Mailcow邮件服务器Exchange ActiveSync认证问题分析与解决方案

Exchange ActiveSync (EAS)协议作为微软开发的移动设备邮件同步协议，被广泛应用于iOS、Android等移动设备的邮件客户端中。近期Mailcow邮件服务器在2025-03b版本更新后，部分用户报告了使用应用密码(App Password)通过EAS协议认证失败的问题，本文将深入分析问题原因并提供解决方案。

问题现象

升级至Mailcow 2025-03b版本后，用户在使用Apple Mail等支持EAS协议的客户端时遇到以下症状：

1. 客户端能够连接但无法显示任何邮件文件夹
2. 新邮件无法正常接收推送
3. 仅在使用应用密码时出现此问题，使用主密码或通过OIDC流程生成的密码仍可正常工作
4. IMAP协议和SOGo网页端访问不受影响

技术分析

通过分析日志和代码变更，我们发现问题的根源在于认证流程中的服务类型判断逻辑：

1. 认证流程变化：2025-03b版本对Dovecot认证模块进行了重构，特别是passwd-verify.lua和mailcowauth.php文件的修改影响了认证逻辑。

2. 服务类型误判：当SOGo通过EAS协议请求Dovecot认证时，错误地将服务类型标识为IMAP而非EAS，导致应用密码检查失败。

3. 历史兼容性问题：旧版本中，如果请求来自SOGo内部IP地址，系统会忽略协议访问检查直接放行。新版本移除了这一特殊处理逻辑。

解决方案

Mailcow开发团队已提交修复补丁，主要包含以下修改：

1. 服务类型判断修正：在mailcowauth.php中明确区分SOGo请求和其他请求类型：

$service = ($isSOGoRequest) ? false : array($post['service'] => true);

2. 认证逻辑优化：当检测到SOGo发起的请求时，不再强制验证特定协议权限，保持与历史版本兼容。

临时应对措施

在等待官方发布修复版本期间，管理员可采取以下临时解决方案：

1. 回退认证模块：将data/conf/dovecot/auth/passwd-verify.lua文件恢复至2025-03a版本内容。

2. 修改应用密码设置：为用户的应用密码同时启用IMAP和EAS协议权限。

3. 使用主密码认证：临时切换至主密码认证方式（需注意安全风险）。

最佳实践建议

1. 测试环境验证：