Mailcow Dashboard nicht mehr erreichbar

MaxPain

Ich habe einen Mailcow Server ca. 2 Jahre aktuell am laufen seit Heute kann ich nicht mehr das Dashboard öffnen.
MailCow wurde im Stack installiert mit Docker + Treafik und Crowdsec, nach dieser Anleitung:

https://goneuland.de/mailcow-e-mail-komplettsytem-mit-antivirus-spam-filer-webmail-webfrontend-installieren-mittels-docker-und-traefik/

System:
Ubuntu 22.04.5
Mailcow
Treafik
Crowdsec

Folgendes ist jetzt das Problem:
Von einen auf den anderen Tag kam die Meldung, “Forbidden” wenn ich das Dashboard öffnen wollte. Erreichbar ist mein Mailcow Dashboard normalerweise über https://mail.XXX.de zudem ist mein Traefik Dashboard https://traefik.XXX.de auch nicht mehr erreichbar und ergab auch die Meldung “forbidden” anonsten stand da nichts.

Folgende Dinge habe ich probiert:

Server neugestartet = gleicher fehler
SSH History ausgelesen und Logins IPs überprüft = Nur meine IP wird angezeigt, also falls ein Hack stattgefunden hat ist SSH aktuell nicht komprimitiert sondern “vermutlich” nur der MailCow Admin Account.
Meine IP über Docker gewhitelistet: "docker exec -it mailcowdockerized-netfilter-mailcow-1 nft add rule ip filter input ip saddr XX.XX.XXX.X accept comment “Meine-IP whitelist” = Selber Fehler

###Wichtig###

Netfilter geflusht (laut ChatGPT) :
docker exec -it mailcowdockerized-netfilter-mailcow-1 nft flush table ip filter
docker exec -it mailcowdockerized-netfilter-mailcow-1 nft flush table ip6 filter

Ab hier kam dann nicht mehr der Fehler: “Forbidden” sondern “404 page not found” Wenn ich nun die Dashboards öffnen will, auch nach einem Restart kommt immernoch “404 page not found”
Also irgendwas hat das bewirkt aber was genau weiß ich auch nicht leider.
###Wichtig###

Was ich noch geprüft habe:
SSL-Zertifikate sind noch gültig.
Docker-Netzwerk: Beide Container (Traefik & Mailcow-Nginx) sind korrekt verbunden und haben IPs.
Traefik-Logs: Nur „Configuration loaded from file“ – keine Fehler.

Die Mailadressen funktionieren unter Thunderbird und jeglichen Email Clienten ganz normal ohne Probleme aber ich komme nicht mehr in die Dashboards.
Ich habe weder das System geupdated noch sonst was am Server gemacht die letzten Tage, er lief normal vor sich hin, das war einfach von einen auf den anderen Tag so. Vorgestern kann ich mich erinnern habe ich mich auch noch ins Dashboard eingeloggt und routine mässig die Bruteforces Attacken durchgeschaut. Zudem weiß ich zu 100% das ich meine IP gewhitlistet habe, meine eigene IP hat sich auch nicht geändert das habe ich überprüft.

Ich bin mit meinem Latein am Ende. Ich habe jetzt mit dem Backup Script Mailcow gesichert. Notfalls werde ich das gesamte System neu Aufsetzen nach der selben Anleitung. Weiß eventuell jemand rat?

accolon

MaxPain Ich habe weder das System geupdated noch sonst was am Server gemacht die letzten Tage

Wenn du das nicht geschrieben hättest, wäre meine erste Vermutung (v.a. weil es auch Traefik selbst betrifft) gewesen, dass du auf Docker 29 aktualisiert hast: traefik/traefik12253

Schau trotzdem mal mit docker -v nach.

MaxPain

accolon Du hast recht, die Version ist tatsächlich Docker version 29.0.1, build eedd969

Wenn es davon abhängig ist, ist die Frage muss ich downgraden? und wenn ja wie muss ich den Downgrade durchführen ohne die alten Konfigurationen zu verlieren

accolon

Ich nutze selbst kein Traefik, aber offenbar gibt es einen Hotfix: traefik/traefikreleases/tag/v3.6.1

Es sollte also reichen, Traefik zu aktualisieren.

Laut dem Issue, das ich oben verlinkt habe, kannst du alternativ auf Docker 28 downgraden (was keine Auswirkung auf die Konfiguration hat): traefik/traefik12253

Ich bin selbst noch auf Docker 28 geblieben, da außer Traefik auch andere Software Probleme mit Docker 29 hat.

