Add CLAMD_STARTUP_TIMEOUT to docker-compose.yml environment

Co-authored-by: DerLinkman <62480600+DerLinkman@users.noreply.github.com>
Use wall clock time for accurate elapsed time reporting
2026-02-18 23:26:24 +00:00 · 2025-12-11 13:19:07 +00:00 · 2025-12-11 12:44:20 +00:00 · 2025-12-11 12:43:03 +00:00 · 2025-12-11 12:41:19 +00:00 · 2025-12-11 12:39:49 +00:00
124 changed files with 4702 additions and 1620 deletions
--- a/.github/ISSUE_TEMPLATE/Bug_report.yml
+++ b/.github/ISSUE_TEMPLATE/Bug_report.yml
@@ -11,22 +11,35 @@ body:
        required: true
  - type: checkboxes
    attributes:
-      label: I've found a bug and checked that ...
-      description: Prior to placing the issue, please check following:** *(fill out each checkbox with an `X` once done)*
+      label: Checklist prior issue creation
+      description: Prior to creating the issue...
      options:
-      - label: ... I understand that not following the below instructions will result in immediate closure and/or deletion of my issue.
+      - label: I understand that failure to follow below instructions may cause this issue to be closed.
        required: true
-      - label: ... I have understood that this bug report is dedicated for bugs, and not for support-related inquiries.
+      - label: I understand that vague, incomplete or inaccurate information may cause this issue to be closed.
        required: true
-      - label: ... I have understood that answers are voluntary and community-driven, and not commercial support.
+      - label: I understand that this form is intended solely for reporting software bugs and not for support-related inquiries.
        required: true
-      - label: ... I have verified that my issue has not been already answered in the past. I also checked previous [issues](https://github.com/mailcow/mailcow-dockerized/issues).
+      - label: I understand that all responses are voluntary and community-driven, and do not constitute commercial support.
+        required: true
+      - label: I confirm that I have reviewed previous [issues](https://github.com/mailcow/mailcow-dockerized/issues) to ensure this matter has not already been addressed.
+        required: true
+      - label: I confirm that my environment meets all [prerequisite requirements](https://docs.mailcow.email/getstarted/prerequisite-system/) as specified in the official documentation.
        required: true
  - type: textarea
    attributes:
      label: Description
-      description: Please provide a brief description of the bug in 1-2 sentences. If applicable, add screenshots to help explain your problem. Very useful for bugs in mailcow UI.
-      render: plain text
+      description: Please provide a brief description of the bug. If applicable, add screenshots to help explain your problem. (Very useful for bugs in mailcow UI.)
+    validations:
+      required: true
+  - type: textarea
+    attributes:
+      label: "Steps to reproduce:"
+      description: "Please describe the steps to reproduce the bug. Screenshots can be added, if helpful."
+      placeholder: |-
+        1. ...
+        2. ...
+        3. ...
    validations:
      required: true
  - type: textarea
@@ -36,45 +49,36 @@ body:
      render: plain text
    validations:
      required: true
-  - type: textarea
-    attributes:
-      label: "Steps to reproduce:"
-      description: "Please describe the steps to reproduce the bug. Screenshots can be added, if helpful."
-      render: plain text
-      placeholder: |-
-        1. ...
-        2. ...
-        3. ...
-    validations:
-      required: true
  - type: markdown
    attributes:
      value: |
        ## System information
-        ### In this stage we would kindly ask you to attach general system information about your setup.
+        In this stage we would kindly ask you to attach general system information about your setup.
  - type: dropdown
    attributes:
      label: "Which branch are you using?"
-      description: "#### `git rev-parse --abbrev-ref HEAD`"
+      description: "#### Run: `git rev-parse --abbrev-ref HEAD`"
      multiple: false
      options:
-        - master
+        - master (stable)
+        - staging
        - nightly
    validations:
      required: true
  - type: dropdown
    attributes:
      label: "Which architecture are you using?"
-      description: "#### `uname -m`"
+      description: "#### Run: `uname -m`"
      multiple: false
      options:
-        - x86
+        - x86_64
        - ARM64 (aarch64)
    validations:
      required: true
  - type: input
    attributes:
      label: "Operating System:"
+      description: "#### Run: `lsb_release -ds`"
      placeholder: "e.g. Ubuntu 22.04 LTS"
    validations:
      required: true
@@ -93,43 +97,44 @@ body:
  - type: input
    attributes:
      label: "Virtualization technology:"
-      placeholder: "KVM, VMware, Xen, etc - **LXC and OpenVZ are not supported**"
+      description: "LXC and OpenVZ are not supported!"
+      placeholder: "KVM, VMware ESXi, Xen, etc"
    validations:
      required: true
  - type: input
    attributes:
      label: "Docker version:"
-      description: "#### `docker version`"
+      description: "#### Run: `docker version`"
      placeholder: "20.10.21"
    validations:
      required: true
  - type: input
    attributes:
      label: "docker-compose version or docker compose version:"
-      description: "#### `docker-compose version` or `docker compose version`"
+      description: "#### Run: `docker-compose version` or `docker compose version`"
      placeholder: "v2.12.2"
    validations:
      required: true
  - type: input
    attributes:
      label: "mailcow version:"
-      description: "#### ```git describe --tags `git rev-list --tags --max-count=1` ```"
-      placeholder: "2022-08"
+      description: "#### Run: ```git describe --tags `git rev-list --tags --max-count=1` ```"
+      placeholder: "2022-08x"
    validations:
      required: true
  - type: input
    attributes:
      label: "Reverse proxy:"
-      placeholder: "e.g. Nginx/Traefik"
+      placeholder: "e.g. nginx/Traefik, or none"
    validations:
      required: true
  - type: textarea
    attributes:
      label: "Logs of git diff:"
-      description: "#### Output of `git diff origin/master`, any other changes to the code? If so, **please post them**:"
+      description: "#### Output of `git diff origin/master`, any other changes to the code? Sanitize if needed. If so, **please post them**:"
      render: plain text
    validations:
-      required: true
+      required: false
  - type: textarea
    attributes:
      label: "Logs of iptables -L -vn:"
--- a/.github/workflows/close_old_issues_and_prs.yml
+++ b/.github/workflows/close_old_issues_and_prs.yml
@@ -14,7 +14,7 @@ jobs:
      pull-requests: write
    steps:
      - name: Mark/Close Stale Issues and Pull Requests 🗑️
-        uses: actions/stale@v9.1.0
+        uses: actions/stale@v10.1.1
        with:
          repo-token: ${{ secrets.STALE_ACTION_PAT }}
          days-before-stale: 60
--- a/.github/workflows/image_builds.yml
+++ b/.github/workflows/image_builds.yml
@@ -27,7 +27,7 @@ jobs:
          - "watchdog-mailcow"
    runs-on: ubuntu-latest
    steps:
-      - uses: actions/checkout@v4
+      - uses: actions/checkout@v6
      - name: Setup Docker
        run: |
          curl -sSL https://get.docker.com/ | CHANNEL=stable sudo sh
--- a/.github/workflows/pr_to_nightly.yml
+++ b/.github/workflows/pr_to_nightly.yml
@@ -8,11 +8,11 @@ jobs:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout repository
-        uses: actions/checkout@v4
+        uses: actions/checkout@v6
        with:
          fetch-depth: 0
      - name: Run the Action
-        uses: devops-infra/action-pull-request@v0.6.1
+        uses: devops-infra/action-pull-request@v1.0.2
        with:
          github_token: ${{ secrets.PRTONIGHTLY_ACTION_PAT }}
          title: Automatic PR to nightly from ${{ github.event.repository.updated_at}}
--- a/.github/workflows/rebuild_backup_image.yml
+++ b/.github/workflows/rebuild_backup_image.yml
@@ -13,7 +13,7 @@ jobs:
      packages: write
    steps:
      - name: Checkout
-        uses: actions/checkout@v4
+        uses: actions/checkout@v6

      - name: Set up QEMU
        uses: docker/setup-qemu-action@v3
--- a/.github/workflows/update_postscreen_access_list.yml
+++ b/.github/workflows/update_postscreen_access_list.yml
@@ -15,7 +15,7 @@ jobs:
   runs-on: ubuntu-latest
   steps:
    - name: Checkout
-      uses: actions/checkout@v4
+      uses: actions/checkout@v6

    - name: Generate postscreen_access.cidr
      run: |
--- a/CONTRIBUTING.md
+++ b/CONTRIBUTING.md
@@ -1,11 +1,11 @@
 # Contribution Guidelines
-**_Last modified on 15th August 2024_**
+**_Last modified on 12th November 2025_**

 First of all, thank you for wanting to provide a bugfix or a new feature for the mailcow community, it's because of your help that the project can continue to grow!

 As we want to keep mailcow's development structured we setup these Guidelines which helps you to create your issue/pull request accordingly.

-**PLEASE NOTE, THAT WE MIGHT CLOSE ISSUES/PULL REQUESTS IF THEY DON'T FULLFIL OUR WRITTEN GUIDELINES WRITTEN INSIDE THIS DOCUMENT**. So please check this guidelines before you propose a Issue/Pull Request.
+**PLEASE NOTE, THAT WE WILL CLOSE ISSUES/PULL REQUESTS IF THEY DON'T FULFILL OUR WRITTEN GUIDELINES WRITTEN INSIDE THIS DOCUMENT**. So please check this guidelines before you propose a Issue/Pull Request.

 ## Topics

@@ -27,14 +27,18 @@ However, please note the following regarding pull requests:
 6. Please **ALWAYS** create the actual pull request against the staging branch and **NEVER** directly against the master branch. *If you forget to do this, our moobot will remind you to switch the branch to staging.*
 7. Wait for a merge commit: It may happen that we do not accept your pull request immediately or sometimes not at all for various reasons. Please do not be disappointed if this is the case. We always endeavor to incorporate any meaningful changes from the community into the mailcow project.
 8. If you are planning larger and therefore more complex pull requests, it would be advisable to first announce this in a separate issue and then start implementing it after the idea has been accepted in order to avoid unnecessary frustration and effort!
+9. If your PR requires a Docker image rebuild (changes to Dockerfiles or files in data/Dockerfiles/), update the image tag in docker-compose.yml. Use the base-image versioning (e.g. ghcr.io/mailcow/sogo:5.12.4 → :5.12.5 for version bumps; append a letter for patch fixes, e.g. :5.12.4a). Follow this scheme.

 ---

 ## Issue Reporting
-**_Last modified on 15th August 2024_**
+**_Last modified on 12th November 2025_**

 If you plan to report a issue within mailcow please read and understand the following rules:

+### Security disclosures / Security-related fixes
+- Security vulnerabilities and security fixes must always be reported confidentially first to the contact address specified in SECURITY.md before they are integrated, published, or publicly disclosed in issues/PRs. Please wait for a response from the specified contact to ensure coordinated and responsible disclosure.
+
 ### Issue Reporting Guidelines

 1. **ONLY** use the issue tracker for bug reports or improvement requests and NOT for support questions. For support questions you can either contact the [mailcow community on Telegram](https://docs.mailcow.email/#community-support-and-chat) or the mailcow team directly in exchange for a [support fee](https://docs.mailcow.email/#commercial-support).
--- a/README.md
+++ b/README.md
@@ -23,9 +23,6 @@ A big thank you to everyone supporting us on GitHub Sponsors—your contribution
  <a href="https://www.maehdros.com/" target=_blank><img
    src="https://avatars.githubusercontent.com/u/173894712" height="58"
  /></a>
-  <a href="https://macarne.com/" target=_blank><img
-    src="https://avatars.githubusercontent.com/u/149550368?s=200&v=4" height="58"
-  /></a>

 ### 50$/Month Sponsors
  <a href="https://github.com/vnukhr" target=_blank><img
--- a/_modules/scripts/core.sh
+++ b/_modules/scripts/core.sh
@@ -17,7 +17,13 @@ caller="${BASH_SOURCE[1]##*/}"

 get_installed_tools(){
    for bin in openssl curl docker git awk sha1sum grep cut jq; do
-        if [[ -z $(command -v ${bin}) ]]; then echo "Cannot find ${bin}, exiting..."; exit 1; fi
+        if [[ -z $(command -v ${bin}) ]]; then
+          echo "Error: Cannot find command '${bin}'. Cannot proceed."
+          echo "Solution: Please review system requirements and install requirements. Then, re-run the script."
+          echo "See System Requirements: https://docs.mailcow.email/getstarted/install/"
+          echo "Exiting..."
+          exit 1
+        fi
    done

    if grep --help 2>&1 | head -n 1 | grep -q -i "busybox"; then echo -e "${LIGHT_RED}BusyBox grep detected, please install gnu grep, \"apk add --no-cache --upgrade grep\"${NC}"; exit 1; fi
@@ -32,45 +38,45 @@ get_docker_version(){
 }

 get_compose_type(){
-    if docker compose > /dev/null 2>&1; then
-        if docker compose version --short | grep -e "^2." -e "^v2." > /dev/null 2>&1; then
-            COMPOSE_VERSION=native
-            COMPOSE_COMMAND="docker compose"
-            if [[ "$caller" == "update.sh" ]]; then
-                sed -i 's/^DOCKER_COMPOSE_VERSION=.*/DOCKER_COMPOSE_VERSION=native/' "$SCRIPT_DIR/mailcow.conf"
-            fi
-            echo -e "\e[33mFound Docker Compose Plugin (native).\e[0m"
-            echo -e "\e[33mSetting the DOCKER_COMPOSE_VERSION Variable to native\e[0m"
-            sleep 2
-            echo -e "\e[33mNotice: You'll have to update this Compose Version via your Package Manager manually!\e[0m"
-        else
-            echo -e "\e[31mCannot find Docker Compose with a Version Higher than 2.X.X.\e[0m"
-            echo -e "\e[31mPlease update/install it manually regarding to this doc site: https://docs.mailcow.email/install/\e[0m"
-            exit 1
-        fi
-    elif docker-compose > /dev/null 2>&1; then
-    if ! [[ $(alias docker-compose 2> /dev/null) ]] ; then
-        if docker-compose version --short | grep "^2." > /dev/null 2>&1; then
-            COMPOSE_VERSION=standalone
-            COMPOSE_COMMAND="docker-compose"
-            if [[ "$caller" == "update.sh" ]]; then
-                sed -i 's/^DOCKER_COMPOSE_VERSION=.*/DOCKER_COMPOSE_VERSION=standalone/' "$SCRIPT_DIR/mailcow.conf"
-            fi
-            echo -e "\e[33mFound Docker Compose Standalone.\e[0m"
-            echo -e "\e[33mSetting the DOCKER_COMPOSE_VERSION Variable to standalone\e[0m"
-            sleep 2
-            echo -e "\e[33mNotice: For an automatic update of docker-compose please use the update_compose.sh scripts located at the helper-scripts folder.\e[0m"
-        else
-            echo -e "\e[31mCannot find Docker Compose with a Version Higher than 2.X.X.\e[0m"
-            echo -e "\e[31mPlease update/install manually regarding to this doc site: https://docs.mailcow.email/install/\e[0m"
-            exit 1
-        fi
-    fi
+  if docker compose > /dev/null 2>&1; then
+    if docker compose version --short | grep -e "^[2-9]\." -e "^v[2-9]\." -e "^[1-9][0-9]\." -e "^v[1-9][0-9]\." > /dev/null 2>&1; then
+      COMPOSE_VERSION=native
+      COMPOSE_COMMAND="docker compose"
+      if [[ "$caller" == "update.sh" ]]; then
+        sed -i 's/^DOCKER_COMPOSE_VERSION=.*/DOCKER_COMPOSE_VERSION=native/' "$SCRIPT_DIR/mailcow.conf"
+      fi
+      echo -e "\e[33mFound Docker Compose Plugin (native).\e[0m"
+      echo -e "\e[33mSetting the DOCKER_COMPOSE_VERSION Variable to native\e[0m"
+      sleep 2
+      echo -e "\e[33mNotice: You'll have to update this Compose Version via your Package Manager manually!\e[0m"
    else
-        echo -e "\e[31mCannot find Docker Compose.\e[0m"
-        echo -e "\e[31mPlease install it regarding to this doc site: https://docs.mailcow.email/install/\e[0m"
-        exit 1
+      echo -e "\e[31mCannot find Docker Compose with a Version Higher than 2.X.X.\e[0m"
+      echo -e "\e[31mPlease update/install it manually regarding to this doc site: https://docs.mailcow.email/install/\e[0m"
+      exit 1
    fi
+  elif docker-compose > /dev/null 2>&1; then
+  if ! [[ $(alias docker-compose 2> /dev/null) ]] ; then
+    if docker-compose version --short | grep -e "^[2-9]\." -e "^[1-9][0-9]\." > /dev/null 2>&1; then
+      COMPOSE_VERSION=standalone
+      COMPOSE_COMMAND="docker-compose"
+      if [[ "$caller" == "update.sh" ]]; then
+        sed -i 's/^DOCKER_COMPOSE_VERSION=.*/DOCKER_COMPOSE_VERSION=standalone/' "$SCRIPT_DIR/mailcow.conf"
+      fi
+      echo -e "\e[33mFound Docker Compose Standalone.\e[0m"
+      echo -e "\e[33mSetting the DOCKER_COMPOSE_VERSION Variable to standalone\e[0m"
+      sleep 2
+      echo -e "\e[33mNotice: For an automatic update of docker-compose please use the update_compose.sh scripts located at the helper-scripts folder.\e[0m"
+    else
+      echo -e "\e[31mCannot find Docker Compose with a Version Higher than 2.X.X.\e[0m"
+      echo -e "\e[31mPlease update/install manually regarding to this doc site: https://docs.mailcow.email/install/\e[0m"
+      exit 1
+    fi
+  fi
+  else
+    echo -e "\e[31mCannot find Docker Compose.\e[0m"
+    echo -e "\e[31mPlease install it regarding to this doc site: https://docs.mailcow.email/install/\e[0m"
+    exit 1
+  fi
 }

 detect_bad_asn() {
@@ -185,7 +191,7 @@ detect_major_update() {
    MAJOR_VERSIONS=(
      "2025-02"
      "2025-03"
-      "2025-08"
+      "2025-09"
    )

    current_version=""
@@ -221,4 +227,4 @@ detect_major_update() {
      fi
    fi
  fi
-}
+}
--- a/_modules/scripts/ipv6_controller.sh
+++ b/_modules/scripts/ipv6_controller.sh
@@ -5,14 +5,65 @@

