mailcow: dockerized - Blog📰
mailcow: dockerized - Blog📰

🦾6️⃣4️⃣ 🐄 Janmuhary 2024 Update | Das Multiarch (x86 + ARM64) & Performance Update - Revision E

Niklas Meyer/DerLinkman enthalten in Updates
  About 1200 words 6 Minuten 
/images/2024/January/release-arm64.jpg

2024-01e (Release vom 08.02.2024)

Netfilter-Verbesserungen

  • Behobene Isolationsregel für iptables: Ein Problem in Bezug auf die Isolationsregel von mailcow in iptables wurde behoben. Dank der Beiträge von @FreddleSpl0it und @tomudding. PR #5700

  • Entspanntere IP-Überprüfung in NFTables.py: Eine entspanntere IP-Überprüfung in NFTables.py wurde eingestellt, um die Kompatibilität zu verbessern. Vielen Dank an @amorfo77 für den Beitrag. PR #5711

SOGo-Korrekturen

  • Behobener SOGo-Absturz auf älteren Kernels: Ein SOGo-Absturz, der auf Kernels älter als 5.10.0-X auftrat, wurde behoben. Danke an @DerLinkman für die Behebung. Commit

Dovecot-Verbesserung

  • Falsche Zeitzone in Logs behoben: Ein Problem mit der falschen Zeitzone in den Dovecot Logs wurde behoben. Der Dank geht an @DerLinkman für die Behebung. Commit

Unbound-Updates

  • Erhöhtes Intervall für Healthchecks: Das Intervall für Healthchecks wurde auf 30 Sekunden in Unbound angepasst, was die externen Anfragen reduzieren sollte. Beitrag von @DerLinkman. Commit

  • Entfernte Netcat-Überprüfungen: Netcat-Überprüfungen wurden aus den Unbound Healthchecks entfernt, um den Prozess zu optimieren. Dank an @DerLinkman. Commit

Für einen umfassenden Überblick über alle Änderungen verweisen wir auf den Changelog bei Github

Mittlerweile (am 06.02.2024 um genau zu sein) hat Docker auch endlich den Patch für die von uns in einem früheren Blogpost angekündigte IPv6 Problematik veröffentlicht. Damit entfällt die Sonderroutine bei Docker Versionen ab 25.0.3 endlich wieder.

Ebenfalls ist uns auch die “Problematik” mit SOGo und der Fehlermeldung im Editor bekannt. Dahingehend haben wir bereits Kontakt aufgenommen, so dass wir (wenn es implementiert wurde) die mit dem 2024-01e ausgelieferte SOGo Version einfach drüber patchen, mit dem Fix. So entsteht nicht erneut ein Subrelease, wie dieser hier.

2024-01c (Release vom 02.02.2024)

Wichtig

Dieses Update enthält eine Sicherheitsbehebung, so dass wir allen Benutzern dringend empfehlen, auf diese neueste Version zu aktualisieren, um die Sicherheit ihrer Systeme zu gewährleisten. Benutzer, die nicht aktualisieren können und ihr System mit potenziellen Angreifern im selben Netzwerk teilen, wie z. B. bei einigen Hosting-Anbietern, sollten die folgende iptables/nftables-Regel anwenden:

iptables:

1

iptables -I DOCKER-USER ! -i br-mailcow -o br-mailcow -p tcp -m multiport --dport 3306,6379,8983,12345 -j DROP

nftables:

1

nft insert rule ip "filter" "DOCKER-USER" iifname != "br-mailcow" oifname "br-mailcow" tcp dport {3306, 6379, 8983, 12345} counter packets 0 bytes 0 drop

Was sich sonst noch so getan hat:

  • Es wurde ein SOGo Bug gefixt, welcher die ACL “Authentifizierte Benutzer” nicht mehr angezeigt hatte.
  • Die Postscreen Access Liste wurde aktualisiert.

Für den neuen Sicherheitsfix wurde bereits eine CVE vergeben.

Der letzte Sicherheitsfix hat die CVE 2024-23824. Hier noch einmal die Seite dazu: https://github.com/mailcow/mailcow-dockerized/security/advisories/GHSA-45rv-3c5p-w4h7

Für die neue Sicherheitslücke haben wir ebenfalls eine CVE beantragt, den Report könnt ihr aber hier lesen: https://github.com/mailcow/mailcow-dockerized/security/advisories/GHSA-gmpj-5xcm-xxx6

2024-01b (Release vom 22.01.2024)

  • Wir haben die von einem cURL Submodul Bug geplagten Container (phpfpm, unbound, watchdog & acme) in ihrer Alpine Version von 3.19 auf 3.18 downgraded. Dies sollte die Notwendigkeit des Workarounds (siehe hier) obsolet machen. Wir werden auf Alpine 3.19 in diesen Containern (wahrscheinlich) im 2024-02 Update zurück kommen (vorausgesetzt der Bug ist dann behoben).

