RspamD ssl connect error: syscall fail: Connection reset by peer

CK_beats

Hallo zusammen,
ich habe in den RspamD Logs jeden Abend pünktlich um 18 Uhr Fehlermeldungen, dass die Filter-Maps nicht korrekt aktualisiert werden konnten:

`error reading https://maps.rspamd.com/rspamd/mid.inc.zst(157.180.118.77:443): connection with http server terminated incorrectly: ssl connect error: syscall fail: Connection reset by peer´

error reading https://maps.rspamd.com/rspamd/redirectors.inc.zst(157.180.118.77:443): connection with http server terminated incorrectly: ssl connect error: syscall fail: Connection reset by peer

error reading https://maps.rspamd.com/rspamd/spf_dkim_whitelist.inc.zst(157.180.118.77:443): connection with http server terminated incorrectly: ssl connect error: syscall fail: Connection reset by peer

Ich vermute einen Zertifikatsfehler.
Gestern habe ich testweise die Listen per CURL heruntergeladen.
Auch CURL meldete, dass das Zertifikat abgelaufen ist.
Beim Überprüfen stellte ich aber ein gültiges Let’s encrypt Zertifikat fest.

Ich finde den Fehler aber nicht.
Unser Mailcow wird hinter einer OPNsense Firewall betrieben, Squid Webproxy ist aktiv. Transparenter Proxy mit SSL Bumping eingerichtet.
Durch einen Konfigurationsfehler musste Mailcow auch über den Squid nach außen, was zu einem Zertifikatsfehler geführt hat.
Das ist aber unterbunden, Mailcow darf mit seinen Ports lt. Installationsanleitung direkt nach außen.
Trotzdem bleibt der Fehler.

Was mache ich falsch bzw. kann jemand diese Fehlermeldungen reproduzieren?
Viele Grüße
Constantin

DocFraggle

Ist das Zertifikat von Eurem transparenten Proxy abgelaufen? Schau Dir das Zertifikat doch mal an das da abgelaufen ist

CK_beats

Mailcow kommt mit allen Ports direkt nach außen. Konfiguration der Firewall wurde angepasst und geprüft.
Mailcow fragt fleißig über Port 53, 443 und 80 ab.
Nutzt nicht mehr den transparenten Proxy.
Hier wäre der Fehler nachvollziehbar, da das Zertifikat des Proxy

a) auf Mailcow nicht vorhanden,
b) mit interner Root-CA vergeben wurde.

Gerade nochmals mittels CURL probiert:

curl https://maps.rspamd.com/rspamd/spf_dkim_whitelist.inc.zst -o temp.zst
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
curl: (60) SSL certificate problem: certificate has expired
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Gerade nochmals mittels CURL probiert:

curl https://maps.rspamd.com/rspamd/spf_dkim_whitelist.inc.zst -o temp.zst
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
curl: (60) SSL certificate problem: certificate has expired
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

DocFraggle

Mach doch mal

curl -v https://maps.rspamd.com/rspamd/spf_dkim_whitelist.inc.zst -o temp.zst

Dann siehst Du das Zertifikat, bei mir z.B.

...
* SSL connection using TLSv1.2 / ECDHE-ECDSA-AES256-GCM-SHA384
* ALPN: server accepted http/1.1
* Server certificate:
*  subject: CN=maps.rspamd.com
*  start date: Aug 19 21:57:38 2025 GMT
*  expire date: Nov 17 21:57:37 2025 GMT
*  subjectAltName: host "maps.rspamd.com" matched cert's "maps.rspamd.com"
*  issuer: C=US; O=Let's Encrypt; CN=E6
*  SSL certificate verify ok.
...

CK_beats

DocFraggle

So müsste es aussehen.
Das würde mich auch freuen.
Bei mir kommt einfach eine Ungültigkeitsmeldung des Zertifikats, weil abgelaufen:

curl -v https://maps.rspamd.com/rspamd/spf_dkim_whitelist.inc.zst -o temp.zst
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0*   Trying 151.115.41.123:443...
* Connected to maps.rspamd.com (151.115.41.123) port 443 (#0)
* ALPN: offers h2,http/1.1
} [5 bytes data]
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
} [512 bytes data]
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
{ [5 bytes data]
* TLSv1.3 (IN), TLS handshake, Server hello (2):
{ [112 bytes data]
* TLSv1.2 (IN), TLS handshake, Certificate (11):
{ [2041 bytes data]
* TLSv1.2 (OUT), TLS alert, certificate expired (557):
} [2 bytes data]
* SSL certificate problem: certificate has expired
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
* Closing connection 0

Ich bin noch nicht der absolute “Crack” in Sachen Linux.
Es kann nicht sein, dass er irgendwo ein abgelaufenes Zertifikat im Zwischenspeicher hat und gar nicht das angebotene Zertifikat des Webservers prüft?