 # 1) Check if the host supports IPv6
 get_ipv6_support() {
-  if grep -qs '^1' /proc/sys/net/ipv6/conf/all/disable_ipv6 2>/dev/null \
-    || ! ip -6 route show default &>/dev/null; then
+  # ---- helper: probe external IPv6 connectivity without DNS ----
+  _probe_ipv6_connectivity() {
+    # Use literal, always-on IPv6 echo responders (no DNS required)
+    local PROBE_IPS=("2001:4860:4860::8888" "2606:4700:4700::1111")
+    local ip rc=1
+
+    for ip in "${PROBE_IPS[@]}"; do
+      if command -v ping6 &>/dev/null; then
+        ping6 -c1 -W2 "$ip" &>/dev/null || ping6 -c1 -w2 "$ip" &>/dev/null
+        rc=$?
+      elif command -v ping &>/dev/null; then
+        ping -6 -c1 -W2 "$ip" &>/dev/null || ping -6 -c1 -w2 "$ip" &>/dev/null
+        rc=$?
+      else
+        rc=1
+      fi
+      [[ $rc -eq 0 ]] && return 0
+    done
+    return 1
+  }
+
+  if [[ ! -f /proc/net/if_inet6 ]] || grep -qs '^1' /proc/sys/net/ipv6/conf/all/disable_ipv6 2>/dev/null; then
    DETECTED_IPV6=false
-    echo -e "${YELLOW}IPv6 not detected on host – ${LIGHT_RED}disabling IPv6 support${YELLOW}.${NC}"
-  else
-    DETECTED_IPV6=true
-    echo -e "IPv6 detected on host – ${LIGHT_GREEN}leaving IPv6 support enabled${YELLOW}.${NC}"
+    echo -e "${YELLOW}IPv6 not detected on host – ${LIGHT_RED}IPv6 is administratively disabled${YELLOW}.${NC}"
+    return
  fi
+
+  if ip -6 route show default 2>/dev/null | grep -qE '^default'; then
+    echo -e "${YELLOW}Default IPv6 route found – testing external IPv6 connectivity...${NC}"
+    if _probe_ipv6_connectivity; then
+      DETECTED_IPV6=true
+      echo -e "IPv6 detected on host – ${LIGHT_GREEN}leaving IPv6 support enabled${YELLOW}.${NC}"
+    else
+      DETECTED_IPV6=false
+      echo -e "${YELLOW}Default IPv6 route present but external IPv6 connectivity failed – ${LIGHT_RED}disabling IPv6 support${YELLOW}.${NC}"
+    fi
+    return
+  fi
+
+  if ip -6 addr show scope global 2>/dev/null | grep -q 'inet6'; then
+    DETECTED_IPV6=false
+    echo -e "${YELLOW}Global IPv6 address present but no default route – ${LIGHT_RED}disabling IPv6 support${YELLOW}.${NC}"
+    return
+  fi
+
+  if ip -6 addr show scope link 2>/dev/null | grep -q 'inet6'; then
+    echo -e "${YELLOW}Only link-local IPv6 addresses found – testing external IPv6 connectivity...${NC}"
+    if _probe_ipv6_connectivity; then
+      DETECTED_IPV6=true
+      echo -e "External IPv6 connectivity available – ${LIGHT_GREEN}leaving IPv6 support enabled${YELLOW}.${NC}"
+    else
+      DETECTED_IPV6=false
+      echo -e "${YELLOW}Only link-local IPv6 present and no external connectivity – ${LIGHT_RED}disabling IPv6 support${YELLOW}.${NC}"
+    fi
+    return
+  fi
+
+  DETECTED_IPV6=false
+  echo -e "${YELLOW}IPv6 not detected on host – ${LIGHT_RED}disabling IPv6 support${YELLOW}.${NC}"
 }

 # 2) Ensure Docker daemon.json has (or create) the required IPv6 settings
@@ -21,7 +72,7 @@ docker_daemon_edit(){
  DOCKER_MAJOR=$(docker version --format '{{.Server.Version}}' 2>/dev/null | cut -d. -f1)
  MISSING=()

-  _has_kv() { grep -Eq "\"$1\"\s*:\s*$2" "$DOCKER_DAEMON_CONFIG" 2>/dev/null; }
+  _has_kv() { grep -Eq "\"$1\"[[:space:]]*:[[:space:]]*$2" "$DOCKER_DAEMON_CONFIG" 2>/dev/null; }

  if [[ -f "$DOCKER_DAEMON_CONFIG" ]]; then

@@ -38,12 +89,18 @@ docker_daemon_edit(){
    fi

    # Gather missing keys
-    ! _has_kv ipv6 true       && MISSING+=("ipv6: true")
-    ! grep -Eq '"fixed-cidr-v6"\s*:\s*".+"' "$DOCKER_DAEMON_CONFIG" \
-                              && MISSING+=('fixed-cidr-v6: "fd00:dead:beef:c0::/80"')
-    if [[ -n "$DOCKER_MAJOR" && "$DOCKER_MAJOR" -le 27 ]]; then
+    ! _has_kv ipv6 true && MISSING+=("ipv6: true")
+
+    # For Docker < 28, keep requiring fixed-cidr-v6 (default bridge needs it on old engines)
+    if [[ -n "$DOCKER_MAJOR" && "$DOCKER_MAJOR" -lt 28 ]]; then
+      ! grep -Eq '"fixed-cidr-v6"[[:space:]]*:[[:space:]]*".+"' "$DOCKER_DAEMON_CONFIG" \
+                                && MISSING+=('fixed-cidr-v6: "fd00:dead:beef:c0::/80"')
+    fi
+
+    # For Docker < 27, ip6tables needed and was tied to experimental in older releases
+    if [[ -n "$DOCKER_MAJOR" && "$DOCKER_MAJOR" -lt 27 ]]; then
      _has_kv ipv6 true && ! _has_kv ip6tables true && MISSING+=("ip6tables: true")
-      ! _has_kv experimental true                 && MISSING+=("experimental: true")
+      ! _has_kv experimental true && MISSING+=("experimental: true")
    fi

    # Fix if needed
@@ -60,9 +117,19 @@ docker_daemon_edit(){
        cp "$DOCKER_DAEMON_CONFIG" "${DOCKER_DAEMON_CONFIG}.bak"
        if command -v jq &>/dev/null; then
          TMP=$(mktemp)
-          JQ_FILTER='.ipv6 = true | .["fixed-cidr-v6"] = "fd00:dead:beef:c0::/80"'
-          [[ "$DOCKER_MAJOR" && "$DOCKER_MAJOR" -lt 27 ]] \
-            && JQ_FILTER+=' | .ip6tables = true | .experimental = true'
+          # Base filter: ensure ipv6 = true
+          JQ_FILTER='.ipv6 = true'
+
+          # Add fixed-cidr-v6 only for Docker < 28
+          if [[ -n "$DOCKER_MAJOR" && "$DOCKER_MAJOR" -lt 28 ]]; then
+            JQ_FILTER+=' | .["fixed-cidr-v6"] = (.["fixed-cidr-v6"] // "fd00:dead:beef:c0::/80")'
+          fi
+
+          # Add ip6tables/experimental only for Docker < 27
+          if [[ -n "$DOCKER_MAJOR" && "$DOCKER_MAJOR" -lt 27 ]]; then
+            JQ_FILTER+=' | .ip6tables = true | .experimental = true'
+          fi
+
          jq "$JQ_FILTER" "$DOCKER_DAEMON_CONFIG" >"$TMP" && mv "$TMP" "$DOCKER_DAEMON_CONFIG"
          echo -e "${LIGHT_GREEN}daemon.json updated. Restarting Docker...${NC}"
          (command -v systemctl &>/dev/null && systemctl restart docker) || service docker restart
@@ -88,6 +155,7 @@ docker_daemon_edit(){
    fi

    if [[ $ans =~ ^[Yy]$ ]]; then
+      mkdir -p "$(dirname "$DOCKER_DAEMON_CONFIG")"
      if [[ -n "$DOCKER_MAJOR" && "$DOCKER_MAJOR" -lt 27 ]]; then
        cat > "$DOCKER_DAEMON_CONFIG" <<EOF
 {
@@ -97,12 +165,19 @@ docker_daemon_edit(){
  "experimental": true
 }
 EOF
-      else
+      elif [[ -n "$DOCKER_MAJOR" && "$DOCKER_MAJOR" -lt 28 ]]; then
        cat > "$DOCKER_DAEMON_CONFIG" <<EOF
 {
  "ipv6": true,
  "fixed-cidr-v6": "fd00:dead:beef:c0::/80"
 }
+EOF
+      else
+        # Docker 28+: ipv6 works without fixed-cidr-v6
+        cat > "$DOCKER_DAEMON_CONFIG" <<EOF
+{
+  "ipv6": true
+}
 EOF
      fi
      echo -e "${GREEN}Created $DOCKER_DAEMON_CONFIG with IPv6 settings.${NC}"
@@ -122,7 +197,7 @@ configure_ipv6() {
  # detect manual override if mailcow.conf is present
  if [[ -n "$MAILCOW_CONF" && -f "$MAILCOW_CONF" ]] && grep -q '^ENABLE_IPV6=' "$MAILCOW_CONF"; then
    MANUAL_SETTING=$(grep '^ENABLE_IPV6=' "$MAILCOW_CONF" | cut -d= -f2)
-  elif [[ -z "$MAILCOW_CONF" ]] && [[ ! -z "${ENABLE_IPV6:-}" ]]; then
+  elif [[ -z "$MAILCOW_CONF" ]] && [[ -n "${ENABLE_IPV6:-}" ]]; then
    MANUAL_SETTING="$ENABLE_IPV6"
  else
    MANUAL_SETTING=""
@@ -131,38 +206,34 @@ configure_ipv6() {
  get_ipv6_support

  # if user manually set it, check for mismatch
-  if [[ -n "$MANUAL_SETTING" ]]; then
-    if [[ "$MANUAL_SETTING" == "false" && "$DETECTED_IPV6" == "true" ]]; then
-      echo -e "${RED}ERROR: You have ENABLE_IPV6=false but your host and Docker support IPv6.${NC}"
-      echo -e "${RED}This can create an open relay. Please set ENABLE_IPV6=true in your mailcow.conf and re-run.${NC}"
-      exit 1
-    elif [[ "$MANUAL_SETTING" == "true" && "$DETECTED_IPV6" == "false" ]]; then
-      echo -e "${RED}ERROR: You have ENABLE_IPV6=true but your host does not support IPv6.${NC}"
-      echo -e "${RED}Please disable or fix your host/Docker IPv6 support, or set ENABLE_IPV6=false.${NC}"
-      exit 1
+  if [[ "$DETECTED_IPV6" != "true" ]]; then
+    if [[ -n "$MAILCOW_CONF" && -f "$MAILCOW_CONF" ]]; then
+      if grep -q '^ENABLE_IPV6=' "$MAILCOW_CONF"; then
+        sed -i 's/^ENABLE_IPV6=.*/ENABLE_IPV6=false/' "$MAILCOW_CONF"
+      else
+        echo "ENABLE_IPV6=false" >> "$MAILCOW_CONF"
+      fi
    else
-      return
+      export IPV6_BOOL=false
    fi
-  fi
-
-  # no manual override: proceed to set or export
-  if [[ "$DETECTED_IPV6" == "true" ]]; then
-    docker_daemon_edit
-  else
    echo "Skipping Docker IPv6 configuration because host does not support IPv6."
+    echo "Make sure to check if your docker daemon.json does not include \"enable_ipv6\": true if you do not want IPv6."
+    echo "IPv6 configuration complete: ENABLE_IPV6=false"
+    sleep 2
+    return
  fi

-  # now write into mailcow.conf or export
+  docker_daemon_edit
+
  if [[ -n "$MAILCOW_CONF" && -f "$MAILCOW_CONF" ]]; then
-    LINE="ENABLE_IPV6=$DETECTED_IPV6"
    if grep -q '^ENABLE_IPV6=' "$MAILCOW_CONF"; then
-      sed -i "s/^ENABLE_IPV6=.*/$LINE/" "$MAILCOW_CONF"
+      sed -i 's/^ENABLE_IPV6=.*/ENABLE_IPV6=true/' "$MAILCOW_CONF"
    else
-      echo "$LINE" >> "$MAILCOW_CONF"
+      echo "ENABLE_IPV6=true" >> "$MAILCOW_CONF"
    fi
  else
-    export IPV6_BOOL="$DETECTED_IPV6"
+    export IPV6_BOOL=true
  fi

-  echo "IPv6 configuration complete: ENABLE_IPV6=$DETECTED_IPV6"
+  echo "IPv6 configuration complete: ENABLE_IPV6=true"
 }
--- a/_modules/scripts/new_options.sh
+++ b/_modules/scripts/new_options.sh
@@ -43,6 +43,7 @@ adapt_new_options() {
  "ALLOW_ADMIN_EMAIL_LOGIN"
  "SKIP_HTTP_VERIFICATION"
  "SOGO_EXPIRE_SESSION"
+  "SOGO_URL_ENCRYPTION_KEY"
  "REDIS_PORT"
  "REDISPASS"
  "DOVECOT_MASTER_USER"
@@ -94,7 +95,6 @@ adapt_new_options() {
            echo '# Max log lines per service to keep in Redis logs' >> mailcow.conf
            echo "LOG_LINES=9999" >> mailcow.conf
            ;;
-        
        IPV4_NETWORK)
            echo '# Internal IPv4 /24 subnet, format n.n.n. (expands to n.n.n.0/24)' >> mailcow.conf
            echo "IPV4_NETWORK=172.22.1" >> mailcow.conf
@@ -276,21 +276,22 @@ adapt_new_options() {
            echo '# A COMPLETE DOCKER STACK REBUILD (compose down && compose up -d) IS NEEDED TO APPLY THIS.' >> mailcow.conf
            echo ENABLE_IPV6=${IPV6_BOOL} >> mailcow.conf
            ;;
-    
        SKIP_CLAMD)
            echo '# Skip ClamAV (clamd-mailcow) anti-virus (Rspamd will auto-detect a missing ClamAV container) - y/n' >> mailcow.conf
            echo 'SKIP_CLAMD=n' >> mailcow.conf
            ;;
-
        SKIP_OLEFY)
            echo '# Skip Olefy (olefy-mailcow) anti-virus for Office documents (Rspamd will auto-detect a missing Olefy container) - y/n' >> mailcow.conf
            echo 'SKIP_OLEFY=n' >> mailcow.conf
            ;;
-        
        REDISPASS)
            echo "REDISPASS=$(LC_ALL=C </dev/urandom tr -dc A-Za-z0-9 2>/dev/null | head -c 28)" >> mailcow.conf
            ;;
-                  
+        SOGO_URL_ENCRYPTION_KEY)
+            echo '# SOGo URL encryption key (exactly 16 characters, limited to A–Z, a–z, 0–9)' >> mailcow.conf
+            echo '# This key is used to encrypt email addresses within SOGo URLs' >> mailcow.conf
+            echo "SOGO_URL_ENCRYPTION_KEY=$(LC_ALL=C </dev/urandom tr -dc A-Za-z0-9 2>/dev/null | head -c 16)" >> mailcow.conf
+            ;;
        *)
            echo "${option}=" >> mailcow.conf
            ;;
--- a/data/Dockerfiles/backup/Dockerfile
+++ b/data/Dockerfiles/backup/Dockerfile
@@ -1,3 +1,3 @@
-FROM debian:bookworm-slim
+FROM debian:trixie-slim

-RUN apt update && apt install pigz -y --no-install-recommends
+RUN apt update && apt install pigz zstd -y --no-install-recommends
--- a/data/Dockerfiles/clamd/clamd.sh
+++ b/data/Dockerfiles/clamd/clamd.sh
@@ -8,7 +8,7 @@ fi

 # Cleaning up garbage
 echo "Cleaning up tmp files..."
-rm -rf /var/lib/clamav/clamav-*.tmp
+rm -rf /var/lib/clamav/tmp.*

 # Prepare whitelist

@@ -95,6 +95,51 @@ echo "$(clamd -V) is starting... please wait a moment."
 nice -n10 clamd &
 BACKGROUND_TASKS+=($!)

+# Give clamd time to start up, especially with limited resources
+# This grace period allows clamd to initialize fully before health checks begin
+# Can be configured via CLAMD_STARTUP_TIMEOUT environment variable
+STARTUP_GRACE_PERIOD=${CLAMD_STARTUP_TIMEOUT:-600}  # Default: 10 minutes in seconds
+echo "Waiting up to ${STARTUP_GRACE_PERIOD} seconds for clamd to start up..."
+
+# Helper function to check if clamd is ready
+clamd_is_ready() {
+  [ "$(echo "PING" | nc -w 1 localhost 3310 2>/dev/null)" = "PONG" ]
+}
+
+# Wait for clamd to be ready or until timeout
+START_TIME=$(date +%s)
+POLL_INTERVAL=10
+CLAMD_READY=0
+
+while true; do
+  CURRENT_TIME=$(date +%s)
+  ELAPSED=$((CURRENT_TIME - START_TIME))
+  
+  # Check if clamd is responsive by attempting to connect on localhost
+  # clamd listens on 0.0.0.0:3310 (configured in Dockerfile)
+  if clamd_is_ready; then
+    echo "clamd is ready after ${ELAPSED} seconds"
+    CLAMD_READY=1
+    break
+  fi
+  
+  # Check if we've exceeded the timeout
+  if [ ${ELAPSED} -ge ${STARTUP_GRACE_PERIOD} ]; then
+    break
+  fi
+  
+  sleep ${POLL_INTERVAL}
+done
+
+# Report final status only if not already reported as ready
+if [ ${CLAMD_READY} -eq 0 ]; then
+  if clamd_is_ready; then
+    echo "clamd is now ready (started during final check)"
+  else
+    echo "Warning: clamd did not respond to PING within ${STARTUP_GRACE_PERIOD} seconds - it may still be starting up"
+  fi
+fi
+
 while true; do
  for bg_task in ${BACKGROUND_TASKS[*]}; do
    if ! kill -0 ${bg_task} 1>&2; then
--- a/data/Dockerfiles/dovecot/Dockerfile
+++ b/data/Dockerfiles/dovecot/Dockerfile
@@ -1,4 +1,4 @@
-FROM alpine:3.22
+FROM alpine:3.21

 LABEL maintainer="The Infrastructure Company GmbH <info@servercow.de>"

