Google Safe Browsing meldet mailcow Seiten als gefährlich

mlcwuser

matthiaskrauss Wie will da die KI ein social Engineering feststellen?

Theoretisch kann die KI auch auf Client-Geräten wie Android-Geräten oder in Browsern wie Google Chrome anschlagen und dann die URLs oder Domainnamen übermitteln. Alternativ könnte sie bei E-Mail-Providern wie z.B. Gmail oder in E-Mail-Clients wie z.B. der Gmail-App integriert sein. Oder jemand könnte die Domains händisch gemeldet haben: https://safebrowsing.google.com/safebrowsing/report_phish/?hl=de

Das sind natürlich alles nur Mustmassungen, aber wenn man hier ein wenig liest, scheint das auf unterschiedlichsten Ebenen untreschiedlichste Dinge zu überprüfen. Was es genau wo macht weiss ich nicht, aber es ist definitiv nicht nur ein stupider Site-Crawler.

matthiaskrauss Ich bezahle schon seit Jahren für den Support. Habe ihn nie in Anspruch genommen. Vor drei Tagen habe ich dann zu dem Thema mal eine Anfrage gestellt.

Nur damit wir das richtig verstehen. Du hast auf https://www.servercow.de einen Supportvertrag abgeschlossen und hier: https://cp.servercow.de/client/login/ ein Tcket eröffnet?

matthiaskrauss Und ratet mal, was passiert ist? Genau: nix.

Niemand hat sich gemeldet, oder sie konnten das Problem (noch) nicht lösen?

friendsfan

Auch mich hat es grade eben zum zweiten Mal erwischt. Erneuter Antrag auf Entsperrung ist raus. Mehr als nervig das ganze…

/admin gibts im übrigen gar nicht….Und bei mir crawlen sie mit “http” und weiter oben war es “https”?

pkernstock

Ja, wirklich nervig das Ganze… Leider gibt es auch keine Moeglichkeit mit Google in Kontakt zu treten, um genau gemeinsam ausfindig machen zu koennen was genau nun ploetzlich stoert. Betrifft ja Installationen ab 2025-05, nicht nur aktualisierte Instanzen.

Daher kann man aktuell nur ins Dunkle raten und einige Ideen umsetzen, die vielleicht moeglicherweise unter Umstaenden irgendwie irgendwann etwas helfen koennten……

tweyhr3156 Hat jemand das Mailcow-Support-Paket gekauft? Dann hätte man mal die Entwickler mit an Board.

Das mailcow-Team bzw. dessen offizieller Support kann da leider auch nicht viel dran machen. Es ist jedenfalls aber bekannt, wurde mir zugetragen. Wir haben einige Punkte und Ideen zusammengetragen, schauen was umsetzbar ist und etwas davon hilft hoffentlich.

tweyhr3156

pkernstock Das mailcow-Team bzw. dessen offizieller Support kann da leider auch nicht viel dran machen. Es ist jedenfalls aber bekannt, wurde mir zugetragen. Wir haben einige Punkte und Ideen zusammengetragen, schauen was umsetzbar ist und etwas davon hilft hoffentlich.

Jein. Klar haben sie keinen Einfluss auf die Google-Logik.
Es geht mehr darum, dass es dort bekannt ist, dass aktuell solche Probleme auftreten. Und die haben sehr wahrscheinlich tiefere Ahnung von dem System als wir.

Hat denn schon mal jemand die URL-Verschlüsselung von SOGo zum Laufen bekommen?

VG Thomas

pkernstock

tweyhr3156 Es geht mehr darum, dass es dort bekannt ist, dass aktuell solche Probleme auftreten. Und die haben sehr wahrscheinlich tiefere Ahnung von dem System als wir.

Bekannt ist es definitiv, ja.

tweyhr3156 Hat denn schon mal jemand die URL-Verschlüsselung von SOGo zum Laufen bekommen?

Im mailcow-Team hat man’s vor kurzem hinbekommen. Es ist wohl etwas tricky und nicht direkt lauffaehig - liegt wohl irgendwie an der “Proxy-Authentication via nginx” die fuer SOGo verwendet wird. (Da bin ich wissenstechnisch auch komplett raus)

DocFraggle

pkernstock Gibt’s denn neue Insider News? 😄

tweyhr3156

Gibt es bei euch was Neues?
Hier war es jetzt 5 Tage ruhig. Heute ging es wieder los…

friendsfan

tweyhr3156

Bisher hat es mich so einmal pro Woche erwischt…wäre dann am Wochenende wieder soweit…

Aber ganz ehrlich, so langsam isses mir egal, ich schreib aus der Google Search Console heraus inzwischen nicht mal mehr einen vollen Satz (“..Mail Server, kein Phishing…”) und dann wird ein paar Stunden später entsperrt.

tweyhr3156

Der Text ist bei mir auch immer gleich: Update

Nur die Kunden werden langsam ungedultig.
Die nutzen das Webmail und sind drauf angewiesen.

tweyhr3156

Neue Eskalationsstufe. Chrome meldet die Seite als gefährlich, aber in der Searchconsole wird das nicht gemeldet. Demnach kann ich da auch keine Überprüfung mehr beantragen.

esackbauer

Chrome evtl. updaten/Cache leeren oder neu starten. Ich vermute lokale Filterlisten sind nicht up to date und in der searchconsole ist halt der aktuelle (schon wieder bereinigte) Status.