  • Es ist nun möglich die Unbound Healthchecks zu deaktivieren bzw. zu überspringen. Hintergrund (Primär) ist das Geo Blocking von einigen Ländern (China bspw.) welche den Zugriff via DNS auf GitHub untersagen, der Check allerdings darauf aufbaut. Dafür wurde eine neue mailcow Variable gesetzt (SKIP_UNBOUND_HEALTHCHECK)

    Vorsicht
    Wir empfehlen diesen Wert nicht zu setzen, da der Healthcheck Probleme die für die korrekte Erreichbarkeit ins Internet wichtig ist

  • Es wurde ein Bug gefixt, welcher die Watchdog Webhooks betrifft, welcher dafür sorgte, dass die Webhooks nicht korrekt Formatiert wurden und keine Informationen auf der jeweiligen Plattform angezeigt wurden.

2024-01a (Release vom 18.01.2024)

  • Der Timeout für den Unbound Healthcheck wurde von 10 auf 30 Sekunden erhöht. Bei einigen Systemen kam es durch die erweiterten Checks zu einem Status Unhealthy obwohl diese in Ordnung waren.

2024-01 (Release vom 17.01.2024)

Moohoo Alle zusammen!

Wir hoffen ihr hattet einen guten Start in das noch junge 2024. Wie bereits im vorfeld auf Social Media (X/Twitter: @mailcow_email, Mastodon: @doncow@mailcow.social) angekündigt erscheint heute endlich das lang ersehnte ARM64 bzw. Multiarch Update worauf wir langezeit mit höhen und tiefen hingearbeitet haben.

Um die Frage direkt im vorfeld zu klären: Ändern tut sich für alle bestehenden mailcow Installationen nichts (zumindest nicht geplant). Dieses Update läuft ebenfalls wie alle bisherigen Updates ab ohne manuelle Anpassungen eurerseits. mailcow bleibt im Umfang genauso wie bisher auch, nur, dass wir ab heute auch eine neue Nutzerschaft willkommen heißen können: die ARM64 User.

Falls ihr neu dabei seid: “Hallo 👋, schön dass ihr hier seid!”.

Und an alle die, die überlegen auf ARM64 zu switchen: “Danke, dass ihr neue und effizientere Techniken nutzt 😁”.

Falls ihr euch fragt: “Gibt es irgendetwas zu beachten bei der Installation/Migration? auf die neue Plattform?” Außer die Dokumentation (wie in der Regel immer) zu lesen nicht! Denn dabei werdet ihr feststellen, dass sich die Installation von mailcow gar nicht verändert hat!

Aber genug der langen Rede, was hat sich denn nun alles geändert? Schauen wir doch mal:

Achtung
Bitte erstellt sicherheitshalber ein komplettes mailcow Backup bevor Ihr das Update durchführt!
Schäden können auch nach unzähligen erfolgreich abgeschlossenen Tests durch die Unterbau Änderungen nicht ausgeschlossen werden!!
Es gilt: Kein Backup, kein Mitleid

Changelog

  • mailcow ist nun ARM64 kompatibel:

    • Einige mailcow Unterbauten wurden umgebaut, um auf ARM64 und x86 parallel lauffähig zu sein, darunter Dovecot, SOGo, Rspamd, Clamd.
    • ALLE Docker Images (beginnend mit dem 2024-01 Update) sind nun für x86 und ARM64 (aarch64) verfügbar.
    • Die Migrations- und Backupskripte wurden angepasst um diskrepanzen bei den Architekturen zu erkennen und Maßnahmen zu ergreifen, welche beim Architekturwechsel zu einem Crash seitens mailcow führen könnten, sollten diese nicht beachtet werden (Rspamd Cashing Volume wird ausgelassen).

  • Alle auf Alpine basierenden mailcow Komponenten wurden auf Alpine 3.19 aktualisiert. (Danke an @MAGICCC und @DerLinkman).

  • Serverseitiges Processing für das Laden von den Domain- und Mailbox-Tabellen wurde eingefügt. mailcows mit vielen Domains und oder Mailboxen sollten nun deutlich responsiver sein in der Bedienung der Web-UI (Danke an @feldsam fürs Implementieren!).

  • Für SOGo wurde eine Option standartmäßig aktiviert, welche Bilder aus Signaturen nicht nochmal extra als Anhang anhängt, was bisher der Fall war. (Danke an den mittlerweile gelöschten User (auf GitHub)).

  • Die Postscreen Access List wurde aktualisiert (Stand 01.01.2024)

  • Einige Übersetzungen wurden überarbeitet.

Ich erinnere gerne nochmal daran, euch einen riesen gefallen zu tun und einfach mal ein Backup vor dem Update zu machen. Zwar haben wir natürlich ausgiebig die ganzen Änderungen getestet aber es kann natürlich gerade bei stark angepassten Installationen zu Fehlern kommen. Haltet das einfach im Hinterkopf :)

Ansonsten wie immer ein riesiges Dankeschön an unsere großartige mailcow-Community für eure anhaltende Unterstützung und euer wertvolles Feedback.

Wir werden uns spätestens im Februar wieder sehen zu einem neuen Update. Ob es das LDAP Update im Februar wird steht noch nicht fest, wir halten euch da natürlich auf dem laufenden.

Anonsten bleibt gesund und frohes Mailing.

Euer mailcow-Team

Niklas

Bild von Samuel auf Pixabay

Aktualisiert am 04.04.2024 
2024UpdateChangelogARM64MajorSicherheit
Zurück | Startseite
0%