--- a/data/Dockerfiles/dovecot/docker-entrypoint.sh
+++ b/data/Dockerfiles/dovecot/docker-entrypoint.sh
@@ -44,109 +44,90 @@ if [[ "${MASTER}" =~ ^([yY][eE][sS]|[yY])+$ ]]; then
 else
  QUOTA_TABLE=quota2replica
 fi
-
-cat <<EOF > /etc/dovecot/conf.d/12-mysql.conf
-# Autogenerated by mailcow - DO NOT TOUCH!
-mysql /var/run/mysqld/mysqld.sock {
-  dbname=${DBNAME}
-  user=${DBUSER}
-  password=${DBPASS}
-
-  ssl = no
-}
-EOF
-
-
 cat <<EOF > /etc/dovecot/sql/dovecot-dict-sql-quota.conf
 # Autogenerated by mailcow
-dict_map priv/quota/storage {
-  sql_table = ${QUOTA_TABLE}
+connect = "host=/var/run/mysqld/mysqld.sock dbname=${DBNAME} user=${DBUSER} password=${DBPASS}"
+map {
+  pattern = priv/quota/storage
+  table = ${QUOTA_TABLE}
  username_field = username
-  value_field bytes {
-  }
+  value_field = bytes
 }
-
-dict_map priv/quota/messages {
-  sql_table = ${QUOTA_TABLE}
+map {
+  pattern = priv/quota/messages
+  table = ${QUOTA_TABLE}
  username_field = username
-  value_field messages {
-  }
+  value_field = messages
 }
 EOF

 # Create dict used for sieve pre and postfilters
 cat <<EOF > /etc/dovecot/sql/dovecot-dict-sql-sieve_before.conf
 # Autogenerated by mailcow
-
-dict_map priv/sieve/name/\$script_name {
-  sql_table = sieve_before
+connect = "host=/var/run/mysqld/mysqld.sock dbname=${DBNAME} user=${DBUSER} password=${DBPASS}"
+map {
+  pattern = priv/sieve/name/\$script_name
+  table = sieve_before
  username_field = username
-  value_field id {
-  }
-
-  # The script name field in the table to query
-  key_field script_name {
-    value = \$script_name
+  value_field = id
+  fields {
+    script_name = \$script_name
  }
 }
-
-dict_map priv/sieve/data/\$id {
-  sql_table = sieve_before
+map {
+  pattern = priv/sieve/data/\$id
+  table = sieve_before
  username_field = username
-  value_field script_data {
-  }
-  key_field id {
-    value = \$id
+  value_field = script_data
+  fields {
+    id = \$id
  }
 }
 EOF

 cat <<EOF > /etc/dovecot/sql/dovecot-dict-sql-sieve_after.conf
 # Autogenerated by mailcow
-
-dict_map priv/sieve/name/\$script_name {
-  sql_table = sieve_after
+connect = "host=/var/run/mysqld/mysqld.sock dbname=${DBNAME} user=${DBUSER} password=${DBPASS}"
+map {
+  pattern = priv/sieve/name/\$script_name
+  table = sieve_after
  username_field = username
-  value_field id {
-  }
-  key_field script_name {
-    value = \$script_name
+  value_field = id
+  fields {
+    script_name = \$script_name
  }
 }
-
-dict_map priv/sieve/data/\$id {
-  sql_table = sieve_after
+map {
+  pattern = priv/sieve/data/\$id
+  table = sieve_after
  username_field = username
-  value_field script_data {
-  }
-  key_field id {
-    value = \$id
+  value_field = script_data
+  fields {
+    id = \$id
  }
 }
 EOF

-if [[ "${ACL_ANYONE}" == "allow" ]]; then
-  echo -n "yes" > /etc/dovecot/acl_anyone
-else
-  echo -n "no" > /etc/dovecot/acl_anyone
-fi
+echo -n ${ACL_ANYONE} > /etc/dovecot/acl_anyone

 if [[ "${SKIP_FTS}" =~ ^([yY][eE][sS]|[yY])+$ ]]; then
 echo -e "\e[33mDetecting SKIP_FTS=y... not enabling Flatcurve (FTS) then...\e[0m"
-echo -n 'quota quota_clone acl mail_crypt mail_crypt_acl mail_log mail_compress notify lazy_expunge' > /etc/dovecot/mail_plugins
-echo -n 'quota quota_clone imap_quota imap_acl acl imap_sieve mail_crypt mail_crypt_acl mail_compress notify mail_log' > /etc/dovecot/mail_plugins_imap
-echo -n 'quota quota_clone sieve acl mail_crypt mail_crypt_acl mail_compress notify' > /etc/dovecot/mail_plugins_lmtp
+echo -n 'quota acl zlib mail_crypt mail_crypt_acl mail_log notify listescape replication lazy_expunge' > /etc/dovecot/mail_plugins
+echo -n 'quota imap_quota imap_acl acl zlib imap_zlib imap_sieve mail_crypt mail_crypt_acl notify listescape replication mail_log' > /etc/dovecot/mail_plugins_imap
+echo -n 'quota sieve acl zlib mail_crypt mail_crypt_acl notify listescape replication' > /etc/dovecot/mail_plugins_lmtp
 else
 echo -e "\e[32mDetecting SKIP_FTS=n... enabling Flatcurve (FTS)\e[0m"
-echo -n 'quota quota_clone acl mail_crypt mail_crypt_acl mail_log mail_compress notify fts fts_flatcurve lazy_expunge' > /etc/dovecot/mail_plugins
-echo -n 'quota quota_clone imap_quota imap_acl acl imap_sieve mail_crypt mail_crypt_acl mail_compress notify mail_log fts fts_flatcurve' > /etc/dovecot/mail_plugins_imap
-echo -n 'quota quota_clone sieve acl mail_crypt mail_crypt_acl mail_compress fts fts_flatcurve notify' > /etc/dovecot/mail_plugins_lmtp
+echo -n 'quota acl zlib mail_crypt mail_crypt_acl mail_log notify fts fts_flatcurve listescape replication lazy_expunge' > /etc/dovecot/mail_plugins
+echo -n 'quota imap_quota imap_acl acl zlib imap_zlib imap_sieve mail_crypt mail_crypt_acl notify mail_log fts fts_flatcurve listescape replication' > /etc/dovecot/mail_plugins_imap
+echo -n 'quota sieve acl zlib mail_crypt mail_crypt_acl fts fts_flatcurve notify listescape replication' > /etc/dovecot/mail_plugins_lmtp
 fi
 chmod 644 /etc/dovecot/mail_plugins /etc/dovecot/mail_plugins_imap /etc/dovecot/mail_plugins_lmtp /templates/quarantine.tpl

 cat <<EOF > /etc/dovecot/sql/dovecot-dict-sql-userdb.conf
 # Autogenerated by mailcow
-query = SELECT CONCAT(JSON_UNQUOTE(JSON_VALUE(attributes, '$.mailbox_format')), mailbox_path_prefix, '%{user | domain }}/%{user | username }/Maildir:VOLATILEDIR=/var/volatile/%{user}:INDEX=/var/vmail_index/%{user}') AS mail, '%{protocol}' AS protocol, 5000 AS uid, 5000 AS gid, concat('*:bytes=', quota) AS quota_rule FROM mailbox WHERE username = '%{user}' AND (active = '1' OR active = '2')
+driver = mysql
+connect = "host=/var/run/mysqld/mysqld.sock dbname=${DBNAME} user=${DBUSER} password=${DBPASS}"
+user_query = SELECT CONCAT(JSON_UNQUOTE(JSON_VALUE(attributes, '$.mailbox_format')), mailbox_path_prefix, '%d/%n/${MAILDIR_SUB}:VOLATILEDIR=/var/volatile/%u:INDEX=/var/vmail_index/%u') AS mail, '%s' AS protocol, 5000 AS uid, 5000 AS gid, concat('*:bytes=', quota) AS quota_rule FROM mailbox WHERE username = '%u' AND (active = '1' OR active = '2')
 iterate_query = SELECT username FROM mailbox WHERE active = '1' OR active = '2';
 EOF

@@ -177,8 +158,8 @@ for cert_dir in /etc/ssl/mail/*/ ; do
  domains=($(cat ${cert_dir}domains))
  for domain in ${domains[@]}; do
    echo 'local_name '${domain}' {' >> /etc/dovecot/sni.conf;
-    echo '  ssl_server_cert_file = '${cert_dir}'cert.pem' >> /etc/dovecot/sni.conf;
-    echo '  ssl_server_key_file = '${cert_dir}'key.pem' >> /etc/dovecot/sni.conf;
+    echo '  ssl_cert = <'${cert_dir}'cert.pem' >> /etc/dovecot/sni.conf;
+    echo '  ssl_key = <'${cert_dir}'key.pem' >> /etc/dovecot/sni.conf;
    echo '}' >> /etc/dovecot/sni.conf;
  done
 done
@@ -202,13 +183,11 @@ else
 fi
 cat <<EOF > /etc/dovecot/shared_namespace.conf
 # Autogenerated by mailcow
-namespace shared {
+namespace {
    type = shared
    separator = /
-    prefix = Shared/\$user/
-    mail_driver = maildir
-    mail_path = %{owner_home}${MAILDIR_SUB_SHARED}
-    mail_index_private_path = ~${MAILDIR_SUB_SHARED}/Shared/%{owner_user}
+    prefix = Shared/%%u/
+    location = maildir:%%h${MAILDIR_SUB_SHARED}:INDEX=~${MAILDIR_SUB_SHARED}/Shared/%%u
    subscriptions = no
    list = children
 }
@@ -218,27 +197,24 @@ EOF
 cat <<EOF > /etc/dovecot/sogo_trusted_ip.conf
 # Autogenerated by mailcow
 remote ${IPV4_NETWORK}.248 {
-  auth_allow_cleartext = yes
+  disable_plaintext_auth = no
 }
 EOF

 # Create random master Password for SOGo SSO
 RAND_PASS=$(cat /dev/urandom | tr -dc 'a-z0-9' | fold -w 32 | head -n 1)
 echo -n ${RAND_PASS} > /etc/phpfpm/sogo-sso.pass
-# Creating additional creds file for SOGo notify crons (calendars, etc)
-echo -n ${RAND_USER}@mailcow.local:${RAND_PASS} > /etc/sogo/cron.creds
 cat <<EOF > /etc/dovecot/sogo-sso.conf
 # Autogenerated by mailcow
-passdb static {
-  fields {
-    allow_real_nets=${IPV4_NETWORK}.248/32
-  }
-
-  password={plain}${RAND_PASS}
-  
+passdb {
+  driver = static
+  args = allow_nets=${IPV4_NETWORK}.248/32 password={plain}${RAND_PASS}
 }
 EOF

+# Creating additional creds file for SOGo notify crons (calendars, etc) (dummy user, sso password)
+echo -n ${RAND_USER}@mailcow.local:${RAND_PASS} > /etc/sogo/cron.creds
+
 if [[ "${MASTER}" =~ ^([nN][oO]|[nN])+$ ]]; then
  # Toggling MASTER will result in a rebuild of containers, so the quota script will be recreated
  cat <<'EOF' > /usr/local/bin/quota_notify.py
@@ -260,9 +236,9 @@ fi
 if [[ "${SKIP_FTS}" =~ ^([nN][oO]|[nN])+$ ]]; then
  echo -e "\e[94mConfiguring FTS Settings...\e[0m"
  echo -e "\e[94mSetting FTS Memory Limit (per process) to ${FTS_HEAP} MB\e[0m"
-  sed -i "s/vsz_limit\s*=\s*[0-9]*\s*MB*/vsz_limit=${FTS_HEAP} MB/" /etc/dovecot/conf.d/35-fts.conf
+  sed -i "s/vsz_limit\s*=\s*[0-9]*\s*MB*/vsz_limit=${FTS_HEAP} MB/" /etc/dovecot/conf.d/fts.conf
  echo -e "\e[94mSetting FTS Process Limit to ${FTS_PROCS}\e[0m"
-  sed -i "s/process_limit\s*=\s*[0-9]*/process_limit=${FTS_PROCS}/" /etc/dovecot/conf.d/35-fts.conf
+  sed -i "s/process_limit\s*=\s*[0-9]*/process_limit=${FTS_PROCS}/" /etc/dovecot/conf.d/fts.conf
 fi

 # 401 is user dovecot
@@ -274,16 +250,16 @@ else
 	chown 401 /mail_crypt/ecprivkey.pem /mail_crypt/ecpubkey.pem
 fi

-# # Fix OpenSSL 3.X TLS1.0, 1.1 support (https://community.mailcow.email/d/4062-hi-all/20)
-# if grep -qE 'ssl_min_protocol\s*=\s*(TLSv1|TLSv1\.1)\s*$' /etc/dovecot/dovecot.conf /etc/dovecot/extra.conf; then
-#     sed -i '/\[openssl_init\]/a ssl_conf = ssl_configuration' /etc/ssl/openssl.cnf
+# Fix OpenSSL 3.X TLS1.0, 1.1 support (https://community.mailcow.email/d/4062-hi-all/20)
+if grep -qE 'ssl_min_protocol\s*=\s*(TLSv1|TLSv1\.1)\s*$' /etc/dovecot/dovecot.conf /etc/dovecot/extra.conf; then
+    sed -i '/\[openssl_init\]/a ssl_conf = ssl_configuration' /etc/ssl/openssl.cnf

-#     echo "[ssl_configuration]" >> /etc/ssl/openssl.cnf
-#     echo "system_default = tls_system_default" >> /etc/ssl/openssl.cnf
-#     echo "[tls_system_default]" >> /etc/ssl/openssl.cnf
-#     echo "MinProtocol = TLSv1" >> /etc/ssl/openssl.cnf
-#     echo "CipherString = DEFAULT@SECLEVEL=0" >> /etc/ssl/openssl.cnf
-# fi
+    echo "[ssl_configuration]" >> /etc/ssl/openssl.cnf
+    echo "system_default = tls_system_default" >> /etc/ssl/openssl.cnf
+    echo "[tls_system_default]" >> /etc/ssl/openssl.cnf
+    echo "MinProtocol = TLSv1" >> /etc/ssl/openssl.cnf
+    echo "CipherString = DEFAULT@SECLEVEL=0" >> /etc/ssl/openssl.cnf
+fi

 # Compile sieve scripts
 sievec /var/vmail/sieve/global_sieve_before.sieve
--- a/data/Dockerfiles/dovecot/imapsync_runner.pl
+++ b/data/Dockerfiles/dovecot/imapsync_runner.pl
@@ -132,8 +132,8 @@ while ($row = $sth->fetchrow_arrayref()) {
  "--tmpdir", "/tmp",
  "--nofoldersizes",
  "--addheader",
-  ($timeout1 gt "0" ? () : ('--timeout1', $timeout1)),
-  ($timeout2 gt "0" ? () : ('--timeout2', $timeout2)),
+  ($timeout1 le "0" ? () : ('--timeout1', $timeout1)),
+  ($timeout2 le "0" ? () : ('--timeout2', $timeout2)),
  ($exclude eq "" ? () : ("--exclude", $exclude)),
  ($subfolder2 eq "" ? () : ('--subfolder2', $subfolder2)),
  ($maxage eq "0" ? () : ('--maxage', $maxage)),
--- a/data/Dockerfiles/netfilter/docker-entrypoint.sh
+++ b/data/Dockerfiles/netfilter/docker-entrypoint.sh
@@ -1,6 +1,6 @@
 #!/bin/sh

-backend=iptables
+backend=nftables

 nft list table ip filter &>/dev/null
 nftables_found=$?
--- a/data/Dockerfiles/netfilter/main.py
+++ b/data/Dockerfiles/netfilter/main.py
@@ -449,6 +449,11 @@ if __name__ == '__main__':
    tables = NFTables(chain_name, logger)
  else:
    logger.logInfo('Using IPTables backend')
+    logger.logWarn(
+        "DEPRECATION: iptables-legacy is deprecated and will be removed in future releases. "
+        "Please switch to nftables on your host to ensure complete compatibility."
+    )
+    time.sleep(5)
    tables = IPTables(chain_name, logger)

  clear()
--- a/data/Dockerfiles/netfilter/modules/Logger.py
+++ b/data/Dockerfiles/netfilter/modules/Logger.py
@@ -1,5 +1,6 @@
 import time
 import json
+import datetime

 class Logger:
  def __init__(self):
@@ -8,17 +9,28 @@ class Logger:
  def set_redis(self, redis):
    self.r = redis

+  def _format_timestamp(self):
+    # Local time with milliseconds
+    return datetime.datetime.now().strftime("%Y-%m-%d %H:%M:%S")
+
  def log(self, priority, message):
-    tolog = {}
-    tolog['time'] = int(round(time.time()))
-    tolog['priority'] = priority
-    tolog['message'] = message
-    print(message)
+    # build redis-friendly dict
+    tolog = {
+      'time': int(round(time.time())),  # keep raw timestamp for Redis
+      'priority': priority,
+      'message': message
+    }
+
+    # print human-readable message with timestamp
+    ts = self._format_timestamp()
+    print(f"{ts} {priority.upper()}: {message}", flush=True)
+
+    # also push JSON to Redis if connected
    if self.r is not None:
      try:
        self.r.lpush('NETFILTER_LOG', json.dumps(tolog, ensure_ascii=False))
      except Exception as ex:
-        print('Failed logging to redis: %s'  % (ex))
+        print(f'{ts} WARN: Failed logging to redis: {ex}', flush=True)

  def logWarn(self, message):
    self.log('warn', message)
@@ -27,4 +39,4 @@ class Logger:
    self.log('crit', message)

  def logInfo(self, message):
-    self.log('info', message)
+    self.log('info', message)
--- a/data/Dockerfiles/nginx/bootstrap.py
+++ b/data/Dockerfiles/nginx/bootstrap.py
@@ -10,7 +10,7 @@ def includes_conf(env, template_vars):
  server_name_config = f"server_name {template_vars['MAILCOW_HOSTNAME']} autodiscover.* autoconfig.* {' '.join(template_vars['ADDITIONAL_SERVER_NAMES'])};"
  listen_plain_config = f"listen {template_vars['HTTP_PORT']};"
  listen_ssl_config = f"listen {template_vars['HTTPS_PORT']};"
-  if not template_vars['ENABLE_IPV6']:
+  if template_vars['ENABLE_IPV6']:
    listen_plain_config += f"\nlisten [::]:{template_vars['HTTP_PORT']};"
    listen_ssl_config += f"\nlisten [::]:{template_vars['HTTPS_PORT']} ssl;"
  listen_ssl_config += "\nhttp2 on;"
--- a/data/Dockerfiles/phpfpm/Dockerfile
+++ b/data/Dockerfiles/phpfpm/Dockerfile
@@ -3,11 +3,11 @@ FROM php:8.2-fpm-alpine3.21
 LABEL maintainer = "The Infrastructure Company GmbH <info@servercow.de>"

