Google Safe Browsing meldet mailcow Seiten als gefährlich

Tester

Ich bin auch betroffen. Mein Proxmox Server welcher eine andere IP hat ist auch betroffen. Meine Nextcloud ist auch betroffen, läuft auf einer anderen IP hinter einem Reverse Proxy. Der Reverse Proxy (Zoraxy) ist auch betroffen.

Gibt es Hinweise womit es zu tun haben kann?

DocFraggle

Tester Läuft auf allen Instanzen die Du aufzählst eine Mailcow?

Tester

DocFraggle Nein, die Mailcow läuft auf Proxmox mit einer eigenen IP.

Also es gibt den Proxmox Server mit eigener IP. Auf diesem Mailcow virtualisiert mit eigener IP. Zwei unterschiedliche Reverse Proxys mit jeweils eigener IP. Beide sind betroffen. Hinter den Reverse Proxys unterschiedliche VMs, wie Nextcloud, Docmost usw.

Habe beispielsweise zwei Immich Instanzen hinter dem gleichen Reverse Proxy. Eins ist betroffen und das andere nicht.

DocFraggle

Aber alles mit der selben Domain dann?

Tester

DocFraggle

Korrekt, die betroffenen Systeme haben alle die selbe Domäne. Dann ist hier der Grund weshalb meine anderen Systeme auch betroffen sind. Es handelt sich bei den anderen betroffenen Systemen um Subdomains der Hauptdomain.

DocFraggle

Benutzt Ihr den alle aktiv SoGo? Also via Browser?

Tester

DocFraggle

Nein, bei mir quasi gar nicht.

DocFraggle

Evtl sollten mal alle Betroffenen nach Gemeinsamkeiten suchen. Du betreibst barocke via Reverse Proxy, richtig? D.h. die Mailcow Instanz läuft bei Dir Zuhause?

Wie sieht es denn bei @Thomas2500 und @Ttweyhr3156 aus?

Evtl kann Google das inzwischen feststellen und flaggt Eure Domains weil Mailcow in privaten Internet Provider Netzen läuft

Tester

Meine Systeme laufen alle im RZ mit zugewiesenen IP Adressen vom RZ.

Die Mailcow hat Ihre eigene IP und ist hinter keinem System.

Thomas2500

Mir wurde die Domain bella.network mit allen Subdomains gesperrt.
Mailcow selbst habe ich auf einem eigenen Server (PHP-Friends) aktiv, statt dem Mailcow nginx habe ich am Ubuntu Host selbst nginx aktiv. Sonst keine weiteren Dienste/Veränderungen.

Auf den anderen Subdomains habe ich primär selbstgeschriebene Software aktiv (Portfolio + Blog + uDomainFlag) und Plausible Analytics + SnappyMail.

Tester

Nachdem ich gestern feststellen durfte, dass ich auf der Whitelist war, darf ich heute wieder feststellen betroffen zu sein.

Falls es an Sogo liegt, kann Sogo ausgeschaltet werden? Kennt sich jemand mit der Google Search Console aus? Sind die betroffenen Domains darüber zu bestimmen, so wie @tweyhr3156 anfänglich geschrieben hat?

pkernstock

Tester Falls es an Sogo liegt, kann Sogo ausgeschaltet werden?

Ja, dafuer gibt es die Einstellung DISABLE_SOGO. Aber dadurch geht auch neben dem Webmail auch ActiveSync verloren.

tweyhr3156

Meine Instanzen laufen alle im RZ, public IP. Kein Proxy. Aktueller Stand.
Seit Samstag alles ok. Keine weiteren Instanzen mehr betroffen.

DocFraggle

Meine läuft bei Hetzner, seit dem Update wurde hier gar nichts geflaggt.

tweyhr3156

Ich habe die Weiterleitung auf die Anmeldeseite im Verdacht.
Wenn sich ein User einen Link auf sein SOGo gesetzt hat, steht in dem Link die E-Mail-Adresse drin.
Ruft er diesen Link auf, wird er auf die Anmeldeseite weitergeleitet.
Dieses Verhalten würde den Google-Vorwurf des Phishing begründen.