DocFraggle

CK_beats maps.rspamd.com (151.115.41.123)Ich habe gerade 15 verschiedene DNS Abfragetools durchgetestet, die IP die Du aufgelöst bekommst kommt bei mir nirgends raus.

# host maps.rspamd.com
maps.rspamd.com has address 157.180.118.77

Auch mein curl heute Morgen hat mir schon die IP ausgespuckt. Dein DNS Server scheint Dir da eine veraltete IP auszuspucken

EDIT: und ja, bei der “alten” IP ist das Zertifikat tatsächlich abgelaufen

openssl s_client -connect 151.115.41.123:443 -servername maps.rspamd.com </dev/null 2>/dev/null | openssl x509 -noout -text

...
        Validity
            Not Before: Jun  3 22:06:21 2025 GMT
            Not After : Sep  1 22:06:20 2025 GMT
        Subject: CN = maps.rspamd.com
...

Da es schon am 1.9. abgelaufen ist scheint Dein DNS Cache schon ziemlich alt zu sein :/

CK_beats

DocFraggle
Du bist super!!
Tausend Dank!
Eine völlig andere IP ist mir überhaupt nicht aufgefallen.
Unser DNS Server auf Windows-Basis löst wieder auch eine andere IP auf.

Jetzt stellt sich nur die Frage, woher Mailcow seine DNS Informationen bezieht?
Soweit ich weiß nutzt Debian keinen Cache?!

Als DNS Server in Debian ist unser eigener DNS Server eingetragen. Den scheint er aber überhaupt nicht abzufragen.

DocFraggle

Der rspamd Container nutzt den unbound Container für DNS Abfragen. Der wiederum fängt bei den Root Hints an sich von oben nach unten durchzuhangeln bis er dann beim zuständigen DNS Server für die Domain rsmapd.com landet.

Klappt bei mir auch ausm Container raus mit o.g. IP als Resultat:

cd /opt/mailcow-dockerized; docker compose exec rspamd-mailcow /bin/bash

root@rspamd:/# dig +trace maps.rspamd.com

; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> +trace maps.rspamd.com
;; global options: +cmd
.                       82443   IN      NS      c.root-servers.net.
.                       82443   IN      NS      d.root-servers.net.
.                       82443   IN      NS      b.root-servers.net.
.                       82443   IN      NS      j.root-servers.net.
.                       82443   IN      NS      e.root-servers.net.
.                       82443   IN      NS      h.root-servers.net.
.                       82443   IN      NS      g.root-servers.net.
.                       82443   IN      NS      a.root-servers.net.
.                       82443   IN      NS      k.root-servers.net.
.                       82443   IN      NS      m.root-servers.net.
.                       82443   IN      NS      i.root-servers.net.
.                       82443   IN      NS      f.root-servers.net.
.                       82443   IN      NS      l.root-servers.net.
.                       82443   IN      RRSIG   NS 8 0 518400 20251001050000 20250918040000 46441 . dDr4dZhXzoHz6NiYkbcrhbHEXVEBWR8DhiBEg4FK7f2+YFS/Gu0Vhd9V LhO/D07QsC8/HDlf866Y/pt+BO9c8WaE15oLtxeeMK6j07p7DwdGT11X Z6iJTIaMIYJCLdEsMgX8k2IMSOul0nDGGcLFUekHde1zMrz2Q0d1oSNs z5/3DyXZ/V0uiZk65rYfLjUEz9YJ6PbSes0OViQA2FeqBTG0m77ktJRw pn+gTV2y6ynewwNCIgebDliVzz6m8KOza/qmDvudrBH9YonRX51kR+38 UNTJeGnxOJFcr4h8xZbY7fdC7Og69RTdMZHbtISCCahT7pdHz7jRdKAR 6blpUw==
;; Received 525 bytes from 127.0.0.11#53(127.0.0.11) in 4 ms