 # renovate: datasource=github-tags depName=krakjoe/apcu versioning=semver-coerced extractVersion=^v(?<version>.*)$
-ARG APCU_PECL_VERSION=5.1.26
+ARG APCU_PECL_VERSION=5.1.27
 # renovate: datasource=github-tags depName=Imagick/imagick versioning=semver-coerced extractVersion=(?<version>.*)$
 ARG IMAGICK_PECL_VERSION=3.8.0
 # renovate: datasource=github-tags depName=php/pecl-mail-mailparse versioning=semver-coerced extractVersion=^v(?<version>.*)$
-ARG MAILPARSE_PECL_VERSION=3.1.8
+ARG MAILPARSE_PECL_VERSION=3.1.9
 # renovate: datasource=github-tags depName=php-memcached-dev/php-memcached versioning=semver-coerced extractVersion=^v(?<version>.*)$
 ARG MEMCACHED_PECL_VERSION=3.3.0
 # renovate: datasource=github-tags depName=phpredis/phpredis versioning=semver-coerced extractVersion=(?<version>.*)$
--- a/data/Dockerfiles/phpfpm/docker-entrypoint.sh
+++ b/data/Dockerfiles/phpfpm/docker-entrypoint.sh
@@ -167,7 +167,7 @@ DELIMITER //
 CREATE EVENT clean_spamalias
 ON SCHEDULE EVERY 1 DAY DO
 BEGIN
-  DELETE FROM spamalias WHERE validity < UNIX_TIMESTAMP();
+  DELETE FROM spamalias WHERE validity < UNIX_TIMESTAMP() AND permanent = 0;
 END;
 //
 DELIMITER ;
--- a/data/Dockerfiles/postfix-tlspol/Dockerfile
+++ b/data/Dockerfiles/postfix-tlspol/Dockerfile
@@ -3,7 +3,8 @@ WORKDIR /src

 ENV CGO_ENABLED=0 \
    GO111MODULE=on \
-    VERSION=1.8.14
+		NOOPT=1 \
+    VERSION=1.8.22

 RUN git clone --branch v${VERSION} https://github.com/Zuplu/postfix-tlspol && \
    cd /src/postfix-tlspol && \
--- a/data/Dockerfiles/postfix/postfix.sh
+++ b/data/Dockerfiles/postfix/postfix.sh
@@ -390,7 +390,7 @@ hosts = unix:/var/run/mysqld/mysqld.sock
 dbname = ${DBNAME}
 query = SELECT goto FROM spamalias
  WHERE address='%s'
-    AND validity >= UNIX_TIMESTAMP()
+    AND (validity >= UNIX_TIMESTAMP() OR permanent != 0)
 EOF

 if [ ! -f /opt/postfix/conf/dns_blocklists.cf ]; then
@@ -524,4 +524,4 @@ if [[ $? != 0 ]]; then
 else
  postfix -c /opt/postfix/conf start
  sleep 126144000
-fi
+fi
--- a/data/Dockerfiles/rspamd/Dockerfile
+++ b/data/Dockerfiles/rspamd/Dockerfile
@@ -2,7 +2,7 @@ FROM debian:bookworm-slim
 LABEL maintainer="The Infrastructure Company GmbH <info@servercow.de>"

 ARG DEBIAN_FRONTEND=noninteractive
-ARG RSPAMD_VER=rspamd_3.12.1-1~6dbfca2fa
+ARG RSPAMD_VER=rspamd_3.13.2-1~8bf602278
 ARG CODENAME=bookworm
 ENV LC_ALL=C

@@ -14,8 +14,8 @@ RUN apt-get update && apt-get install -y --no-install-recommends \
  dnsutils \
  netcat-traditional \
  wget \
-  redis-tools \ 
-  procps \ 
+  redis-tools \
+  procps \
  nano \
  lua-cjson \
  && arch=$(arch | sed s/aarch64/arm64/ | sed s/x86_64/amd64/) \
--- a/data/Dockerfiles/rspamd/docker-entrypoint.sh
+++ b/data/Dockerfiles/rspamd/docker-entrypoint.sh
@@ -86,7 +86,8 @@ if [[ "${SKIP_OLEFY}" =~ ^([yY][eE][sS]|[yY])+$ ]]; then
    rm /etc/rspamd/local.d/external_services.conf
  fi
 else
-  cat <<EOF > /etc/rspamd/local.d/external_services.conf
+  if [[ ! -f /etc/rspamd/local.d/external_services.conf ]]; then
+    cat <<EOF > /etc/rspamd/local.d/external_services.conf
 oletools {
  # default olefy settings
  servers = "olefy:10055";
@@ -100,6 +101,7 @@ oletools {
  retransmits = 1;
 }
 EOF
+  fi
 fi

 # Provide additional lua modules
--- a/data/Dockerfiles/sogo/bootstrap-sogo.sh
+++ b/data/Dockerfiles/sogo/bootstrap-sogo.sh
@@ -24,6 +24,10 @@ while [[ "${DBV_NOW}" != "${DBV_NEW}" ]]; do
 done
 echo "DB schema is ${DBV_NOW}"

+if [[ "${MASTER}" =~ ^([yY][eE][sS]|[yY])+$ ]]; then
+  mariadb --skip-ssl --socket=/var/run/mysqld/mysqld.sock -u ${DBUSER} -p${DBPASS} ${DBNAME} -e "DROP TRIGGER IF EXISTS sogo_update_password"
+fi
+
 # cat /dev/urandom seems to hang here occasionally and is not recommended anyway, better use openssl
 RAND_PASS=$(openssl rand -base64 16 | tr -dc _A-Z-a-z-0-9)

--- a/data/Dockerfiles/watchdog/Dockerfile
+++ b/data/Dockerfiles/watchdog/Dockerfile
@@ -16,7 +16,6 @@ RUN apk add --update \
  fcgi \
  openssl \
  nagios-plugins-mysql \
-  nagios-plugins-dns \
  nagios-plugins-disk \
  bind-tools \
  redis \
@@ -32,9 +31,11 @@ RUN apk add --update \
  tzdata \
  whois \
  && curl https://raw.githubusercontent.com/mludvig/smtp-cli/v3.10/smtp-cli -o /smtp-cli \
-  && chmod +x smtp-cli
+  && chmod +x smtp-cli \
+  && mkdir /usr/lib/mailcow

 COPY watchdog.sh /watchdog.sh
 COPY check_mysql_slavestatus.sh /usr/lib/nagios/plugins/check_mysql_slavestatus.sh
+COPY check_dns.sh /usr/lib/mailcow/check_dns.sh

 CMD ["/watchdog.sh"]
--- a/data/Dockerfiles/watchdog/check_dns.sh
+++ b/data/Dockerfiles/watchdog/check_dns.sh
@@ -0,0 +1,39 @@
+#!/bin/sh
+
+while getopts "H:s:" opt; do
+  case "$opt" in
+    H) HOST="$OPTARG" ;;
+    s) SERVER="$OPTARG" ;;
+    *) echo "Usage: $0 -H host -s server"; exit 3 ;;
+  esac
+done
+
+if [ -z "$SERVER" ]; then
+  echo "No DNS Server provided"
+  exit 3
+fi
+
+if [ -z "$HOST" ]; then
+  echo "No host to test provided"
+  exit 3
+fi
+
+# run dig and measure the time it takes to run
+START_TIME=$(date +%s%3N)
+dig_output=$(dig +short +timeout=2 +tries=1 "$HOST" @"$SERVER" 2>/dev/null)
+dig_rc=$?
+dig_output_ips=$(echo "$dig_output" | grep -E '^[0-9.]+$' | sort | paste -sd ',' -)
+END_TIME=$(date +%s%3N)
+ELAPSED_TIME=$((END_TIME - START_TIME))
+
+# validate and perform nagios like output and exit codes
+if [ $dig_rc -ne 0 ] || [ -z "$dig_output" ]; then
+  echo "Domain $HOST was not found by the server"
+  exit 2
+elif [ $dig_rc -eq 0 ]; then
+  echo "DNS OK: $ELAPSED_TIME ms response time. $HOST returns $dig_output_ips"
+  exit 0
+else
+  echo "Unknown error"
+  exit 3
+fi
--- a/data/Dockerfiles/watchdog/watchdog.sh
+++ b/data/Dockerfiles/watchdog/watchdog.sh
@@ -1,5 +1,10 @@
 #!/bin/bash

+if [ "${DEV_MODE}" != "n" ]; then
+  echo -e "\e[31mEnabled Debug Mode\e[0m"
+  set -x
+fi
+
 trap "exit" INT TERM
 trap "kill 0" EXIT

@@ -297,7 +302,7 @@ unbound_checks() {
    touch /tmp/unbound-mailcow; echo "$(tail -50 /tmp/unbound-mailcow)" > /tmp/unbound-mailcow
    host_ip=$(get_container_ip unbound-mailcow)
    err_c_cur=${err_count}
-    /usr/lib/nagios/plugins/check_dns -s ${host_ip} -H stackoverflow.com 2>> /tmp/unbound-mailcow 1>&2; err_count=$(( ${err_count} + $? ))
+    /usr/lib/mailcow/check_dns.sh -s ${host_ip} -H stackoverflow.com 2>> /tmp/unbound-mailcow 1>&2; err_count=$(( ${err_count} + $? ))
    DNSSEC=$(dig com +dnssec | egrep 'flags:.+ad')
    if [[ -z ${DNSSEC} ]]; then
      echo "DNSSEC failure" 2>> /tmp/unbound-mailcow 1>&2
@@ -445,6 +450,31 @@ postfix_checks() {
  return 1
 }

+postfix-tlspol_checks() {
+  err_count=0
+  diff_c=0
+  THRESHOLD=${POSTFIX_TLSPOL_THRESHOLD}
+  # Reduce error count by 2 after restarting an unhealthy container
+  trap "[ ${err_count} -gt 1 ] && err_count=$(( ${err_count} - 2 ))" USR1
+  while [ ${err_count} -lt ${THRESHOLD} ]; do
+    touch /tmp/postfix-tlspol-mailcow; echo "$(tail -50 /tmp/postfix-tlspol-mailcow)" > /tmp/postfix-tlspol-mailcow
+    host_ip=$(get_container_ip postfix-tlspol-mailcow)
+    err_c_cur=${err_count}
+    /usr/lib/nagios/plugins/check_tcp -4 -H ${host_ip} -p 8642 2>> /tmp/postfix-tlspol-mailcow 1>&2; err_count=$(( ${err_count} + $? ))
+    [ ${err_c_cur} -eq ${err_count} ] && [ ! $((${err_count} - 1)) -lt 0 ] && err_count=$((${err_count} - 1)) diff_c=1
+    [ ${err_c_cur} -ne ${err_count} ] && diff_c=$(( ${err_c_cur} - ${err_count} ))
+    progress "Postfix TLS Policy companion" ${THRESHOLD} $(( ${THRESHOLD} - ${err_count} )) ${diff_c}
+    if [[ $? == 10 ]]; then
+      diff_c=0
+      sleep 1
+    else
+      diff_c=0
+      sleep $(( ( RANDOM % 60 ) + 20 ))
+    fi
+  done
+  return 1
+}
+
 clamd_checks() {
  err_count=0
  diff_c=0
@@ -922,6 +952,18 @@ PID=$!
 echo "Spawned mailq_checks with PID ${PID}"
 BACKGROUND_TASKS+=(${PID})

+(
+while true; do
+  if ! postfix-tlspol_checks; then
+    log_msg "Postfix TLS Policy hit error limit"
+    echo postfix-tlspol-mailcow > /tmp/com_pipe
+  fi
+done
+) &
+PID=$!
+echo "Spawned postfix-tlspol_checks with PID ${PID}"
+BACKGROUND_TASKS+=(${PID})
+
 (
 while true; do
  if ! dovecot_checks; then
--- a/data/conf/dovecot/auth/mailcowauth.php
+++ b/data/conf/dovecot/auth/mailcowauth.php
@@ -86,7 +86,7 @@ if ($result === false){
    'remote_addr' => $post['real_rip']
  ));
  if ($result) {
-    error_log('MAILCOWAUTH: App auth for user ' . $post['username']);
+    error_log('MAILCOWAUTH: App auth for user ' . $post['username'] . " with service " . $post['service'] . " from IP " . $post['real_rip']);
    set_sasl_log($post['username'], $post['real_rip'], $post['service']);
  }
 }
@@ -94,9 +94,9 @@ if ($result === false){
  // Init Identity Provider
  $iam_provider = identity_provider('init');
  $iam_settings = identity_provider('get');
-  $result = user_login($post['username'], $post['password'], array('is_internal' => true));
+  $result = user_login($post['username'], $post['password'], array('is_internal' => true, 'service' => $post['service']));
  if ($result) {
-    error_log('MAILCOWAUTH: User auth for user ' . $post['username']);
+    error_log('MAILCOWAUTH: User auth for user ' . $post['username'] . " with service " . $post['service'] . " from IP " . $post['real_rip']);
    set_sasl_log($post['username'], $post['real_rip'], $post['service']);
  }
 }
@@ -105,7 +105,7 @@ if ($result) {
  http_response_code(200); // OK
  $return['success'] = true;
 } else {
-  error_log("MAILCOWAUTH: Login failed for user " . $post['username']);
+  error_log("MAILCOWAUTH: Login failed for user " . $post['username'] . " with service " . $post['service'] . " from IP " . $post['real_rip']);
  http_response_code(401); // Unauthorized
 }

--- a/data/conf/dovecot/auth/passwd-verify.lua
+++ b/data/conf/dovecot/auth/passwd-verify.lua
@@ -1,5 +1,4 @@
 function auth_password_verify(request, password)
-  request.domain = request.auth_user:match("@(.+)") or nil
  if request.domain == nil then
    return dovecot.auth.PASSDB_RESULT_USER_UNKNOWN, "No such user"
  end
@@ -10,10 +9,10 @@ function auth_password_verify(request, password)
  https.TIMEOUT = 30

  local req = {
-    username = request.auth_user,
+    username = request.user,
    password = password,
-    real_rip = request.remote_ip,
-    service = request.protocol
+    real_rip = request.real_rip,
+    service = request.service
  }
  local req_json = json.encode(req)
  local res = {}
@@ -34,6 +33,7 @@ function auth_password_verify(request, password)
  -- Returning PASSDB_RESULT_INTERNAL_FAILURE keeps the existing cache entry,
  -- even if the TTL has expired. Useful to avoid cache eviction during backend issues.
  if c ~= 200 and c ~= 401 then
+    dovecot.i_info("HTTP request failed with " .. c .. " for user " .. request.user)
    return dovecot.auth.PASSDB_RESULT_PASSWORD_MISMATCH, "Upstream error"
  end

@@ -46,7 +46,7 @@ function auth_password_verify(request, password)
  end

  if response_json.success == true then
-    return dovecot.auth.PASSDB_RESULT_OK, { msg = "" }
+    return dovecot.auth.PASSDB_RESULT_OK, ""
  end

