine Seiten besuchen es an haben. Oder wenn die Seite z.B. mit einem Android Gerät besucht wird, und es da noch an ist.

Ganzjahresgriller

Ich habe vorgestern 2025-09c installiert. Bislang bin ich noch verschont

flybyray

Ganzjahresgriller Ich habe vorgestern 2025-09c installiert. Bislang bin ich noch verschont

Ich hatte es auch installiert. Gerade eben aber festgestellt, dass Safe Browsing wieder zu geschlagen hat.

« Previous Page Next Page »