MaxPain

Nach einer langen Nacht habe ich alles wieder zum laufen bekommen, ohne eine Neuinstallation. Die Traefik Version Aktuallisierung war kein problem aber es stellte sich herauß das ich auch Anpassungen bei der docker-compose.override.yml Datei vornehmen musste, damit das Mailcow Dashboard wieder erreichbar ist, da traefik 3.6.1 eine andere Eingabe für das routing benötigt als die version 2.10 verlangt. Bis ich darauf gekommen bin sind jetzt Stunden vergangen. Nach der Aktuallisierung war lediglich das Traefik Dashboard wieder verfügbar. Ich habe jetzt eine Anleitung geschrieben für diesen speziellen Fall.

Wichtige Infos 16.11.2025 :
Der Bug von Traefik und Docker wurde seitens Traefik selbst gefixt -> Version 3.6.1 funktioniert nun wieder problemlos.
traefik/traefik12253 <– issue post
traefik/traefik12271 <– Traefik fixxed the issue with a new version 3.6.1

Anleitung:

Vorwort:
Die Anleitung die ich hier beschreibe, um das problem zu lösen, ist speziel für den Stack von goneuland.de
https://goneuland.de/traefik-v2-3-reverse-proxy-mit-crowdsec-im-stack-einrichten/
+
https://goneuland.de/mailcow-e-mail-komplettsytem-mit-antivirus-spam-filer-webmail-webfrontend-installieren-mittels-docker-und-traefik/

#Wichtig#
Es geht NICHT um die Kombinierte Anleitung von
https://goneuland.de/traefik-v3-installation-konfiguration-und-crowdsec-security/
+
https://goneuland.de/mailcow-e-mail-komplettsytem-mit-antivirus-spam-filer-webmail-webfrontend-installieren-mittels-docker-und-traefik/

Wenn ihr die Anleitung für v3 von Anfang an benutzt habt um den Stack zu installieren so sind viele konfigurationen nicht gleich wie in der traefik v2-3 + Mailcow Anleitung deshalb ist meine Lösung für die kombi NICHT geeignet.
#Wichtig#

Anleitung für den Fix:

.env Datei bearbeiten im pfad “/opt/containers/traefik-crowdsec-stack”
cd /opt/containers/traefik-crowdsec-stack
nano .env
Traefik Version ändern in der Zeile wo 2.10 steht zu 3.6.1:
“SERVICES_TRAEFIK_IMAGE_VERSION=2.10”
ändern zu
“SERVICES_TRAEFIK_IMAGE_VERSION=3.6.1”
Im pfad “/opt/containers/traefik-crowdsec-stack” Docker compose container runterfahren
docker compose down
Neue Traefik version 3.6.1 installieren
docker compose pull
Host eingabe anpassungen vornehmen in der yml Datei “/opt/containers/mailcow/docker-compose.override.yml” (Traefik 3.6.1 verlangt ein andere eingabe als Traefik 2.10)
nano /opt/containers/mailcow/docker-compose.override.yml
Hier sollte aktuell folgendes stehen:
traefik.http.routers.nginx-mailcow-secure.rule: Host(mail.euredomain.de,autodiscover.euredomain.de,autoconfig.euredomain.de,mta-sts.euredomain.de,imap.euredomain.de,pop3.euredomain.de,smtp.euredomain.de)`

#####DAS MÜSST IHR ÄNDERN ZU####

traefik.http.routers.nginx-mailcow-secure.rule: “Host(mail.euredomain.de) Host(autodiscover.euredomain.de) Host(autoconfig.euredomain.de) Host(mta-sts.euredomain.de) Host(imap.euredomain.de) Host(pop3.euredomain.de) Host(smtp.euredomain.de)”

Traefik Container wieder starten/hochfahren im pfad /opt/containers/traefik-crowdsec-stack
cd /opt/containers/traefik-crowdsec-stack
docker compose up -d
Fertig jetzt sollte sowohl das Traefik Dashboard als auch das Mailcow Dashboard wieder erreichbar sein.

Ich weiß das ganze ist sehr speziell aber wenn ich nur einem damit geholfen habe um ihm die Kopfschmerzen mit der stundenlangen Recherche zu ersparen, bin ich zufrieden. Danke an @accolon der mich auf das Github Issue aufmerksam gemacht hat und mich damit auf die richtige Fährte führte.