DocFraggle

tweyhr3156 Dieses Verhalten würde den Google-Vorwurf des Phishing begründen.

Weiso das? Die Sogo URL und die Anmelde-Seite haben doch beide die selbe Domain, und das hat sich im Grunde nicht wirklich geändert mit 2025-05

Vorher wurde man von

https://mail.deinedomain.de/SOGo/so/test@deinedomain.de/Mail/view#!/Mail/0/INBOX

für die Anmeldung umgeleitet auf

https://mail.deinedomain.de/SOGo/

Seit 2025-05 wird man auf

https://mail.deinedomain.de/

umgeleitet. Was soll das mit Phishing zu tun haben?

tweyhr3156

Naja, für Google ist das wohl eine andere Seite. Immerhin steht in der URL eine E-Mail-Adresse drin.
Und das wird auf eine andere Adresse weitergeleitet. Auch wenn die Domain gleich bleibt.
Und die ursprüngliche SOGo-Anmeldeseite wird ebenfalls erst geladen, bevor die Weiterleitung ausgeführt wird.
Wie oben geschrieben war bei mir ja auch die 2025-05 betroffen.
Nur eine Vermutung. Gründe für die Listung liefert Google ja leider nicht, nur dass der Verdacht auf Phishing besteht.
Und hier wird ja eindeutig auf eine andere URL weitergeleitet. Dass das die gleiche Domain ist, ist dabei irrelevant.

Tester

Mein Mailserver läuft auch bei Hetzner ohne ein Proxy davor.

Habe mir gestern ein Konto bei Google angelegt um mehr über Google Search Console zu erfahren.

Von SoGo taucht nichts auf. Es tauchen die Subdomains wie autoconfig.mailserver.de und autodiscover.mailserver auf. Meine Hauptdomain verwies auf den Mailserver also auf mail.hauptdomain.de. Dies war damals t-online geschuldet. Habe ich nun abgeändert. Hauptdomain hat keine Ziel aktuell.

Es ist unerklärlich wie unterschiedlich Google hier vorgeht.

Tester

Habe vorhin eine Email von Google erhalten, dass meine Anfrage um eine Überprüfung stattgefunden hat.

"An: Inhaber von mail.mailserver.de,
Google hat Ihre Anfrage zur Sicherheitsüberprüfung erhalten und bearbeitet. Unsere Systeme haben keine weiteren Links zu schädlichen Websites oder Downloads auf mail.mailserver.de erkannt. Die Warnungen für Nutzer werden von Ihrer Website entfernt. Dies kann einige Stunden in Anspruch nehmen."

Aktuell ist meine Hauptdomain sowie alle Subdomains, darunter auch mail raus. Ich bin gespannt, ob das nun anhält.

thokich

Hallo zusammen,
habe mich jetzt doch angemeldet nachdem ich gesehen habe das es noch mehr Gleichgesinnte gibt. Ich habe den Google Freischaltprozess in der Google Search Console jetzt zum zweiten mal gemacht. Das erste mal am 11.9 und jetzt am 14.9. Google sperrt die ganze Domain und somit gehen auch die Subdomains nicht mehr. Es ist also egal ob man die Adressierung mit einer Haupt oder Subdomain macht.
Ich habe jetzt mal bei Indizierung/Entfernen die drei mailcow Domains als “vorübergehend entfernen” eintagen lassen, damit keine Indizierung mehr stattfindet (vielleicht ist es ja der selbe Google-Bot)
Ansonsten habe ich bei github gerade die Frage am laufen ob man zusätzliche Security Header Snippets als update resistentes File für nginx hinzufügen kann. Vielleicht wird Google bei besseren Header gnädiger.
Komisch ist nur das die Probleme bei mir ab Version 2025-19a begannen.

« Previous Page Next Page »