com.                    172800  IN      NS      a.gtld-servers.net.
com.                    172800  IN      NS      b.gtld-servers.net.
com.                    172800  IN      NS      c.gtld-servers.net.
com.                    172800  IN      NS      d.gtld-servers.net.
com.                    172800  IN      NS      e.gtld-servers.net.
com.                    172800  IN      NS      f.gtld-servers.net.
com.                    172800  IN      NS      g.gtld-servers.net.
com.                    172800  IN      NS      h.gtld-servers.net.
com.                    172800  IN      NS      i.gtld-servers.net.
com.                    172800  IN      NS      j.gtld-servers.net.
com.                    172800  IN      NS      k.gtld-servers.net.
com.                    172800  IN      NS      l.gtld-servers.net.
com.                    172800  IN      NS      m.gtld-servers.net.
com.                    86400   IN      DS      19718 13 2 8ACBB0CD28F41250A80A491389424D341522D946B0DA0C0291F2D3D7 71D7805A
com.                    86400   IN      RRSIG   DS 8 1 86400 20251001050000 20250918040000 46441 . duoJ2goM3cI/3I9ZB93sUFPdWClvVyZZW2ykuV7UpQ91O4WMJWTmBxka 9YN7Cj+wW74szT4nISHBB0ts8o0q3K9r1BJNuzJrGqeHsz6PlwD1Z+Ev KRwrhUhiipVuBLncIjm5uOKdP/Du1VYwPBpwKT5rIeqBCUKEbclmOVn0 IG8JTOVHzQFwrxRCz64zZIPLvffjLTj3Y7MUDkFwAex/eoTaUrTl8ddC cIw9FvkUTEuI0Cbs02wqMUymELEQRVQ8kkUdST5uPoC3LEJCcwrozrJ6 Ie1PEk+c8ty5UCQRrFnMQsvH6rWe+wANvlXw8qaZhXc/4GsRPiAv2Kyr 23aMug==
;; Received 1175 bytes from 198.97.190.53#53(h.root-servers.net) in 4 ms

rspamd.com.             172800  IN      NS      vm-ns-1.rspamd.net.
rspamd.com.             172800  IN      NS      vm-ns-2.rspamd.net.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 900 IN NSEC3 1 1 0 - CK0Q3UDG8CEKKAE7RUKPGCT1DVSSH8LL NS SOA RRSIG DNSKEY NSEC3PARAM
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 900 IN RRSIG NSEC3 13 2 900 20250924002611 20250916231611 20545 com. pd4Ns+LJVpNSAHkyxMDNDOxfu+SCWzDKiGmIPpFEFNQYIqbUT1YR/YbZ xhsdKXXTjSxDU5qrOVpaGIQX0l4M/Q==
FJPTJ1VQHN3QVBOCV8B4C5VA2S54GEE7.com. 900 IN NSEC3 1 1 0 - FJPTSI8HJUKMQ0GP9BNA0IRI6FAK8M2Q NS DS RRSIG
FJPTJ1VQHN3QVBOCV8B4C5VA2S54GEE7.com. 900 IN RRSIG NSEC3 13 2 900 20250924020843 20250917005843 20545 com. FjJHeWgUuEX03h6PD8J8uYwquntf0EW7aJxlNRdzIYYAAT2QGL/u8Dm9 +IjzOkTSEYl9HhsJT7VGO2XuSjsV5A==
;; Received 455 bytes from 2001:500:d937::30#53(l.gtld-servers.net) in 12 ms

maps.rspamd.com.        3600    IN      A       157.180.118.77
;; Received 60 bytes from 51.15.61.45#53(vm-ns-2.rspamd.net) in 20 ms

CK_beats

Das Interessante ist:
Über die Docker-Ausgabe erhalte ich ebenfalls

maps.rspamd.com. 3600 IN A 157.180.118.77

exakt wie Du.
Jedoch wenn ich wieder per Curl abfrage:

curl -v https://maps.rspamd.com
*   Trying 151.115.41.123:443...
* Connected to maps.rspamd.com (151.115.41.123) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, certificate expired (557):
* SSL certificate problem: certificate has expired
* Closing connection 0
curl: (60) SSL certificate problem: certificate has expired
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Tante Edit:
Anscheinend hat RspamD mittlerweile die neue IP aufgelöst.

error reading https://maps.rspamd.com/rspamd/redirectors.inc.zst(157.180.118.77:443): connection with http server terminated incorrectly: IO read error: unexpected EOF

Der Fehler könnte noch davon kommen, dass ich an der Firewall-Config herumgedoktert habe und dadurch die Verbindung getrennt wurde.
Evtl. hat es sich gerade von selbst erübrigt.

