MAIL-ALARM! Mailcow 2026-05 stopft JETZT die Web-Frontend-Lücke — DEIN Mailserver braucht das Update SOFORT

Mailcow ruft zum Mooay-Update auf

Die Macher von mailcow: dockerized haben für Mai 2026 eine Punktrelease unter dem Namen „Mooay 2026“ veröffentlicht — und es ist kein reines Quality-of-Life-Update. Im Web-Frontend lauerte ein Bug, bei dem HTML in Sieve-Filtern und im Queue-Manager nicht sauber escaped wurde. Die offizielle CVE-Nummer reicht das Team später nach, das Update sollte aber jetzt schon laufen.

Was genau wurde gefixt?

Konkret hat die Release drei Punkte angefasst:

• HTML-Escaping im Sieve-Filter-Editor und im Queue-Manager — verhindert XSS-Vektoren, die ein bösartiger Admin-Mitnutzer ausnutzen könnte.
• Postscreen access.cidr wurde aktualisiert. Damit bekommt dein MTA aktuellere Blocklisten gegen Spam-Quellen direkt nach dem Update.
• Weblate-Uebersetzungen wurden synchronisiert — gut für dich, falls du Mailcow im UI auf Deutsch fährst.

So updatest du sicher

Wenn du Mailcow im Docker-Setup betreibst, ist der Weg simpel: cd /opt/mailcow-dockerized && ./update.sh. Bevor du das machst, ziehst du ein Backup. Mailcow liefert dafür ./helper-scripts/backup_and_restore.sh mit, das deine Mail-Volumes und SQL-Daten in einen Snapshot wegschreibt. Plane fünf bis zehn Minuten Downtime für den Container-Neustart ein.

Warum das fuer Self-Hoster zaehlt

Mailcow ist neben Mailu und Stalwart einer der populärsten Wege, einen eigenen Mailserver aufzusetzen. Wer sich die DSGVO-Falle „Microsoft 365“ sparen will, landet schnell hier. Genau deshalb ist jeder Patch im Web-UI relevant — schließlich verwaltest du dort Domains, Mailboxen und Filter, und ein erfolgreiches XSS auf einen Admin-Account macht dein Postfix-Setup zur offenen Tür.

Quellen

• Mailcow Blog — Mooay 2026 Release
• GitHub Releases mailcow-dockerized