  return dovecot.auth.PASSDB_RESULT_PASSWORD_MISMATCH, "Failed to authenticate"
@@ -55,7 +55,3 @@ end
 function auth_passdb_lookup(req)
   return dovecot.auth.PASSDB_RESULT_USER_UNKNOWN, ""
 end
-
-function auth_passdb_get_cache_key()
-  return "%{protocol}:%{user | username}\t:%{password}"
-end
--- a/data/conf/dovecot/conf.d/05-core.conf
+++ b/data/conf/dovecot/conf.d/05-core.conf
@@ -1,3 +0,0 @@
-# /etc/dovecot/conf.d/05-core.conf
-# Core, single-line settings that don't fit elsewhere.
-recipient_delimiter = +
--- a/data/conf/dovecot/conf.d/10-logging.conf
+++ b/data/conf/dovecot/conf.d/10-logging.conf
@@ -1,13 +0,0 @@
-# /etc/dovecot/conf.d/10-logging.conf
-# Logging and debug.
-#mail_debug = yes
-#auth_debug = yes
-#log_debug = category=fts-flatcurve
-log_path = syslog
-log_timestamp = "%Y-%m-%d %H:%M:%S "
-login_log_format_elements = "user=<%{user}> method=%{mechanism} rip=%{remote_ip} lip=%{local_ip} mpid=%{mail_pid} %{secured} session=<%{session}>"
-
-# Mail event logging.
-mail_log_events = delete undelete expunge copy mailbox_delete mailbox_rename
-mail_log_fields = uid box msgid size
-mail_log_cached_only = yes
--- a/data/conf/dovecot/conf.d/10-mail.conf
+++ b/data/conf/dovecot/conf.d/10-mail.conf
@@ -1,10 +0,0 @@
-# /etc/dovecot/conf.d/10-mail.conf
-# Mail storage paths and core mail settings.
-mail_home = /var/vmail/%{user | domain }/%{user | username }
-mail_driver = maildir
-mail_path = ~/Maildir
-mail_index_path = /var/vmail_index/%{user}
-mail_plugins = </etc/dovecot/mail_plugins
-mail_shared_explicit_inbox = yes
-mailbox_list_storage_escape_char = "\\"
-mail_prefetch_count = 30
--- a/data/conf/dovecot/conf.d/10-ssl.conf
+++ b/data/conf/dovecot/conf.d/10-ssl.conf
@@ -1,13 +0,0 @@
-# /etc/dovecot/conf.d/10-ssl.conf
-# TLS/SSL settings.
-ssl_min_protocol = TLSv1.2
-ssl_cipher_list = ALL:!ADH:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL:!eNULL:!3DES:!MD5:!PSK:!DSS:!RC4:!SEED:!IDEA:+HIGH:+MEDIUM
-ssl_options = no_ticket
-#ssl_dh_parameters_length = 2048
-
-ssl_server {
-  prefer_ciphers = server
-  dh_file = /etc/ssl/mail/dhparams.pem
-  cert_file = /etc/ssl/mail/cert.pem
-  key_file = /etc/ssl/mail/key.pem
-}
--- a/data/conf/dovecot/conf.d/11-sql.conf
+++ b/data/conf/dovecot/conf.d/11-sql.conf
@@ -1,3 +0,0 @@
-# /etc/dovecot/conf.d/11-sql.conf
-# Default SQL driver used by SQL-based dicts/userdb.
-sql_driver = mysql
--- a/data/conf/dovecot/conf.d/12-mysql.conf
+++ b/data/conf/dovecot/conf.d/12-mysql.conf
@@ -1,8 +0,0 @@
-# Autogenerated by mailcow - DO NOT TOUCH!
-mysql /var/run/mysqld/mysqld.sock {
-  dbname=mailcow
-  user=mailcow
-  password=D8O9BIivJc7Pb2VCfpAeLbAzUOZ0
-
-  ssl = no
-}
--- a/data/conf/dovecot/conf.d/12-storage-attachments.conf
+++ b/data/conf/dovecot/conf.d/12-storage-attachments.conf
@@ -1,7 +0,0 @@
-# /etc/dovecot/conf.d/12-storage-attachments.conf
-# External attachment storage.
-fs mail_ext_attachment {
-  fs_driver = posix
-  mail_ext_attachment_path = /var/attachments
-  mail_ext_attachment_min_size = 128k
-}
--- a/data/conf/dovecot/conf.d/15-performance.conf
+++ b/data/conf/dovecot/conf.d/15-performance.conf
@@ -1,10 +0,0 @@
-# /etc/dovecot/conf.d/15-performance.conf
-# Performance and mailbox tuning.
-# Enable only when you do not manually touch cur/.
-maildir_very_dirty_syncs = yes
-
-# NFS examples | Only modify if using NFS!:
-#mm ap_disable = yes
-#mail_fsync = always
-#mail_nfs_index = yes
-#mail_nfs_storage = yes
--- a/data/conf/dovecot/conf.d/20-auth.conf
+++ b/data/conf/dovecot/conf.d/20-auth.conf
@@ -1,40 +0,0 @@
-# /etc/dovecot/conf.d/20-auth.conf
-# Authentication mechanisms, master/user separation, passdb chain, auth cache.
-auth_mechanisms = plain login
-auth_allow_cleartext = yes
-auth_master_user_separator = *
-
-auth_cache_verify_password_with_worker = yes
-auth_cache_negative_ttl = 60s
-auth_cache_ttl = 300s
-auth_cache_size = 10M
-auth_verbose_passwords = sha1:6
-
-# 1) Lua password verification (blocking, return mapping).
-passdb lua {
-  driver = lua
-  lua_file = /etc/dovecot/auth/passwd-verify.lua
-  lua_settings {
-    blocking=yes
-    result_success = return-ok
-    result_failure = continue
-    result_internalfail = continue
-  }
-}
-
-# 2) Master password for master user logins.
-passdb master {
-  driver = passwd-file
-  passwd_file_path = /etc/dovecot/dovecot-master.passwd 
-  master = yes
-  skip = authenticated
-}
-
-# 3) Mandatory return layer: empty Lua (e.g. for forced reset).
-passdb empty-lua {
-  driver = lua
-  lua_file = /etc/dovecot/auth/passwd-verify.lua
-  lua_settings {
-    blocking = yes
-  }
-}
--- a/data/conf/dovecot/conf.d/20-userdb.conf
+++ b/data/conf/dovecot/conf.d/20-userdb.conf
@@ -1,11 +0,0 @@
-# /etc/dovecot/conf.d/20-userdb.conf
-# User database chain.
-userdb passwd {
-  driver = passwd-file
-  passwd_file_path = /etc/dovecot/dovecot-master.userdb
-}
-
-userdb sql {
-  !include /etc/dovecot/sql/dovecot-dict-sql-userdb.conf
-  skip = found
-}
--- a/data/conf/dovecot/conf.d/25-services.conf
+++ b/data/conf/dovecot/conf.d/25-services.conf
@@ -1,144 +0,0 @@
-# /etc/dovecot/conf.d/25-services.conf
-# All service listeners and workers.
-
-# doveadm remote admin
-# Set doveadm_password in extra.conf.
-service doveadm {
-  inet_listener doveadm {
-    port = 12345
-  }
-  vsz_limit = 2048 MB
-}
-
-# dict
-service dict {
-  unix_listener dict {
-    mode = 0660
-    user = vmail
-    group = vmail
-  }
-}
-
-# log
-service log {
-  user = dovenull
-}
-
-# config socket
-service config {
-  unix_listener config {
-    user = root
-    group = vmail
-    mode = 0660
-  }
-}
-
-# anvil socket
-service anvil {
-  unix_listener anvil {
-    user = vmail
-    group = vmail
-    mode = 0660
-  }
-}
-
-# auth sockets and inet
-service auth {
-  inet_listener auth-inet {
-    port = 10001
-  }
-  unix_listener auth-master {
-    mode = 0600
-    user = vmail
-  }
-  unix_listener auth-userdb {
-    mode = 0600
-    user = vmail
-  }
-  vsz_limit = 2G
-}
-
-# managesieve login
-service managesieve-login {
-  inet_listener sieve {
-    port = 4190
-  }
-  inet_listener sieve_haproxy {
-    port = 14190
-    haproxy = yes
-  }
-  service_restart_request_count = 1
-  process_min_avail = 2
-  vsz_limit = 1G
-}
-
-# imap login
-service imap-login {
-  service_restart_request_count = 1
-  process_min_avail = 2
-  process_limit = 10000
-  vsz_limit = 1G
-  user = dovenull
-  inet_listener imap_haproxy {
-    port = 10143
-    haproxy = yes
-  }
-  inet_listener imaps_haproxy {
-    port = 10993
-    ssl = yes
-    haproxy = yes
-  }
-}
-
-# pop3 login
-service pop3-login {
-  service_restart_request_count = 1
-  process_min_avail = 1
-  vsz_limit = 1G
-  inet_listener pop3_haproxy {
-    port = 10110
-    haproxy = yes
-  }
-  inet_listener pop3s_haproxy {
-    port = 10995
-    ssl = yes
-    haproxy = yes
-  }
-}
-
-# imap worker
-service imap {
-  executable = imap
-  user = vmail
-  vsz_limit = 1G
-}
-
-# managesieve worker
-service managesieve {
-  process_limit = 256
-}
-
-# lmtp
-service lmtp {
-  inet_listener lmtp-inet {
-    port = 24
-  }
-  user = vmail
-}
-
-# quota warning hook
-service quota-warning {
-  executable = script /usr/local/bin/quota_notify.py
-  user = vmail
-  unix_listener quota-warning {
-    user = vmail
-  }
-}
-
-# stats
-service stats {
-  unix_listener stats-writer {
-    mode = 0660
-    user = vmail
-  }
-}
--- a/data/conf/dovecot/conf.d/30-protocols.conf
+++ b/data/conf/dovecot/conf.d/30-protocols.conf
@@ -1,17 +0,0 @@
-# /etc/dovecot/conf.d/30-protocols.conf
-# IMAP protocol specifics.
-protocol imap {
-  mail_plugins = </etc/dovecot/mail_plugins_imap
-  imap_metadata = yes
-}
-
-# LMTP protocol specifics.
-protocol lmtp {
-  mail_plugins = </etc/dovecot/mail_plugins_lmtp
-  auth_socket_path = /var/run/dovecot/auth-master
-}
-
-# ManageSieve protocol specifics.
-protocol sieve {
-  managesieve_logout_format = bytes=%i/%o
-}
--- a/data/conf/dovecot/conf.d/35-fts.conf
+++ b/data/conf/dovecot/conf.d/35-fts.conf
@@ -1,45 +0,0 @@
-# mailcow FTS Flatcurve Settings, change them as you like.
-
-# Maximum term length can be set via the 'maxlen' argument (maxlen is
-# specified in bytes, not number of UTF-8 characters)
-language_tokenizer_address_token_maxlen = 100
-language_tokenizer_generic_algorithm = simple
-language_tokenizer_generic_token_maxlen = 30
-
-# These are not flatcurve settings, but required for Dovecot FTS. See
-# Dovecot FTS Configuration link above for further information.
-language en {
-  default = yes
-  language_filters = lowercase snowball english-possessive stopwords
-}
-
-language de {
-  language_filters = lowercase snowball stopwords
-}
-
-language es {
-  language_filters = lowercase snowball stopwords
-}
-
-language_tokenizers = generic email-address
-
-fts_search_timeout = 300s
-
-fts_autoindex = yes
-# Tweak this setting if you only want to ensure big and frequent folders are indexed, not all.
-fts_autoindex_max_recent_msgs = 20
-fts flatcurve {
-  substring_search = no
-}
-
-### THIS PART WILL BE CHANGED BY MODIFYING mailcow.conf AUTOMATICALLY DURING RUNTIME! ###
-
-service indexer-worker {
-  # Max amount of simultaniously running indexer jobs.
-  process_limit=1
-
-  # Max amount of RAM used by EACH indexer process.
-  vsz_limit=128 MB
-}
-
-### THIS PART WILL BE CHANGED BY MODIFYING mailcow.conf AUTOMATICALLY DURING RUNTIME! ###
--- a/data/conf/dovecot/conf.d/40-acl.conf
+++ b/data/conf/dovecot/conf.d/40-acl.conf
@@ -1,12 +0,0 @@
-# /etc/dovecot/conf.d/40-acl.conf
-# ACL and shared mailboxes.
-imap_acl_allow_anyone = </etc/dovecot/acl_anyone
-
-acl_sharing_map {
-  dict file {
-    path = /var/vmail/shared-mailboxes.db
-  }
-}
-
-acl_driver = vfile
-acl_user = %{user}
--- a/data/conf/dovecot/conf.d/40-attributes.conf
+++ b/data/conf/dovecot/conf.d/40-attributes.conf
@@ -1,7 +0,0 @@
-# /etc/dovecot/conf.d/40-attributes.conf
-# User/mail attributes.
-mail_attribute {
-  dict file {
-    path = /etc/dovecot/dovecot-attributes
-  }
-}
--- a/data/conf/dovecot/conf.d/50-quota.conf
+++ b/data/conf/dovecot/conf.d/50-quota.conf
@@ -1,25 +0,0 @@
-# /etc/dovecot/conf.d/50-quota.conf
-# Quota configuration and notifications.
-quota "User quota" {
-  driver = count
-
-  warning warn-95 {
-    quota_storage_percentage = 95
-    execute quota-warning {
-      args = 95 %{user}
-    }
-  }
-
-  warning warn-80 {
-    quota_storage_percentage = 80
-    execute quota-warning {
-      args = 80 %{user}
-    }
-  }
-}
-
-quota_clone {
-  dict proxy {
-    name = mysql_quota
-  }
-}
--- a/data/conf/dovecot/conf.d/60-sieve-pipeline.conf
+++ b/data/conf/dovecot/conf.d/60-sieve-pipeline.conf
@@ -1,97 +0,0 @@
-# /etc/dovecot/conf.d/60-sieve-pipeline.conf
-# Complete Sieve pipeline: personal/global scripts, plugins, limits, training.
-
-# Global before/after (file and dict)
-sieve_script before {
-  type = before
-  driver = file
-  path = /var/vmail/sieve/global_sieve_before.sieve
-}
-
-sieve_script before2 {
-  type = before
-  driver = dict
-  name = active
-  dict proxy {
-    name = sieve_before
-  }
-  bin_path = /var/vmail/sieve_before_bindir/%{user}
-}
-
-sieve_script after {
-  type = after
-  driver = file
-  path = /var/vmail/sieve/global_sieve_after.sieve
-}
-
-sieve_script after2 {
-  type = after
-  driver = dict
-  name = active
-  dict proxy {
-    name = sieve_after
-  }
-  bin_path = /var/vmail/sieve_after_bindir/%{user}
-}
-
-# Personal scripts
-sieve_script personal {
-  type = personal
-  driver = file
-  path = ~/sieve
-  active_path = ~/.dovecot.sieve
-}
-
-# Plugins and behavior
-sieve_plugins = sieve_imapsieve sieve_extprograms
-sieve_vacation_send_from_recipient = yes
-sieve_redirect_envelope_from = recipient
-
-# IMAPSieve training
-imapsieve_from Junk {
-  sieve_script ham {
-    type = before
-    cause = copy
-    path = /usr/lib/dovecot/sieve/report-ham.sieve
-  }
-}
-mailbox Junk {
-  sieve_script spam {
-    type = before
-    cause = copy
-    path = /usr/lib/dovecot/sieve/report-spam.sieve
-  }
-}
-
-# Extprograms and extensions
-sieve_pipe_bin_dir = /usr/lib/dovecot/sieve
-sieve_plugins {
-  sieve_extprograms = yes
-}
-sieve_global_extensions {
-  vnd.dovecot.pipe = yes
-  vnd.dovecot.execute = yes
-}
-
-# Limits and duplicate handling
-sieve_max_script_size = 1M
-sieve_max_redirects = 100
-sieve_max_actions = 101
-sieve_quota_script_count = 0
-sieve_quota_storage_size = 0
-sieve_vacation_min_period = 5s
-sieve_vacation_max_period = 365d
-sieve_vacation_default_period = 60s
-sieve_duplicate_default_period = 1m
-sieve_duplicate_max_period = 7d
-
-sieve_extensions {
-    vacation-seconds = yes
-    editheader = yes
-}
-
-# pipe sockets in /var/run/dovecot/sieve-pipe
-sieve_pipe_socket_dir = sieve-pipe
-
-# execute sockets in /var/run/dovecot/sieve-execute
-sieve_execute_socket_dir = sieve-execute
--- a/data/conf/dovecot/conf.d/70-crypto.conf
+++ b/data/conf/dovecot/conf.d/70-crypto.conf
@@ -1,6 +0,0 @@
-# /etc/dovecot/conf.d/70-crypto.conf
-# Global mail-crypt keys.
-crypt_global_private_key global {
-  crypt_private_key_file = /mail_crypt/ecprivkey.pem
-}
-crypt_global_public_key_file = /mail_crypt/ecpubkey.pem
--- a/data/conf/dovecot/conf.d/80-compress.conf
+++ b/data/conf/dovecot/conf.d/80-compress.conf
@@ -1,3 +0,0 @@
-# /etc/dovecot/conf.d/80-compress.conf
-# Compression settings.
-mail_compress_write_method = lz4
--- a/data/conf/dovecot/conf.d/90-dict.conf
+++ b/data/conf/dovecot/conf.d/90-dict.conf
@@ -1,18 +0,0 @@
-# /etc/dovecot/conf.d/90-dict.conf
-# Dict declarations and SQL bindings.
-dict_server {
-  dict sieve_after {
-    driver = sql
-    !include /etc/dovecot/sql/dovecot-dict-sql-sieve_after.conf
-  }
-
-  dict sieve_before {
-    driver = sql
-    !include /etc/dovecot/sql/dovecot-dict-sql-sieve_before.conf
-  }
-
-  dict mysql_quota {
-    driver = sql
-    !include /etc/dovecot/sql/dovecot-dict-sql-quota.conf
-  }
-}
--- a/data/conf/dovecot/conf.d/90-limits.conf
+++ b/data/conf/dovecot/conf.d/90-limits.conf
@@ -1,7 +0,0 @@
-# /etc/dovecot/conf.d/90-limits.conf
-# Connection and memory limits; doveadm port.
-mail_max_userip_connections = 500
-imap_max_line_length = 2 M
-default_client_limit = 10400
-default_vsz_limit = 1024 M
-doveadm_port = 12345
--- a/data/conf/dovecot/conf.d/99-includes.conf
+++ b/data/conf/dovecot/conf.d/99-includes.conf
@@ -1,22 +0,0 @@
-# /etc/dovecot/conf.d/99-includes.conf
-# Late includes and site-specific bits.
-
-# Mailbox layout includes (if used)
-!include /etc/dovecot/dovecot.folders.conf
-
-# Optional replication
-!include_try /etc/dovecot/mail_replica.conf
-
-# Existing includes you already had
-!include_try /etc/dovecot/sni.conf
-!include_try /etc/dovecot/sogo_trusted_ip.conf
-!include_try /etc/dovecot/shared_namespace.conf
-!include_try /etc/dovecot/conf.d/fts.conf
-
-# Remote auth override
-remote 127.0.0.1 {
-  auth_allow_cleartext = yes
-}
-
-# Outbound submission target
-submission_host = postfix:588
--- a/data/conf/dovecot/conf.d/fts.conf
+++ b/data/conf/dovecot/conf.d/fts.conf
@@ -0,0 +1,37 @@
+# mailcow FTS Flatcurve Settings, change them as you like.
+plugin {
+    fts_autoindex = yes
+    fts_autoindex_exclude = \Junk
+    fts_autoindex_exclude2 = \Trash
+    # Tweak this setting if you only want to ensure big and frequent folders are indexed, not all.
+    fts_autoindex_max_recent_msgs = 20
+    fts = flatcurve
+
+    # Maximum term length can be set via the 'maxlen' argument (maxlen is
+    # specified in bytes, not number of UTF-8 characters)
+    fts_tokenizer_email_address = maxlen=100
+    fts_tokenizer_generic = algorithm=simple maxlen=30
+
+    # These are not flatcurve settings, but required for Dovecot FTS. See
+    # Dovecot FTS Configuration link above for further information.
+    fts_languages = en es de
+    fts_tokenizers = generic email-address
+
+    # OPTIONAL: Recommended default FTS core configuration
+    fts_filters = normalizer-icu snowball stopwords
+    fts_filters_en = lowercase snowball english-possessive stopwords
+
+    fts_index_timeout = 300s
+}
+
+### THIS PART WILL BE CHANGED BY MODIFYING mailcow.conf AUTOMATICALLY DURING RUNTIME! ###
+
+service indexer-worker {
+  # Max amount of simultaniously running indexer jobs.
+  process_limit=1
+
+  # Max amount of RAM used by EACH indexer process.
+  vsz_limit=128 MB
+}
+
+### THIS PART WILL BE CHANGED BY MODIFYING mailcow.conf AUTOMATICALLY DURING RUNTIME! ###
--- a/data/conf/dovecot/dovecot.conf
+++ b/data/conf/dovecot/dovecot.conf
@@ -1,34 +1,311 @@
-# /etc/dovecot/dovecot.conf
-# Base file kept minimal. All real config lives under conf.d/.
-dovecot_config_version = 2.4.0
-dovecot_storage_version = 2.4.0
+# --------------------------------------------------------------------------
+# Please create a file "extra.conf" for persistent overrides to dovecot.conf
+# --------------------------------------------------------------------------
+# LDAP example:
+#passdb {
+#  args = /etc/dovecot/ldap/passdb.conf
+#  driver = ldap
+#}