CK_beats

Irgendwie wird das leider nicht besser:

RspamD sagt
error reading https://maps.rspamd.com/rspamd/mid.inc.zst(157.180.118.77:443): connection with http server terminated incorrectly: ssl connect error: syscall fail: Connection reset by peer

Nslookup sagt

Name:    maps.rspamd.com
Address:  157.180.118.77

Soweit so korrekt.

Curl sagt:

curl  https://maps.rspamd.com/rspamd/mid.inc.zst
curl: (60) SSL certificate problem: certificate has expired
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Das kann doch irgendwie nicht sein.
Wo ist unser Fehler?
Das root-CA wird doch als Zertifikatskette seitens RspamD mitgeliefert, oder?

Edit:
Ich habe mir Curl -v nochmals abgefragt:
Per HTTPS wird auf eine andere IP verwiesen: 151.115.41.123. Nicht die o. g. 157.180.118.77.

Gibt es niemand, der das gleiche Problem hat?
Kann ich mir fast nicht vorstellen…

 curl -v  https://maps.rspamd.com/freemail/disposable.txt.zst
*   Trying 151.115.41.123:443...
* Connected to maps.rspamd.com (151.115.41.123) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, certificate expired (557):
* SSL certificate problem: certificate has expired
* Closing connection 0

Update zum Update:
Scheint tatsächlich einmal nicht an uns zu liegen!
SSL Labs meint dazu:

Revocation status Validation error
CRL ERROR: IOException occurred
DNS CAA No (more info)

ecdlguy

CK_beats Gibt es niemand, der das gleiche Problem hat?

Hi, doch und wie:

23.9.2025, 10:24:40 controller 72 map z84ycf error reading https://maps.rspamd.com/rspamd/spf_dkim_whitelist.inc.zst(157.180.118.77:443): connection with http server terminated incorrectly: ssl connect error: syscall fail: Connection timed out
23.9.2025, 08:25:33 controller 72 map htymxj error reading https://maps.rspamd.com/rspamd/mid.inc.zst(157.180.118.77:443): connection with http server terminated incorrectly: ssl connect error: syscall fail: Connection timed out
23.9.2025, 07:52:32 controller 72 map rqwcej error reading https://maps.rspamd.com/rspamd/phishing_whitelist.inc.zst(157.180.118.77:443): connection with http server terminated incorrectly: ssl connect error: ssl error: error:0A000126:SSL routines::unexpected eof while reading
23.9.2025, 07:22:36 controller 72 map u17hz7 error reading http://fuzzy.mailcow.email/bad-subject-regex.txt(95.217.129.125:80): connection with http server terminated incorrectly: IO write error: Connection timed out
23.9.2025, 06:16:09 controller 72 map 4×4rch error reading https://maps.rspamd.com/rspamd/redirectors.inc.zst(157.180.118.77:443): connection with http server terminated incorrectly: ssl connect error: ssl error: error:0A000126:SSL routines::unexpected eof while reading
23.9.2025, 05:26:06 controller 72 map sye7es error reading https://maps.rspamd.com/rspamd/dmarc_whitelist_new.inc.zst(157.180.118.77:443): connection with http server terminated incorrectly: ssl connect error: ssl error: error:0A000126:SSL routines::unexpected eof while reading
23.9.2025, 04:40:00 controller 72 map 9oqwi6 error reading http://sa-update.surbl.org/rspamd/surbl-hashbl-map.inc(78.47.239.92:80): connection with http server terminated incorrectly: IO write error: Connection timed out
23.9.2025, 04:11:37 controller 72 map 5h7xm3 error reading https://maps.rspamd.com/freemail/free.txt.zst(157.180.118.77:443): connection with http server terminated incorrectly: ssl connect error: ssl error: error:0A000126:SSL routines::unexpected eof while reading
23.9.2025, 02:46:41 controller 72 map rqwcej error reading https://maps.rspamd.com/rspamd/phishing_whitelist.inc.zst(157.180.118.77:443): connection with http server terminated incorrectly: ssl connect error: ssl error: error:0A000126:SSL routines::unexpected eof while reading
23.9.2025, 02:20:36 controller 72 map 9w5d95 error reading https://bazaar.abuse.ch/export/txt/md5/recent/(146.75.118.49:443): connection with http server terminated incorrectly: ssl connect error: syscall fail: Connection timed out

Wenn ich das mit curl teste, sieht alles gut aus:

@mail:~$ curl -v https://maps.rspamd.com/rspamd/spf_dkim_whitelist.inc.zst

Host maps.rspamd.com:443 was resolved.