Ich würde in der Firma per Policy das Safe Browsing im Chrome komplett deaktivieren und durch eine andere Lösung (z.b. auf der Firewall) ersetzen. Damit kann ich das besser (über)steuern bzw. whitelisten.
Oder bei einem gemanagtem Chrome die Domain whitelisten:
https://chromeenterprise.google/policies/#SafeBrowsingAllowlistDomains

Bleiben noch die privaten User. Auch dort könnte man whitelisten, mittels dieser Extension. Die Warnung bleibt aber.
https://chromewebstore.google.com/detail/safe-web/lakceedfffnfheaipjadbcndkldlplnd
Oder man versucht den Registry Key aus dem Link oben.
Oder Safe Browsing komplett zu deaktivieren und den Schutz z.B. Pihole oder Adblock oder uBlock zu überlassen (und nicht Google…).

pkernstock

DocFraggle Nein, leider nicht. Die URL Encryption scheint laut GitHub Issue nichts zu helfen. Ansonsten herrscht etwas allgemeine Ratlosigkeit auf Basis welcher Entscheidung Google’s Safe Browsing das so einstuft.

Hatte mich zudem auch letztens mehr auf allgemeine Bugfixes gestuerzt, weil das wenigstens erklaerbar ist…

tweyhr3156

Tritt das “nur” bei Mailcow-Instanzen auf?
Ich habe auf einem anderen Server ebenfalls SOGo laufen, aber nativ installiert.
Bei den Domains ist das bisher nicht passiert. Allerdings werden die auch nicht so häufig frequentiert.

Wie ist das bei euch?

pkernstock

Das spannende ist… bei mir tritt das gar nicht auf (bisher). Bin jedoch auch noch auf 2025-07 (was jedoch wohl laut User-Reports keinen Unterschied zu machen scheint).

tweyhr3156

pkernstock
Das ist natürlich mal interessant. Nur was ist der Unterschied?

Meine Idee ist ja immer noch, dass die E-Mail-Adresse in der URL steht, bzw. wenn ein Nutzer sich deinen Bookmark auf sein Postfach legt, wird er ja auf die Mailcow-Anmeldeseite weitergeleitet.
Für Google sieht die Seite ja anders aus, daher vielleicht der Verdacht auf Phishing.
Google crawled die Seiten nicht. Das verhindert die robots.txt und die log-Files zeigen keinen google-Bot.
Also muss es durch eine KI sein, die lokal auf den Clients läuft und irgendwas Auffälliges an Google meldet.

esackbauer

Ich bin seit einer Woche auf 2025-09b und keine Probleme bisher. Habe allerdings auch schon ewig einen google-site-verification TXT record im Domain-DNS. Keine Ahnung ob das eine Rolle spielt.

DocFraggle

esackbauer Dito

mlcwuser

tweyhr3156 Also muss es durch eine KI sein, die lokal auf den Clients läuft und irgendwas Auffälliges an Google meldet.

Naja ob da jetzt wirklich loikale KI im Spiel ist weiss ich nicht, jetzt da aber Gemini auch in Chrome kommt, ist es warscheinlich, dass das auch dafür genutzt wird. 😉

KI, hin oder her, wichtig ist wohl folgendes: https://support.google.com/chrome/answer/13844634?co=GENIE.Platform%3DDesktop&oco=1#zippy=%1Chow-safe-browsing-works

TLDR: Wenn ich es richtig verstehe gibt es zwei Modi für Safe Browsing in Chrome: “Standard Protection” und “Enhanced protection”.

Wenn Ersteres eingestellt ist, sollten (wenn ich es richtig verstehe) eigentlich keine verdächtigen Seiten proaktiv analysiert werden. Bei aktivierter „Enhanced Protection” hingegen schon, und dafür bietet sich lokale KI natürlich an. Ob diese bereits genutzt wird, weiss ich allerdings nicht.

Fakt ist jedoch, dass der Browser laut obigem Link in Echtzeit Daten von Websites analysiert, die du besuchst, wenn die „Enhanced Protection” aktiv ist. So können potenziell riskante Websites und Iframes erkannt und du kannst vor ihnen gewarnt werden, selbst wenn Google zuvor keine Kenntnis davon hatte.

DocFraggle

Wie läuft das denn bei Euch @tweyhr3156, bekommt man eine Mail via Google Search Console o.ä. wenn die eigene Domain gelistet ist?

tweyhr3156

Wenn du die Domain mit der Search Console verbunden hat, bekommst du auf deine dort hinterlegte Adresse eine Mail, dass sozial Engineering erkannt wurde. Kurz darauf ist die Meldung auch in der Search Console sichtbar.

« Previous Page Next Page »