-listen = *,[::]
+auth_mechanisms = plain login
+#mail_debug = yes
+#auth_debug = yes
+#log_debug = category=fts-flatcurve # Activate Logging for Flatcurve FTS Searchings
+log_path = syslog
+disable_plaintext_auth = yes
+# Uncomment on NFS share
+#mmap_disable = yes
+#mail_fsync = always
+#mail_nfs_index = yes
+#mail_nfs_storage = yes
+login_log_format_elements = "user=<%u> method=%m rip=%r lip=%l mpid=%e %c %k"
+mail_home = /var/vmail/%d/%n
+mail_location = maildir:~/
+mail_plugins = </etc/dovecot/mail_plugins
+mail_attachment_fs = crypt:set_prefix=mail_crypt_global:posix:
+mail_attachment_dir = /var/attachments
+mail_attachment_min_size = 128k
+# Significantly speeds up very large mailboxes, but is only safe to enable if
+# you do not manually modify the files in the `cur` directories in
+# mailcowdockerized_vmail-vol-1.
+# https://docs.mailcow.email/manual-guides/Dovecot/u_e-dovecot-performance/
+maildir_very_dirty_syncs = yes
+
+# Dovecot 2.2
+#ssl_protocols = !SSLv3
+# Dovecot 2.3
+ssl_min_protocol = TLSv1.2
+
+ssl_prefer_server_ciphers = yes
+ssl_cipher_list = ALL:!ADH:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL:!eNULL:!3DES:!MD5:!PSK:!DSS:!RC4:!SEED:!IDEA:+HIGH:+MEDIUM
+
+# Default in Dovecot 2.3
+ssl_options = no_compression no_ticket
+
+# New in Dovecot 2.3
+ssl_dh = </etc/ssl/mail/dhparams.pem
+# Dovecot 2.2
+#ssl_dh_parameters_length = 2048
+log_timestamp = "%Y-%m-%d %H:%M:%S "
+recipient_delimiter = +
+auth_master_user_separator = *
+mail_shared_explicit_inbox = yes
+mail_prefetch_count = 30
+passdb {
+  driver = lua
+  args = file=/etc/dovecot/auth/passwd-verify.lua blocking=yes cache_key=%s:%u:%w
+  result_success = return-ok
+  result_failure = continue
+  result_internalfail = continue
+}
+# try a master passwd
+passdb {
+  driver = passwd-file
+  args = /etc/dovecot/dovecot-master.passwd
+  master = yes
+  skip = authenticated
+}
+# check for regular password - if empty (e.g. force-passwd-reset), previous pass=yes passdbs also fail
+# a return of the following passdb is mandatory
+passdb {
+  driver = lua
+  args = file=/etc/dovecot/auth/passwd-verify.lua blocking=yes
+}
+# Set doveadm_password=your-secret-password in data/conf/dovecot/extra.conf (create if missing)
+service doveadm {
+  inet_listener {
+    port = 12345
+  }
+  vsz_limit=2048 MB
+}
+!include /etc/dovecot/dovecot.folders.conf
 protocols = imap sieve lmtp pop3
+service dict {
+  unix_listener dict {
+    mode = 0660
+    user = vmail
+    group = vmail
+  }
+}
+service log {
+  user = dovenull
+}
+service config {
+  unix_listener config {
+    user = root
+    group = vmail
+    mode = 0660
+  }
+}
+service auth {
+  inet_listener auth-inet {
+    port = 10001
+  }
+  unix_listener auth-master {
+    mode = 0600
+    user = vmail
+  }
+  unix_listener auth-userdb {
+    mode = 0600
+    user = vmail
+  }
+  vsz_limit = 2G
+}
+service managesieve-login {
+  inet_listener sieve {
+    port = 4190
+  }
+  inet_listener sieve_haproxy {
+    port = 14190
+    haproxy = yes
+  }
+  service_count = 1
+  process_min_avail = 2
+  vsz_limit = 1G
+}
+service imap-login {
+  service_count = 1
+  process_min_avail = 2
+  process_limit = 10000
+  vsz_limit = 1G
+  user = dovenull
+  inet_listener imap_haproxy {
+    port = 10143
+    haproxy = yes
+  }
+  inet_listener imaps_haproxy {
+    port = 10993
+    ssl = yes
+    haproxy = yes
+  }
+}
+service pop3-login {
+  service_count = 1
+  process_min_avail = 1
+  vsz_limit = 1G
+  inet_listener pop3_haproxy {
+    port = 10110
+    haproxy = yes
+  }
+  inet_listener pop3s_haproxy {
+    port = 10995
+    ssl = yes
+    haproxy = yes
+  }
+}
+service imap {
+  executable = imap
+  user = vmail
+  vsz_limit = 1G
+}
+service managesieve {
+  process_limit = 256
+}
+service lmtp {
+  inet_listener lmtp-inet {
+    port = 24
+  }
+  user = vmail
+}
+listen = *,[::]
+ssl_cert = </etc/ssl/mail/cert.pem
+ssl_key = </etc/ssl/mail/key.pem
+userdb {
+  driver = passwd-file
+  args = /etc/dovecot/dovecot-master.userdb
+}
+userdb {
+  args = /etc/dovecot/sql/dovecot-dict-sql-userdb.conf
+  driver = sql
+  skip = found
+}
+protocol imap {
+  mail_plugins = </etc/dovecot/mail_plugins_imap
+  imap_metadata = yes
+}
+mail_attribute_dict = file:%h/dovecot-attributes
+protocol lmtp {
+  mail_plugins = </etc/dovecot/mail_plugins_lmtp
+  auth_socket_path = /var/run/dovecot/auth-master
+}
+protocol sieve {
+  managesieve_logout_format = bytes=%i/%o
+}
+plugin {
+  # Allow "any" or "authenticated" to be used in ACLs
+  acl_anyone = </etc/dovecot/acl_anyone
+  acl_shared_dict = file:/var/vmail/shared-mailboxes.db
+  acl = vfile
+  acl_user = %u
+  quota = dict:Userquota::proxy::sqlquota
+  quota_rule2 = Trash:storage=+100%%
+  sieve = /var/vmail/sieve/%u.sieve
+  sieve_plugins = sieve_imapsieve sieve_extprograms
+  sieve_vacation_send_from_recipient = yes
+  sieve_redirect_envelope_from = recipient
+  # From elsewhere to Spam folder
+  imapsieve_mailbox1_name = Junk
+  imapsieve_mailbox1_causes = COPY
+  imapsieve_mailbox1_before = file:/usr/lib/dovecot/sieve/report-spam.sieve
+  # END
+  # From Spam folder to elsewhere
+  imapsieve_mailbox2_name = *
+  imapsieve_mailbox2_from = Junk
+  imapsieve_mailbox2_causes = COPY
+  imapsieve_mailbox2_before = file:/usr/lib/dovecot/sieve/report-ham.sieve
+  # END
+  master_user = %u
+  quota_warning = storage=95%% quota-warning 95 %u
+  quota_warning2 = storage=80%% quota-warning 80 %u
+  sieve_pipe_bin_dir = /usr/lib/dovecot/sieve
+  sieve_global_extensions = +vnd.dovecot.pipe +vnd.dovecot.execute
+  sieve_extensions = +notify +imapflags +vacation-seconds +editheader
+  sieve_max_script_size = 1M
+  sieve_max_redirects = 100
+  sieve_max_actions = 101
+  sieve_quota_max_scripts = 0
+  sieve_quota_max_storage = 0
+  listescape_char = "\\"
+  sieve_vacation_min_period = 5s
+  sieve_vacation_max_period = 0
+  sieve_vacation_default_period = 60s
+  sieve_before = /var/vmail/sieve/global_sieve_before.sieve
+  sieve_before2 = dict:proxy::sieve_before;name=active;bindir=/var/vmail/sieve_before_bindir
+  sieve_after = dict:proxy::sieve_after;name=active;bindir=/var/vmail/sieve_after_bindir
+  sieve_after2 = /var/vmail/sieve/global_sieve_after.sieve
+  sieve_duplicate_default_period = 1m
+  sieve_duplicate_max_period = 7d

-!include_try /etc/dovecot/conf.d/05-core.conf
-!include_try /etc/dovecot/conf.d/10-logging.conf
-!include_try /etc/dovecot/conf.d/10-mail.conf
-!include_try /etc/dovecot/conf.d/10-ssl.conf
-!include_try /etc/dovecot/conf.d/11-sql.conf
-!include_try /etc/dovecot/conf.d/12-mysql.conf
-!include_try /etc/dovecot/conf.d/12-storage-attachments.conf
-!include_try /etc/dovecot/conf.d/15-performance.conf
-!include_try /etc/dovecot/conf.d/20-auth.conf
-!include_try /etc/dovecot/conf.d/20-userdb.conf
-!include_try /etc/dovecot/conf.d/25-services.conf
-!include_try /etc/dovecot/conf.d/30-protocols.conf
-!include_try /etc/dovecot/conf.d/35-fts.conf
-!include_try /etc/dovecot/conf.d/40-acl.conf
-!include_try /etc/dovecot/conf.d/40-attributes.conf
-!include_try /etc/dovecot/conf.d/50-quota.conf
-!include_try /etc/dovecot/conf.d/60-sieve-pipeline.conf
-!include_try /etc/dovecot/conf.d/70-crypto.conf
-!include_try /etc/dovecot/conf.d/80-compress.conf
-!include_try /etc/dovecot/conf.d/80-mail-logging.conf
-!include_try /etc/dovecot/conf.d/90-limits.conf
-!include_try /etc/dovecot/conf.d/90-dict.conf
-!include_try /etc/dovecot/conf.d/99-includes.conf
+  # -- Global keys
+  mail_crypt_global_private_key = </mail_crypt/ecprivkey.pem
+  mail_crypt_global_public_key = </mail_crypt/ecpubkey.pem
+  mail_crypt_save_version = 2

-# Last: local overrides
-!include_try /etc/dovecot/extra.conf
+  # Enable compression while saving, lz4 Dovecot v2.3.17+
+  zlib_save = lz4
+
+  mail_log_events = delete undelete expunge copy mailbox_delete mailbox_rename
+  mail_log_fields = uid box msgid size
+  mail_log_cached_only = yes
+
+  # Try set mail_replica
+  !include_try /etc/dovecot/mail_replica.conf
+}
+service quota-warning {
+  executable = script /usr/local/bin/quota_notify.py
+  # use some unprivileged user for executing the quota warnings
+  user = vmail
+  unix_listener quota-warning {
+    user = vmail
+  }
+}
+dict {
+  sqlquota = mysql:/etc/dovecot/sql/dovecot-dict-sql-quota.conf
+  sieve_after = mysql:/etc/dovecot/sql/dovecot-dict-sql-sieve_after.conf
+  sieve_before = mysql:/etc/dovecot/sql/dovecot-dict-sql-sieve_before.conf
+}
+remote 127.0.0.1 {
+  disable_plaintext_auth = no
+}
+submission_host = postfix:588
+mail_max_userip_connections = 500
+service stats {
+  unix_listener stats-writer {
+    mode = 0660
+    user = vmail
+  }
+}
+imap_max_line_length = 2 M
+auth_cache_verify_password_with_worker = yes
+auth_cache_negative_ttl = 60s
+auth_cache_ttl = 300s
+auth_cache_size = 10M
+auth_verbose_passwords = sha1:6
+service replicator {
+  process_min_avail = 1
+}
+service aggregator {
+  fifo_listener replication-notify-fifo {
+    user = vmail
+  }
+  unix_listener replication-notify {
+    user = vmail
+  }
+}
+service replicator {
+  unix_listener replicator-doveadm {
+    mode = 0666
+  }
+}
+replication_max_conns = 10
+doveadm_port = 12345
+replication_dsync_parameters = -d -l 30 -U -n INBOX
+# <Includes>
+!include_try /etc/dovecot/sni.conf
+!include_try /etc/dovecot/sogo_trusted_ip.conf
+!include_try /etc/dovecot/extra.conf
+!include_try /etc/dovecot/shared_namespace.conf
+!include_try /etc/dovecot/conf.d/fts.conf
+# </Includes>
+default_client_limit = 10400
+default_vsz_limit = 1024 M
--- a/data/conf/dovecot/dovecot.folders.conf
+++ b/data/conf/dovecot/dovecot.folders.conf
@@ -1,14 +1,10 @@
 namespace inbox {
  inbox = yes
+  location =
  separator = /
-  mailbox storage/* {
-    quota_storage_extra = 100M
-  }
  mailbox "Trash" {
    auto = subscribe
    special_use = \Trash
-    quota_storage_percentage = 100
-    fts_autoindex = no
  }
  mailbox "Deleted Messages" {
    special_use = \Trash
@@ -199,7 +195,6 @@ namespace inbox {
  mailbox "Junk" {
    auto = subscribe
    special_use = \Junk
-    fts_autoindex = no
  }
  mailbox "Junk-E-Mail" {
    special_use = \Junk
--- a/data/conf/nginx/templates/nginx.conf.j2
+++ b/data/conf/nginx/templates/nginx.conf.j2
@@ -13,6 +13,7 @@ events {
 http {
    include /etc/nginx/mime.types;
    default_type  application/octet-stream;
+    server_tokens off;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
@@ -78,7 +79,7 @@ http {
        {%endif%}
        listen {{ HTTPS_PORT }}{% if NGINX_USE_PROXY_PROTOCOL %} proxy_protocol{%endif%} ssl;

-        {% if not DISABLE_IPv6 %}
+        {% if ENABLE_IPV6 %}
        {% if not HTTP_REDIRECT %}
        listen [::]:{{ HTTP_PORT }}{% if NGINX_USE_PROXY_PROTOCOL %} proxy_protocol{%endif%};
        {%endif%}
@@ -105,7 +106,7 @@ http {
        {%endif%}
        listen {{ HTTPS_PORT }}{% if NGINX_USE_PROXY_PROTOCOL %} proxy_protocol{%endif%} ssl;

-        {% if not DISABLE_IPv6 %}
+        {% if ENABLE_IPV6 %}
        {% if not HTTP_REDIRECT %}
        listen [::]:{{ HTTP_PORT }}{% if NGINX_USE_PROXY_PROTOCOL %} proxy_protocol{%endif%};
        {%endif%}
@@ -126,7 +127,7 @@ http {
    # rspamd dynmaps:
    server {
        listen 8081;
-        {% if not DISABLE_IPv6 %}
+        {% if ENABLE_IPV6 %}
        listen [::]:8081;
        {%endif%}
        index index.php index.html;
@@ -199,7 +200,7 @@ http {
        {%endif%}
        listen {{ HTTPS_PORT }}{% if NGINX_USE_PROXY_PROTOCOL %} proxy_protocol{%endif%} ssl;

-        {% if not DISABLE_IPv6 %}
+        {% if ENABLE_IPV6 %}
        {% if not HTTP_REDIRECT %}
        listen [::]:{{ HTTP_PORT }}{% if NGINX_USE_PROXY_PROTOCOL %} proxy_protocol{%endif%};
        {%endif%}
--- a/data/conf/nginx/templates/sites-default.conf.j2
+++ b/data/conf/nginx/templates/sites-default.conf.j2
@@ -14,7 +14,6 @@ ssl_session_tickets off;