IPv6: (none)

IPv4: 157.180.118.77

Trying 157.180.118.77:443…

Connected to maps.rspamd.com (157.180.118.77) port 443

ALPN: curl offers h2,http/1.1

TLSv1.3 (OUT), TLS handshake, Client hello (1):

CAfile: /etc/ssl/certs/ca-certificates.crt

CApath: /etc/ssl/certs

TLSv1.3 (IN), TLS handshake, Server hello (2):

TLSv1.2 (IN), TLS handshake, Certificate (11):

TLSv1.2 (IN), TLS handshake, Server key exchange (12):

TLSv1.2 (IN), TLS handshake, Server finished (14):

TLSv1.2 (OUT), TLS handshake, Client key exchange (16):

TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):

TLSv1.2 (OUT), TLS handshake, Finished (20):

TLSv1.2 (IN), TLS handshake, Finished (20):

SSL connection using TLSv1.2 / ECDHE-ECDSA-AES256-GCM-SHA384 / prime256v1 / id-ecPublicKey

ALPN: server accepted http/1.1

Server certificate:

subject: CN=maps.rspamd.com

start date: Aug 19 21:57:38 2025 GMT

expire date: Nov 17 21:57:37 2025 GMT

subjectAltName: host “maps.rspamd.com” matched cert’s “maps.rspamd.com”

issuer: C=US; O=Let’s Encrypt; CN=E6

SSL certificate verify ok.

Certificate level 0: Public key type EC/prime256v1 (256/128 Bits/secBits), signed using ecdsa-with-SHA384

Certificate level 1: Public key type EC/secp384r1 (384/192 Bits/secBits), signed using sha256WithRSAEncryption

Certificate level 2: Public key type RSA (4096/152 Bits/secBits), signed using sha256WithRSAEncryption

using HTTP/1.x

GET /rspamd/spf_dkim_whitelist.inc.zst HTTP/1.1
Host: maps.rspamd.com
User-Agent: curl/8.5.0
Accept: /

< HTTP/1.1 200 OK
< Server: nginx
< Date: Tue, 23 Sep 2025 08:41:27 GMT
< Content-Type: application/octet-stream
< Content-Length: 1227
< Last-Modified: Sat, 14 Jul 2018 10:20:01 GMT
< Connection: keep-alive
< Expires: Tue, 23 Sep 2025 12:41:27 GMT
< Cache-Control: max-age=14400
< Cache-Control: public
< Accept-Ranges: bytes
<
Warning: Binary output can mess up your terminal. Use “–output -” to tell
Warning: curl to output it to your terminal anyway, or consider "–output
Warning: <FILE>" to save to a file.

Failure writing output to destination

Closing connection

TLSv1.2 (OUT), TLS alert, close notify (256):

Wie kann man das weiter debuggen? Ich habe es auch aus dem rspamd Container heraus getestet, da geht es auch ohne Probleme (als wget und dig).

CK_beats

Stimmt!
Mit WGET aus dem Container heraus funktioniert bei mir ebenfalls:

root@rspamd:/# wget https://maps.rspamd.com/rspamd/mid.inc.zst
--2025-09-23 12:34:39--  https://maps.rspamd.com/rspamd/mid.inc.zst
Resolving maps.rspamd.com (maps.rspamd.com)... 157.180.118.77
Connecting to maps.rspamd.com (maps.rspamd.com)|157.180.118.77|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 541 [application/octet-stream]
Saving to: 'mid.inc.zst'

mid.inc.zst         100%[===================>]     541  --.-KB/s    in 0s

2025-09-23 12:34:39 (5.64 MB/s) - 'mid.inc.zst' saved [541/541]

Lässt sich irgendwo prüfen, ob die RspamD Maps aktualisiert wurden oder der Datenstand veraltet ist?

