Mailcow邮件系统中Rspamd与Postfix mynetworks的配置问题解析

问题背景

在Mailcow邮件系统的最新版本更新后，许多管理员发现一个配置变化：Rspamd不再自动识别Postfix中mynetworks参数定义的网络范围。这导致来自这些网络的未认证邮件被Rspamd进行严格检查，甚至被软拒绝或标记为垃圾邮件。

技术原理分析

Mailcow系统由多个组件构成，其中Postfix负责邮件传输(MTA)，而Rspamd负责反垃圾邮件处理。在传统配置中：

1. Postfix的mynetworks参数定义了允许未认证转发的可信网络
2. Rspamd应当对这些网络发来的邮件采用更宽松的检查策略

最新版本中，开发者出于安全考虑修改了默认行为，要求管理员必须明确配置Rspamd的可信网络范围。

解决方案

方法一：修改Rspamd配置

编辑data/conf/rspamd/local.d/options.inc文件，在local_addrs参数中添加与Postfix mynetworks相同的网络范围：

local_addrs = [127.0.0.0/8, ::ffff:127.0.0.0/104, ::1/128, fe80::/10, 172.22.1.0/24, fd4d:6169:6c63:6f77::/64, 192.168.2.0/24];

注意结尾必须包含分号。修改后需重启Rspamd服务使配置生效。

方法二：使用管理界面配置

在Mailcow管理界面中：

1. 进入"系统"→"配置"→"选项"
2. 在"转发主机"部分添加需要排除的网络地址

注意事项

1. 安全考量：放宽对内部网络的检查可能增加垃圾邮件风险，建议仅对确实需要的网络进行配置
2. DKIM签名：来自非172.22网络的邮件可能不会自动签名，需要额外配置
3. IPv6支持：如需禁用IPv6，仍需在Postfix配置中设置，与Rspamd配置无关

最佳实践建议

1. 文档记录：建议管理员详细记录所做的网络例外配置
2. 定期审查：定期检查例外网络是否仍然需要
3. 分层防护：即使对内部网络，也应考虑保留基本的病毒和垃圾邮件检查

这一变更体现了Mailcow项目对安全性的重视，管理员需要理解其背后的安全考量，并根据实际业务需求进行合理配置。