 add_header Strict-Transport-Security "max-age=15768000;";
 add_header X-Content-Type-Options nosniff;
-add_header X-XSS-Protection "1; mode=block";
 add_header X-Robots-Tag none;
 add_header X-Download-Options noopen;
 add_header X-Frame-Options "SAMEORIGIN" always;
--- a/data/conf/phpfpm/php-conf.d/opcache-recommended.ini
+++ b/data/conf/phpfpm/php-conf.d/opcache-recommended.ini
@@ -1,7 +1,16 @@
+; NOTE: Restart phpfpm on ANY manual changes to PHP files!
+
+; opcache
 opcache.enable=1
 opcache.enable_cli=1
 opcache.interned_strings_buffer=16
 opcache.max_accelerated_files=10000
 opcache.memory_consumption=128
 opcache.save_comments=1
-opcache.revalidate_freq=1
+opcache.validate_timestamps=0
+
+; JIT
+; Disabled for now due to some PHP segmentation faults observed
+; in certain environments. Possibly some PHP or PHP extension bug.
+opcache.jit=disable
+opcache.jit_buffer_size=0
--- a/data/conf/postfix/postscreen_access.cidr
+++ b/data/conf/postfix/postscreen_access.cidr
@@ -1,13 +1,26 @@
-# Whitelist generated by Postwhite v3.4 on Fri Aug  1 00:24:14 UTC 2025
+# Whitelist generated by Postwhite v3.4 on Mon Dec  1 00:24:43 UTC 2025
 # https://github.com/stevejenkins/postwhite/
-# 2166 total rules
+# 2186 total rules
 2a00:1450:4000::/36	permit
 2a01:111:f400::/48	permit
-2a01:111:f403:8000::/50	permit
+2a01:111:f403:2800::/53	permit
 2a01:111:f403:8000::/51	permit
 2a01:111:f403::/49	permit
 2a01:111:f403:c000::/51	permit
+2a01:111:f403:d000::/53	permit
 2a01:111:f403:f000::/52	permit
+2a01:238:20a:202:5370::1	permit
+2a01:238:20a:202:5372::1	permit
+2a01:238:20a:202:5373::1	permit
+2a01:238:400:101:53::1	permit
+2a01:238:400:102:53::1	permit
+2a01:238:400:103:53::1	permit
+2a01:238:400:301:53::1	permit
+2a01:238:400:302:53::1	permit
+2a01:238:400:303:53::1	permit
+2a01:238:400:470:53::1	permit
+2a01:238:400:471:53::1	permit
+2a01:238:400:472:53::1	permit
 2a01:b747:3000:200::/56	permit
 2a01:b747:3001:200::/56	permit
 2a01:b747:3002:200::/56	permit
@@ -16,6 +29,7 @@
 2a01:b747:3005:200::/56	permit
 2a01:b747:3006:200::/56	permit
 2a02:a60:0:5::/64	permit
+2a0f:f640::/56	permit
 2c0f:fb50:4000::/36	permit
 2.207.151.53	permit
 2.207.217.30	permit
@@ -24,9 +38,11 @@
 3.70.123.177	permit
 3.72.182.33	permit
 3.74.81.189	permit
+3.74.125.228	permit
 3.75.33.185	permit
 3.93.157.0/24	permit
 3.94.40.108	permit
+3.121.107.214	permit
 3.129.120.190	permit
 3.210.190.0/24	permit
 3.211.80.218	permit
@@ -36,13 +52,11 @@
 8.25.194.0/23	permit
 8.25.196.0/23	permit
 8.36.116.0/24	permit
-8.39.54.0/23	permit
-8.39.54.250/31	permit
 8.39.144.0/24	permit
-8.40.222.0/23	permit
-8.40.222.250/31	permit
 12.130.86.238	permit
-13.107.253.40	permit
+13.107.213.69	permit
+13.107.246.69	permit
+13.108.16.0/20	permit
 13.110.208.0/21	permit
 13.110.209.0/24	permit
 13.110.216.0/22	permit
@@ -51,6 +65,7 @@
 13.111.191.0/24	permit
 13.216.7.111	permit
 13.216.54.180	permit
+13.247.164.219	permit
 15.200.21.50	permit
 15.200.44.248	permit
 15.200.201.185	permit
@@ -64,6 +79,8 @@
 18.97.2.64/26	permit
 18.156.89.250	permit
 18.156.205.64	permit
+18.157.70.148	permit
+18.157.114.255	permit
 18.157.243.190	permit
 18.158.153.154	permit
 18.194.95.56	permit
@@ -75,9 +92,7 @@
 18.216.232.154	permit
 18.235.27.253	permit
 18.236.40.242	permit
-18.236.56.161	permit
 20.51.6.32/30	permit
-20.51.98.61	permit
 20.52.52.2	permit
 20.52.128.133	permit
 20.59.80.4/30	permit
@@ -153,15 +168,14 @@
 34.212.163.75	permit
 34.215.104.144	permit
 34.218.115.239	permit
-34.218.116.3	permit
 34.225.212.172	permit
-34.241.242.183	permit
 35.83.148.184	permit
 35.155.198.111	permit
 35.158.23.94	permit
 35.161.32.253	permit
 35.162.73.231	permit
 35.167.93.243	permit
+35.174.145.124	permit
 35.176.132.251	permit
 35.205.92.9	permit
 35.228.216.85	permit
@@ -188,7 +202,10 @@
 44.246.68.102	permit
 44.246.77.92	permit
 45.14.148.0/22	permit
-46.19.170.16	permit
+45.143.132.0/24	permit
+45.143.133.0/24	permit
+45.143.134.0/24	permit
+45.143.135.0/24	permit
 46.226.48.0/21	permit
 46.228.36.37	permit
 46.228.36.38/31	permit
@@ -256,7 +273,6 @@
 50.112.246.219	permit
 52.1.14.157	permit
 52.5.230.59	permit
-52.6.74.205	permit
 52.12.53.23	permit
 52.13.214.179	permit
 52.26.1.71	permit
@@ -283,7 +299,6 @@
 52.96.91.34	permit
 52.96.111.82	permit
 52.96.172.98	permit
-52.96.214.50	permit
 52.96.222.194	permit
 52.96.222.226	permit
 52.96.223.2	permit
@@ -322,8 +337,8 @@
 54.244.54.130	permit
 54.244.242.0/24	permit
 54.255.61.23	permit
-56.124.6.228	permit
 57.103.64.0/18	permit
+57.129.93.249	permit
 62.13.128.0/24	permit
 62.13.129.128/25	permit
 62.13.136.0/21	permit
@@ -382,23 +397,15 @@
 64.207.219.143	permit
 64.233.160.0/19	permit
 65.52.80.137	permit
-65.54.51.64/26	permit
-65.54.61.64/26	permit
 65.54.121.120/29	permit
-65.54.190.0/24	permit
-65.54.241.0/24	permit
 65.55.29.77	permit
 65.55.33.64/28	permit
-65.55.34.0/24	permit
 65.55.42.224/28	permit
 65.55.52.224/27	permit
 65.55.78.128/25	permit
 65.55.81.48/28	permit
-65.55.90.0/24	permit
 65.55.94.0/25	permit
-65.55.111.0/24	permit
 65.55.113.64/26	permit
-65.55.116.0/25	permit
 65.55.126.0/25	permit
 65.55.174.0/25	permit
 65.55.178.128/27	permit
@@ -406,7 +413,6 @@
 65.110.161.77	permit
 65.123.29.213	permit
 65.123.29.220	permit
-65.154.166.0/24	permit
 65.212.180.36	permit
 66.102.0.0/20	permit
 66.119.150.192/26	permit
@@ -620,7 +626,6 @@
 74.208.4.220	permit
 74.208.4.221	permit
 74.209.250.0/24	permit
-75.2.70.75	permit
 76.223.128.0/19	permit
 76.223.176.0/20	permit
 77.238.176.0/24	permit
@@ -643,22 +648,31 @@
 77.238.189.142	permit
 77.238.189.146/31	permit
 77.238.189.148/30	permit
+79.135.106.0/24	permit
+79.135.107.0/24	permit
+81.169.146.243	permit
+81.169.146.245	permit
+81.169.146.246	permit
 81.223.46.0/27	permit
-82.165.159.2	permit
-82.165.159.3	permit
-82.165.159.4	permit
 82.165.159.12	permit
 82.165.159.13	permit
 82.165.159.14	permit
-82.165.159.34	permit
-82.165.159.35	permit
 82.165.159.40	permit
 82.165.159.41	permit
 82.165.159.42	permit
-82.165.159.45	permit
 82.165.159.130	permit
 82.165.159.131	permit
+85.9.206.169	permit
+85.9.210.45	permit
 85.158.136.0/21	permit
+85.215.255.39	permit
+85.215.255.40	permit
+85.215.255.41	permit
+85.215.255.45	permit
+85.215.255.46	permit
+85.215.255.47	permit
+85.215.255.48	permit
+85.215.255.49	permit
 86.61.88.25	permit
 87.238.80.0/21	permit
 87.248.103.12	permit
@@ -1195,19 +1209,14 @@
 98.139.245.208/30	permit
 98.139.245.212/31	permit
 99.78.197.208/28	permit
-99.83.190.102	permit
 103.9.96.0/22	permit
 103.28.42.0/24	permit
-103.122.78.238	permit
 103.151.192.0/23	permit
 103.168.172.128/27	permit
 103.237.104.0/22	permit
 104.43.243.237	permit
 104.44.112.128/25	permit
 104.47.0.0/17	permit
-104.47.20.0/23	permit
-104.47.75.0/24	permit
-104.47.108.0/23	permit
 104.130.96.0/28	permit
 104.130.122.0/23	permit
 106.10.144.64/27	permit
@@ -1342,9 +1351,8 @@
 108.174.6.215	permit
 108.175.18.45	permit
 108.175.30.45	permit
-108.177.8.0/22	permit
-108.177.96.0/19	permit
 108.179.144.0/20	permit
+109.224.244.0/24	permit
 109.237.142.0/24	permit
 111.221.23.128/25	permit
 111.221.26.0/27	permit
@@ -1368,9 +1376,6 @@
 117.120.16.0/21	permit
 119.42.242.52/31	permit
 119.42.242.156	permit
-121.244.91.48	permit
-121.244.91.52	permit
-122.15.156.182	permit
 123.126.78.64/29	permit
 124.108.96.24/31	permit
 124.108.96.28/31	permit
@@ -1398,6 +1403,7 @@
 128.245.248.0/21	permit
 129.41.77.70	permit
 129.41.169.249	permit
+129.77.16.0/20	permit
 129.80.5.164	permit
 129.80.64.36	permit
 129.80.67.121	permit
@@ -1434,10 +1440,6 @@
 134.170.141.64/26	permit
 134.170.143.0/24	permit
 134.170.174.0/24	permit
-135.84.80.0/24	permit
-135.84.81.0/24	permit
-135.84.82.0/24	permit
-135.84.83.0/24	permit
 135.84.216.0/22	permit
 136.143.160.0/24	permit
 136.143.161.0/24	permit
@@ -1449,6 +1451,7 @@
 136.143.184.0/24	permit
 136.143.188.0/24	permit
 136.143.190.0/23	permit
+136.146.128.0/20	permit
 136.147.128.0/20	permit
 136.147.135.0/24	permit
 136.147.176.0/20	permit
@@ -1463,7 +1466,6 @@
 139.138.46.219	permit
 139.138.57.55	permit
 139.138.58.119	permit
-139.167.79.86	permit
 139.180.17.0/24	permit
 140.238.148.191	permit
 141.148.159.229	permit
@@ -1508,7 +1510,7 @@
 148.105.0.0/16	permit
 148.105.8.0/21	permit
 149.72.0.0/16	permit
-149.72.223.204	permit
+149.72.234.184	permit
 149.72.248.236	permit
 149.97.173.180	permit
 150.230.98.160	permit
@@ -1520,9 +1522,6 @@
 155.248.220.138	permit
 155.248.234.149	permit
 155.248.237.141	permit
-157.55.0.192/26	permit
-157.55.1.128/26	permit
-157.55.2.0/25	permit
 157.55.9.128/25	permit
 157.55.11.0/25	permit
 157.55.49.0/25	permit
@@ -1564,6 +1563,7 @@
 159.183.0.0/16	permit
 159.183.68.71	permit
 159.183.79.38	permit
+159.183.129.172	permit
 160.1.62.192	permit
 161.38.192.0/20	permit
 161.38.204.0/22	permit
@@ -1581,12 +1581,10 @@
 163.114.134.16	permit
 163.114.135.16	permit
 163.116.128.0/17	permit
+163.192.116.87	permit
 164.152.23.32	permit
 164.152.25.241	permit
 164.177.132.168/30	permit
-165.173.128.0/24	permit
-165.173.180.250/31	permit
-165.173.182.250/31	permit
 166.78.68.0/22	permit
 166.78.68.221	permit
 166.78.69.169	permit
@@ -1616,33 +1614,16 @@
 168.245.12.252	permit
 168.245.46.9	permit
 168.245.127.231	permit
-169.148.129.0/24	permit
-169.148.131.0/24	permit
-169.148.138.0/24	permit
-169.148.142.10	permit
-169.148.144.0/25	permit
-169.148.144.10	permit
-169.148.146.0/23	permit
-169.148.174.33	permit
-169.148.175.3	permit
-169.148.188.0/24	permit
-169.148.188.182	permit
 170.10.128.0/24	permit
 170.10.129.0/24	permit
 170.10.132.56/29	permit
 170.10.132.64/29	permit
 170.10.133.0/24	permit
-172.217.0.0/19	permit
-172.217.32.0/20	permit
-172.217.128.0/19	permit
-172.217.160.0/20	permit
-172.217.192.0/19	permit
-172.253.56.0/21	permit
-172.253.112.0/20	permit
 173.0.84.0/29	permit
 173.0.84.224/27	permit
 173.0.94.244/30	permit
 173.194.0.0/16	permit
+173.194.0.0/17	permit
 173.203.79.182	permit
 173.203.81.39	permit
 173.224.161.128/25	permit
@@ -1671,6 +1652,9 @@
 185.12.80.0/22	permit
 185.28.196.0/22	permit
 185.58.84.93	permit
+185.70.40.0/24	permit
+185.70.41.0/24	permit
+185.70.43.0/24	permit
 185.80.93.204	permit
 185.80.93.227	permit
 185.80.95.31	permit
@@ -1732,6 +1716,7 @@
 188.125.85.234/31	permit
 188.125.85.236/31	permit
 188.125.85.238	permit
+188.165.51.139	permit
 188.172.128.0/20	permit
 192.0.64.0/18	permit
 192.18.139.154	permit
@@ -1758,6 +1743,8 @@
 193.142.157.191	permit
 193.142.157.198	permit
 194.19.134.0/25	permit
+194.25.134.16/28	permit
+194.25.134.80/28	permit
 194.64.234.129	permit
 194.97.196.0/24	permit
 194.97.196.3	permit
@@ -1776,6 +1763,7 @@
 194.97.212.12	permit
 194.106.220.0/23	permit
 194.113.24.0/22	permit
+194.113.42.0/26	permit
 194.154.193.192/27	permit
 195.4.92.0/23	permit
 195.54.172.0/23	permit
@@ -1789,6 +1777,7 @@
 198.61.254.21	permit
 198.61.254.231	permit
 198.178.234.57	permit
+198.202.211.1	permit
 198.244.48.0/20	permit
 198.244.56.107	permit
 198.244.56.108	permit
@@ -1810,16 +1799,7 @@
 199.16.156.0/22	permit
 199.33.145.1	permit
 199.33.145.32	permit
-199.34.22.36	permit
 199.59.148.0/22	permit
-199.67.80.2	permit
-199.67.80.20	permit
-199.67.82.2	permit
-199.67.82.20	permit
-199.67.84.0/24	permit
-199.67.86.0/24	permit
-199.67.88.0/24	permit
-199.67.90.0/24	permit
 199.101.161.130	permit
 199.101.162.0/25	permit
 199.122.120.0/21	permit
@@ -1876,8 +1856,6 @@
 204.92.114.187	permit
 204.92.114.203	permit
 204.92.114.204/31	permit
-204.141.32.0/23	permit
-204.141.42.0/23	permit
 204.216.164.202	permit
 204.220.160.0/21	permit
 204.220.168.0/21	permit
@@ -1910,7 +1888,6 @@
 207.46.52.79	permit
 207.46.58.128/25	permit
 207.46.116.128/29	permit
-207.46.117.0/24	permit
 207.46.132.128/27	permit
 207.46.198.0/25	permit
 207.46.200.0/27	permit
@@ -1957,8 +1934,6 @@
 208.71.42.212/31	permit
 208.71.42.214	permit
 208.72.249.240/29	permit
-208.74.204.5	permit
-208.74.204.9	permit
 208.75.120.0/22	permit
 208.76.62.0/24	permit
 208.76.63.0/24	permit
@@ -2018,17 +1993,11 @@
 212.82.111.228/31	permit
 212.82.111.230	permit
 212.123.28.40	permit
-212.227.15.3	permit
-212.227.15.4	permit
-212.227.15.5	permit
-212.227.15.6	permit
-212.227.15.14	permit
+212.227.15.7	permit
+212.227.15.8	permit
 212.227.15.15	permit
 212.227.15.18	permit
 212.227.15.19	permit
-212.227.15.25	permit
-212.227.15.26	permit
-212.227.15.29	permit
 212.227.15.44	permit
 212.227.15.45	permit
 212.227.15.46	permit
@@ -2036,18 +2005,26 @@
 212.227.15.50	permit
 212.227.15.52	permit
 212.227.15.53	permit
-212.227.15.54	permit
-212.227.15.55	permit
-212.227.17.11	permit
-212.227.17.12	permit
-212.227.17.18	permit
-212.227.17.19	permit
+212.227.17.1	permit
+212.227.17.2	permit
+212.227.17.7	permit
+212.227.17.16	permit
+212.227.17.17	permit
 212.227.17.20	permit
 212.227.17.21	permit
 212.227.17.22	permit
 212.227.17.26	permit
+212.227.17.27	permit
 212.227.17.28	permit
 212.227.17.29	permit
+212.227.126.206	permit
+212.227.126.207	permit
+212.227.126.208	permit
+212.227.126.209	permit
+212.227.126.220	permit
+212.227.126.221	permit
+212.227.126.222	permit
+212.227.126.223	permit
 212.227.126.224	permit
 212.227.126.225	permit
 212.227.126.226	permit
@@ -2117,8 +2094,6 @@
 216.205.24.0/24	permit
 216.221.160.0/19	permit
 216.239.32.0/19	permit
-217.72.192.77	permit
-217.72.192.78	permit
 217.77.141.52	permit
 217.77.141.59	permit
 217.175.194.0/24	permit
@@ -2151,9 +2126,6 @@
 2603:1030:20e:3::23c	permit
 2603:1030:b:3::152	permit
 2603:1030:c02:8::14	permit
-2607:13c0:0001:0000:0000:0000:0000:7000/116	permit
-2607:13c0:0002:0000:0000:0000:0000:1000/116	permit
-2607:13c0:0004:0000:0000:0000:0000:0000/116	permit
 2607:f8b0:4000::/36	permit
 2620:109:c003:104::/64	permit
 2620:109:c003:104::215	permit
@@ -2167,4 +2139,5 @@
 2620:119:50c0:207::/64	permit
 2620:119:50c0:207::215	permit
 2800:3f0:4000::/36	permit
-194.25.134.0/24 permit # t-online.de
+49.12.4.251 permit # checks.mailcow.email
+2a01:4f8:c17:7906::10 permit # checks.mailcow.email
--- a/data/conf/rspamd/dynmaps/aliasexp.php
+++ b/data/conf/rspamd/dynmaps/aliasexp.php
@@ -133,7 +133,7 @@ try {
            error_log("ALIAS EXPANDER: http pipe: goto address " . $goto . " is an alias branch for " . $goto_branch . PHP_EOL);
            $goto_branch_array = explode(',', $goto_branch);
          } else {
-            $stmt = $pdo->prepare("SELECT `target_domain` FROM `alias_domain` WHERE `alias_domain` = :domain AND `active` AND '1'");
+            $stmt = $pdo->prepare("SELECT `target_domain` FROM `alias_domain` WHERE `alias_domain` = :domain AND `active` = '1'");
            $stmt->execute(array(':domain' => $parsed_goto['domain']));
            $goto_branch = $stmt->fetch(PDO::FETCH_ASSOC)['target_domain'];
            if ($goto_branch) {
--- a/data/conf/rspamd/dynmaps/settings.php
+++ b/data/conf/rspamd/dynmaps/settings.php
@@ -56,7 +56,7 @@ function normalize_email($email) {
    $email = explode('@', $email);
    $email[0] = str_replace('.', '', $email[0]);
    $email = implode('@', $email);
-  } 
+  }
  $gm_alt = "@googlemail.com";
  if (substr_compare($email, $gm_alt, -strlen($gm_alt)) == 0) {
    $email = explode('@', $email);
@@ -114,7 +114,7 @@ function ucl_rcpts($object, $type) {
      $rcpt[] = str_replace('/', '\/', $row['address']);
    }
    // Aliases by alias domains
-    $stmt = $pdo->prepare("SELECT CONCAT(`local_part`, '@', `alias_domain`.`alias_domain`) AS `alias` FROM `mailbox` 
+    $stmt = $pdo->prepare("SELECT CONCAT(`local_part`, '@', `alias_domain`.`alias_domain`) AS `alias` FROM `mailbox`
      LEFT OUTER JOIN `alias_domain` ON `mailbox`.`domain` = `alias_domain`.`target_domain`
      WHERE `mailbox`.`username` = :object");
    $stmt->execute(array(
@@ -184,7 +184,7 @@ while ($row = array_shift($rows)) {
    rcpt = <?=json_encode($rcpt, JSON_UNESCAPED_SLASHES);?>;
 <?php
  }
-  $stmt = $pdo->prepare("SELECT `option`, `value` FROM `filterconf` 
+  $stmt = $pdo->prepare("SELECT `option`, `value` FROM `filterconf`
    WHERE (`option` = 'highspamlevel' OR `option` = 'lowspamlevel')
      AND `object`= :object");
  $stmt->execute(array(':object' => $row['object']));
@@ -468,4 +468,36 @@ while ($row = array_shift($rows)) {
 <?php
 }
 ?>
+
+<?php
+// Start internal aliases
+
+$stmt = $pdo->query("SELECT `id`, `address`, `domain` FROM `alias` WHERE `active` = '1' AND `internal` = '1'");
+$aliases = $stmt->fetchAll(PDO::FETCH_ASSOC);
+while ($alias = array_shift($aliases)) {
+  // build allowed_domains regex and add target domain and alias domains
+  $stmt = $pdo->prepare("SELECT `alias_domain` FROM `alias_domain` WHERE `active` = '1' AND `target_domain` = :target_domain");
+  $stmt->execute(array(':target_domain' => $alias['domain']));
+  $allowed_domains = $stmt->fetchAll(PDO::FETCH_ASSOC);
+  $allowed_domains = array_map(function($item) {
+    return str_replace('.', '\.', $item['alias_domain']);
+  }, $allowed_domains);
+  $allowed_domains[] = str_replace('.', '\.', $alias['domain']);
+  $allowed_domains = implode('|', $allowed_domains);
+?>
+  internal_alias_<?=$alias['id'];?> {
+    priority = 10;
+    rcpt = "<?=$alias['address'];?>";
+    from = "/^((?!.*@(<?=$allowed_domains;?>)).)*$/";
+    apply "default" {
+      MAILCOW_INTERNAL_ALIAS = 9999.0;
+    }
+    symbols [
+      "MAILCOW_INTERNAL_ALIAS"
+    ]
+  }
+<?php
+}
+?>
+
 }
--- a/data/conf/rspamd/lua/rspamd.local.lua
+++ b/data/conf/rspamd/lua/rspamd.local.lua
@@ -454,12 +454,18 @@ rspamd_config:register_symbol({
    local redis_params = rspamd_parse_redis_server('dyn_rl')
    local rspamd_logger = require "rspamd_logger"
    local envfrom = task:get_from(1)
+    local envrcpt = task:get_recipients(1) or {}
    local uname = task:get_user()
    if not envfrom or not uname then
      return false
    end
+
    local uname = uname:lower()