Wenn ich das mit curl teste, sieht alles gut aus:

Warum verweist mein System hier immer auf eine andere IP?
Wo hängt bei mir die DNS Auflösung?

curl -v https://maps.rspamd.com/rspamd/spf_dkim_whitelist.inc.zst

Trying 151.115.41.123:443…

Connected to maps.rspamd.com (151.115.41.123) port 443 (#0)

ALPN: offers h2,http/1.1

TLSv1.3 (OUT), TLS handshake, Client hello (1):

CAfile: /etc/ssl/certs/ca-certificates.crt

CApath: /etc/ssl/certs

TLSv1.3 (IN), TLS handshake, Server hello (2):

TLSv1.2 (IN), TLS handshake, Certificate (11):

TLSv1.2 (OUT), TLS alert, certificate expired (557):

SSL certificate problem: certificate has expired

Closing connection 0
curl: (60) SSL certificate problem: certificate has expired
More details here: https://curl.se/docs/sslcerts.html

olmo1501

I am seeing the exact same thing. Log is being flooded with these lines:

24.9.2025, 14:54:13	controller	39	map	htymxj	error reading https://maps.rspamd.com/rspamd/mid.inc.zst(157.180.118.77:443): connection with http server terminated incorrectly: IO read error: unexpected EOF
24.9.2025, 14:54:10	controller	39	map	4x4rch	error reading https://maps.rspamd.com/rspamd/redirectors.inc.zst(157.180.118.77:443): connection with http server terminated incorrectly: ssl connect error: ssl error: error:0A000126:SSL routines::unexpected eof while reading
24.9.2025, 14:49:40	controller	39	map	o856fg	error reading https://maps.rspamd.com/freemail/disposable.txt.zst(157.180.118.77:443): connection with http server terminated incorrectly: ssl connect error: ssl error: error:0A000126:SSL routines::unexpected eof while reading

Over the past weekend I tried to find out if it was just being my system or a general problem and installed mailcow in a newly created VM. I immediately started getting these errors.

I checked on some of these files and found them being rather old, so I am not to worried:

root@mail:/opt/mailcow-dockerized/data/conf/rspamd# ls -la /var/lib/docker/overlay2/0519846e1b7a0f6acaac86822707456e340f1813200927e0de89ca01f5d4843f/diff/etc/rspamd/maps.d/mid.inc
-rw-r--r-- 1 root root 600 Jun 17 11:34 /var/lib/docker/overlay2/0519846e1b7a0f6acaac86822707456e340f1813200927e0de89ca01f5d4843f/diff/etc/rspamd/maps.d/mid.inc
root@mail:/opt/mailcow-dockerized/data/conf/rspamd# ls -la /var/lib/docker/overlay2/0519846e1b7a0f6acaac86822707456e340f1813200927e0de89ca01f5d4843f/diff/etc/rspamd/maps.d/redirectors.inc
-rw-r--r-- 1 root root 9882 Jun 17 11:34 /var/lib/docker/overlay2/0519846e1b7a0f6acaac86822707456e340f1813200927e0de89ca01f5d4843f/diff/etc/rspamd/maps.d/redirectors.inc

Something seems to be wrong with rspamd at the moment. Maybe this is a problem with version 3.12.1?

CK_beats

olmo1501
Thank you for your reply!
I was worried that the problem was local to us only.
Glad to hear it affects other systems too.
Then I am reassured. 😅😅😅

DocFraggle

I have indeed the same errors… I’m suspecting the OpenSSL implementation of rspamd and switched all maps.rspamd.com URLs to HTTP as the files can be downloaded via HTTP as well 🙂

cd /opt/mailcow-dockerized; docker compose exec rspamd-mailcow /bin/bash

then inside the container:

cd /etc/rspamd/modules.d
sed -i 's#https://maps#http://maps#g' *.conf

Then restart the container

docker compose restart rspamd-mailcow

Now I have to watch what happens

CK_beats

DocFraggle

No changes so far…

24.9.2025, 20:10:47	controller	38	map	8pdax6	error reading http://maps.rspamd.com/rspamd/mime_types.inc.zst(157.180.118.77:80): connection with http server terminated incorrectly: IO read error: unexpected EOF
24.9.2025, 19:56:20	controller	38	map	yhhwsi	error reading http://maps.rspamd.com/rspamd/redirectors.inc.zst(157.180.118.77:80): connection with http server terminated incorrectly: IO read error: unexpected EOF
24.9.2025, 19:39:48	controller	38	map	15n9h8	error reading http://maps.rspamd.com/freemail/disposable.txt.zst(157.180.118.77:80): connection with http server terminated incorrectly: IO read error: unexpected EOF
24.9.2025, 19:10:03	controller	38	map	34mn94	error reading http://maps.rspamd.com/rspamd/disabled_rbls.inc.zst(157.180.118.77:80): connection with http server terminated incorrectly: IO read error: unexpected EOF
24.9.2025, 18:46:28	controller	38	map	15n9h8	error reading http://maps.rspamd.com/freemail/disposable.txt.zst(157.180.118.77:80): connection with http server terminated incorrectly: IO read error: unexpected EOF
24.9.2025, 18:10:13	controller	38	map	kj7cnh	error reading http://maps.rspamd.com/freemail/free.txt.zst(157.180.118.77:80): connection with http server terminated incorrectly: IO read error: unexpected EOF

I have implemented the settings according to your instructions.
Unfortunately there has been no improvement so far.

But now there ist now SSL-connection error! 😅😅😅

DocFraggle

CK_beats Yep, same here… was worth a try though 😄

olmo1501

Nice try. Aber HTTP statt HTTPS wäre ja auch keine Lösung gewesen. Aber als Indikator natürlich valide.

Sorry, ich hatte reflexartig Englisch genutzt, ohne großartig darüber nachzudenken.

DocFraggle

Nächster Versuch: habe mir die Files auf meinen eigenen Webserver gezogen und die URLs in Container dorthin umgebogen. Lass ich jetzt mal so laufen und schaue was passiert (via HTTPS).

Wers auch versuchen will:

#!/bin/bash
set -euo pipefail

BASE="/your/webserver/base/directory"

# list of maps from rspamd
URLS=(
  "https://maps.rspamd.com/freemail/free.txt.zst"
  "https://maps.rspamd.com/rspamd/mid.inc.zst"
  "https://maps.rspamd.com/rspamd/mime_types.inc.zst"
  "https://maps.rspamd.com/rspamd/redirectors.inc.zst"
  "https://maps.rspamd.com/freemail/disposable.txt.zst"
  "https://maps.rspamd.com/rspamd/phishing_whitelist.inc.zst"
  "https://maps.rspamd.com/rspamd/surbl-whitelist.inc.zst"
  "https://maps.rspamd.com/rspamd/disabled_rbls.inc.zst"
  "https://maps.rspamd.com/rspamd/spf_dkim_whitelist.inc.zst"
  "https://maps.rspamd.com/rspamd/dmarc_whitelist_new.inc.zst"
)

mkdir -p "$BASE/rspamd" "$BASE/freemail"

for url in "${URLS[@]}"; do
  # strip prefix
  path="${url#https://maps.rspamd.com/}"
  # ensure target dir exists
  mkdir -p "$BASE/$(dirname "$path")"
  echo "Downloading $url ? $BASE/$path"
  curl -fsSL "$url" -o "$BASE/$path"
done

Und dann im Container die URL via sed ersetzen, Container restarten

CK_beats

DocFraggle
Ich verstehe nur das Problem nicht.
Zuerst meldet RspamD einen Fehler beim HTTPS Zertifikat.
Ursache unbekannt?

Durch das Umbiegen der Verbindung auf HTTP erfolgt natürlich keine Zertifikatsprüfung.

Seitdem meldet RspamD nach dem Download, dass es das Dateiende nicht erwartet hat?

Die Idee die Files vom eigenen Webserver zu ziehen verstehe ich nicht ganz.
Es handelt sich ja letztendlich um dieselben Dateien.

DocFraggle

CK_beats Die Idee die Files vom eigenen Webserver zu ziehen verstehe ich nicht ganz.
Es handelt sich ja letztendlich um dieselben Dateien.

Ganz einfach: ich wollte schauen ob es am Webserver von rspamd lliegt. rspamd bringt angeblich eigene HTTP/S Libraries mit die den Download der Files machen. Darum wollte ich das einfach mal von einem anderen Webserver ziehen um Probleme auszuschliessen die die Libraries evtl mit deren Webserver Config haben.
Ich habe bisher keine einzige Fehlermeldung im Log (seit 2,5h) - scheint also zu funktionieren