+    if #envrcpt == 1 and envrcpt[1].addr:lower() == uname then
+      return false
+    end
+
    local env_from_domain = envfrom[1].domain:lower() -- get smtp from domain in lower case

    local function redis_cb_user(err, data)
@@ -544,13 +550,13 @@ rspamd_config:register_symbol({
    -- determine newline type
    local function newline(task)
      local t = task:get_newlines_type()
-    
+
      if t == 'cr' then
        return '\r'
      elseif t == 'lf' then
        return '\n'
      end
-    
+
      return '\r\n'
    end
    -- retrieve footer
@@ -558,7 +564,7 @@ rspamd_config:register_symbol({
      if err or type(data) ~= 'string' then
        rspamd_logger.infox(rspamd_config, "domain wide footer request for user %s returned invalid or empty data (\"%s\") or error (\"%s\")", uname, data, err)
      else
-        
+
        -- parse json string
        local footer = cjson.decode(data)
        if not footer then
@@ -607,26 +613,30 @@ rspamd_config:register_symbol({
            if footer.plain and footer.plain ~= "" then
              footer.plain = lua_util.jinja_template(footer.plain, replacements, true)
            end
-  
+
            -- add footer
            local out = {}
            local rewrite = lua_mime.add_text_footer(task, footer.html, footer.plain) or {}
-        
+
            local seen_cte
            local newline_s = newline(task)
-        
+
            local function rewrite_ct_cb(name, hdr)
              if rewrite.need_rewrite_ct then
                if name:lower() == 'content-type' then
-                  local nct = string.format('%s: %s/%s; charset=utf-8',
-                      'Content-Type', rewrite.new_ct.type, rewrite.new_ct.subtype)
+                  -- include boundary if present
+                  local boundary_part = rewrite.new_ct.boundary and
+                    string.format('; boundary="%s"', rewrite.new_ct.boundary) or ''
+                  local nct = string.format('%s: %s/%s; charset=utf-8%s',
+                      'Content-Type', rewrite.new_ct.type, rewrite.new_ct.subtype, boundary_part)
                  out[#out + 1] = nct
-                  -- update Content-Type header
+                  -- update Content-Type header (include boundary if present)
                  task:set_milter_reply({
                    remove_headers = {['Content-Type'] = 0},
                  })
                  task:set_milter_reply({
-                    add_headers = {['Content-Type'] = string.format('%s/%s; charset=utf-8', rewrite.new_ct.type, rewrite.new_ct.subtype)}
+                    add_headers = {['Content-Type'] = string.format('%s/%s; charset=utf-8%s',
+                      rewrite.new_ct.type, rewrite.new_ct.subtype, boundary_part)}
                  })
                  return
                elseif name:lower() == 'content-transfer-encoding' then
@@ -645,16 +655,16 @@ rspamd_config:register_symbol({
              end
              out[#out + 1] = hdr.raw:gsub('\r?\n?$', '')
            end
-        
+
            task:headers_foreach(rewrite_ct_cb, {full = true})
-        
+
            if not seen_cte and rewrite.need_rewrite_ct then
              out[#out + 1] = string.format('%s: %s', 'Content-Transfer-Encoding', 'quoted-printable')
            end
-        
+
            -- End of headers
            out[#out + 1] = newline_s
-        
+
            if rewrite.out then
              for _,o in ipairs(rewrite.out) do
                out[#out + 1] = o
--- a/data/conf/rspamd/meta_exporter/pipe.php
+++ b/data/conf/rspamd/meta_exporter/pipe.php
@@ -182,7 +182,7 @@ foreach (json_decode($rcpts, true) as $rcpt) {
              error_log("RCPT RESOVLER: http pipe: goto address " . $goto . " is an alias branch for " . $goto_branch . PHP_EOL);
              $goto_branch_array = explode(',', $goto_branch);
            } else {
-              $stmt = $pdo->prepare("SELECT `target_domain` FROM `alias_domain` WHERE `alias_domain` = :domain AND `active` AND '1'");
+              $stmt = $pdo->prepare("SELECT `target_domain` FROM `alias_domain` WHERE `alias_domain` = :domain AND `active` = '1'");
              $stmt->execute(array(':domain' => $parsed_goto['domain']));
              $goto_branch = $stmt->fetch(PDO::FETCH_ASSOC)['target_domain'];
              if ($goto_branch) {
--- a/data/conf/rspamd/meta_exporter/pushover.php
+++ b/data/conf/rspamd/meta_exporter/pushover.php
@@ -167,7 +167,7 @@ foreach (json_decode($rcpts, true) as $rcpt) {
              error_log("RCPT RESOVLER: http pipe: goto address " . $goto . " is an alias branch for " . $goto_branch . PHP_EOL);
              $goto_branch_array = explode(',', $goto_branch);
            } else {
-              $stmt = $pdo->prepare("SELECT `target_domain` FROM `alias_domain` WHERE `alias_domain` = :domain AND `active` AND '1'");
+              $stmt = $pdo->prepare("SELECT `target_domain` FROM `alias_domain` WHERE `alias_domain` = :domain AND `active` = '1'");
              $stmt->execute(array(':domain' => $parsed_goto['domain']));
              $goto_branch = $stmt->fetch(PDO::FETCH_ASSOC)['target_domain'];
              if ($goto_branch) {
--- a/data/conf/sogo/sogo.conf
+++ b/data/conf/sogo/sogo.conf
@@ -86,6 +86,12 @@
    SOGoMaximumFailedLoginInterval = 900;
    SOGoFailedLoginBlockInterval = 900;

+    // Enable SOGo URL Description for GDPR compliance, this may cause some issues with calendars and contacts. Also uncomment the encryption key below to use it.
+    //SOGoURLEncryptionEnabled = NO;
+
+    // Set a 16 character encryption key for SOGo URL Description, change this to your own value
+    //SOGoURLPathEncryptionKey = "SOGoSuperSecret0";
+
    GCSChannelCollectionTimer = 60;
    GCSChannelExpireAge = 60;

--- a/data/web/autodiscover.php
+++ b/data/web/autodiscover.php
@@ -7,6 +7,8 @@ if(file_exists('inc/vars.local.inc.php')) {
 require_once $_SERVER['DOCUMENT_ROOT'] . '/inc/functions.inc.php';
 require_once $_SERVER['DOCUMENT_ROOT'] . '/inc/functions.auth.inc.php';
 require_once $_SERVER['DOCUMENT_ROOT'] . '/inc/sessions.inc.php';
+require_once $_SERVER['DOCUMENT_ROOT'] . '/inc/functions.mailbox.inc.php';
+require_once $_SERVER['DOCUMENT_ROOT'] . '/inc/functions.ratelimit.inc.php';
 $default_autodiscover_config = $autodiscover_config;
 $autodiscover_config = array_merge($default_autodiscover_config, $autodiscover_config);

--- a/data/web/inc/footer.inc.php
+++ b/data/web/inc/footer.inc.php
@@ -26,23 +26,25 @@ if (is_array($alertbox_log_parser)) {

 // map tfa details for twig
 $pending_tfa_authmechs = [];
-foreach($_SESSION['pending_tfa_methods'] as $authdata){
-  $pending_tfa_authmechs[$authdata['authmech']] = false;
-}
-if (isset($pending_tfa_authmechs['webauthn'])) {
-  $pending_tfa_authmechs['webauthn'] = true;
-}
-if (!isset($pending_tfa_authmechs['webauthn']) 
-    && isset($pending_tfa_authmechs['yubi_otp'])) {
-  $pending_tfa_authmechs['yubi_otp'] = true;
-}
-if (!isset($pending_tfa_authmechs['webauthn']) 
-    && !isset($pending_tfa_authmechs['yubi_otp'])
-    && isset($pending_tfa_authmechs['totp'])) {
-  $pending_tfa_authmechs['totp'] = true;
-}
-if (isset($pending_tfa_authmechs['u2f'])) {
-  $pending_tfa_authmechs['u2f'] = true;
+if (array_key_exists('pending_tfa_methods', $_SESSION)) {
+  foreach($_SESSION['pending_tfa_methods'] as $authdata){
+    $pending_tfa_authmechs[$authdata['authmech']] = false;
+  }
+  if (isset($pending_tfa_authmechs['webauthn'])) {
+    $pending_tfa_authmechs['webauthn'] = true;
+  }
+  if (!isset($pending_tfa_authmechs['webauthn']) 
+      && isset($pending_tfa_authmechs['yubi_otp'])) {
+    $pending_tfa_authmechs['yubi_otp'] = true;
+  }
+  if (!isset($pending_tfa_authmechs['webauthn']) 
+      && !isset($pending_tfa_authmechs['yubi_otp'])
+      && isset($pending_tfa_authmechs['totp'])) {
+    $pending_tfa_authmechs['totp'] = true;
+  }
+  if (isset($pending_tfa_authmechs['u2f'])) {
+    $pending_tfa_authmechs['u2f'] = true;
+  }
 }

 // globals
--- a/data/web/inc/functions.app_passwd.inc.php
+++ b/data/web/inc/functions.app_passwd.inc.php
@@ -1,7 +1,7 @@
 <?php
 function app_passwd($_action, $_data = null) {
-	global $pdo;
-	global $lang;
+  global $pdo;
+  global $lang;
  $_data_log = $_data;
  !isset($_data_log['app_passwd']) ?: $_data_log['app_passwd'] = '*';
  !isset($_data_log['app_passwd2']) ?: $_data_log['app_passwd2'] = '*';
@@ -43,20 +43,7 @@ function app_passwd($_action, $_data = null) {
        );
        return false;
      }
-      if (!preg_match('/' . $GLOBALS['PASSWD_REGEP'] . '/', $password)) {
-        $_SESSION['return'][] = array(
-          'type' => 'danger',
-          'log' => array(__FUNCTION__, $_action, $_data_log),
-          'msg' => 'password_complexity'
-        );
-        return false;
-      }
-      if ($password != $password2) {
-        $_SESSION['return'][] = array(
-          'type' => 'danger',
-          'log' => array(__FUNCTION__, $_action, $_data_log),
-          'msg' => 'password_mismatch'
-        );
+      if (password_check($password, $password2) !== true) {
        return false;
      }
      $password_hashed = hash_password($password);
@@ -88,15 +75,15 @@ function app_passwd($_action, $_data = null) {
        'log' => array(__FUNCTION__, $_action, $_data_log),
        'msg' => 'app_passwd_added'
      );
-    break;
+      break;
    case 'edit':
      $ids = (array)$_data['id'];
      foreach ($ids as $id) {
        $is_now = app_passwd('details', $id);
        if (!empty($is_now)) {
          $app_name = (!empty($_data['app_name'])) ? $_data['app_name'] : $is_now['name'];
-          $password = (!empty($_data['password'])) ? $_data['password'] : null;
-          $password2 = (!empty($_data['password2'])) ? $_data['password2'] : null;
+          $password = (!empty($_data['app_passwd'])) ? $_data['app_passwd'] : null;
+          $password2 = (!empty($_data['app_passwd2'])) ? $_data['app_passwd2'] : null;
          if (isset($_data['protocols'])) {
            $protocols = (array)$_data['protocols'];
            $imap_access = (in_array('imap_access', $protocols)) ? 1 : 0;
@@ -126,20 +113,7 @@ function app_passwd($_action, $_data = null) {
        }
        $app_name = htmlspecialchars(trim($app_name));
        if (!empty($password) && !empty($password2)) {
-          if (!preg_match('/' . $GLOBALS['PASSWD_REGEP'] . '/', $password)) {
-            $_SESSION['return'][] = array(
-              'type' => 'danger',
-              'log' => array(__FUNCTION__, $_action, $_type, $_data_log, $_attr),
-              'msg' => 'password_complexity'
-            );
-            continue;
-          }
-          if ($password != $password2) {
-            $_SESSION['return'][] = array(
-              'type' => 'danger',
-              'log' => array(__FUNCTION__, $_action, $_type, $_data_log, $_attr),
-              'msg' => 'password_mismatch'
-            );
+          if (password_check($password, $password2) !== true) {
            continue;
          }
          $password_hashed = hash_password($password);
@@ -182,7 +156,7 @@ function app_passwd($_action, $_data = null) {
          'msg' => array('object_modified', htmlspecialchars(implode(', ', $ids)))
        );
      }
-    break;
+      break;
    case 'delete':
      $ids = (array)$_data['id'];
      foreach ($ids as $id) {
@@ -213,19 +187,17 @@ function app_passwd($_action, $_data = null) {
          'msg' => array('app_passwd_removed', htmlspecialchars($id))
        );
      }
-    break;
+      break;
    case 'get':
      $app_passwds = array();
      $stmt = $pdo->prepare("SELECT `id`, `name` FROM `app_passwd` WHERE `mailbox` = :username");
      $stmt->execute(array(':username' => $username));
      $app_passwds = $stmt->fetchAll(PDO::FETCH_ASSOC);
      return $app_passwds;
-    break;
+      break;
    case 'details':
      $app_passwd_data = array();
-      $stmt = $pdo->prepare("SELECT *
-          FROM `app_passwd`
-            WHERE `id` = :id");
+      $stmt = $pdo->prepare("SELECT * FROM `app_passwd` WHERE `id` = :id");
      $stmt->execute(array(':id' => $_data));
      $app_passwd_data = $stmt->fetch(PDO::FETCH_ASSOC);
      if (empty($app_passwd_data)) {
@@ -237,6 +209,6 @@ function app_passwd($_action, $_data = null) {
      }
      $app_passwd_data['name'] = htmlspecialchars(trim($app_passwd_data['name']));
      return $app_passwd_data;
-    break;
+      break;
  }
 }
--- a/data/web/inc/functions.auth.inc.php
+++ b/data/web/inc/functions.auth.inc.php
@@ -193,6 +193,7 @@ function user_login($user, $pass, $extra = null){
  global $iam_settings;

  $is_internal = $extra['is_internal'];
+  $service = $extra['service'];

  if (!filter_var($user, FILTER_VALIDATE_EMAIL) && !ctype_alnum(str_replace(array('_', '.', '-'), '', $user))) {
    if (!$is_internal){
@@ -235,6 +236,14 @@ function user_login($user, $pass, $extra = null){
      $row = $stmt->fetch(PDO::FETCH_ASSOC);

      if (!empty($row)) {
+        // check if user has access to service (imap, smtp, pop3, sieve) if service is set
+        $row['attributes'] = json_decode($row['attributes'], true);
+        if (isset($service)) {
+          $key = strtolower($service) . "_access";
+          if (isset($row['attributes'][$key]) && $row['attributes'][$key] != '1') {
+            return false;
+          }
+        }
        return true;
      }
    }
@@ -242,7 +251,14 @@ function user_login($user, $pass, $extra = null){
    return false;
  }

+  // check if user has access to service (imap, smtp, pop3, sieve) if service is set
  $row['attributes'] = json_decode($row['attributes'], true);
+  if (isset($service)) {
+    $key = strtolower($service) . "_access";
+    if (isset($row['attributes'][$key]) && $row['attributes'][$key] != '1') {
+      return false;
+    }
+  }
  switch ($row['authsource']) {
    case 'keycloak':
      // user authsource is keycloak, try using via rest flow
--- a/data/web/inc/functions.customize.inc.php
+++ b/data/web/inc/functions.customize.inc.php
@@ -293,7 +293,7 @@ function customize($_action, $_item, $_data = null) {
          }

          if (empty($app_links)){
-            return false;
+            return [];
          }

          // convert from old style
@@ -325,8 +325,10 @@ function customize($_action, $_item, $_data = null) {
        break;
        case 'ui_texts':
          try {
-            $data['title_name'] = ($title_name = $redis->get('TITLE_NAME')) ? $title_name : 'mailcow UI';
-            $data['main_name'] = ($main_name = $redis->get('MAIN_NAME')) ? $main_name : 'mailcow UI';
+            $mailcow_hostname = strtolower(getenv("MAILCOW_HOSTNAME"));
+
+            $data['title_name'] = ($title_name = $redis->get('TITLE_NAME')) ? $title_name : "$mailcow_hostname - mail UI";
+            $data['main_name'] = ($main_name = $redis->get('MAIN_NAME')) ? $main_name : "$mailcow_hostname - mail UI";
            $data['apps_name'] = ($apps_name = $redis->get('APPS_NAME')) ? $apps_name : $lang['header']['apps'];
            $data['help_text'] = ($help_text = $redis->get('HELP_TEXT')) ? $help_text : false;
            if (!empty($redis->get('UI_IMPRESS'))) {
--- a/data/web/inc/functions.inc.php
+++ b/data/web/inc/functions.inc.php
@@ -1006,7 +1006,7 @@ function edit_user_account($_data) {
    update_sogo_static_view();
  }
  // edit password recovery email
-  elseif (isset($pw_recovery_email)) {
+  elseif (!empty($password_old) && isset($pw_recovery_email)) {
    if (!isset($_SESSION['acl']['pw_reset']) || $_SESSION['acl']['pw_reset'] != "1" ) {
      $_SESSION['return'][] = array(
        'type' => 'danger',
@@ -1016,6 +1016,21 @@ function edit_user_account($_data) {
      return false;
    }

+    $stmt = $pdo->prepare("SELECT `password` FROM `mailbox`
+        WHERE `kind` NOT REGEXP 'location|thing|group'
+          AND `username` = :user AND authsource = 'mailcow'");
+    $stmt->execute(array(':user' => $username));
+    $row = $stmt->fetch(PDO::FETCH_ASSOC);
+
+    if (!verify_hash($row['password'], $password_old)) {
+      $_SESSION['return'][] =  array(
+        'type' => 'danger',
+        'log' => array(__FUNCTION__, $_data_log),
+        'msg' => 'access_denied'
+      );
+      return false;
+    }
+
    $pw_recovery_email = (!filter_var($pw_recovery_email, FILTER_VALIDATE_EMAIL)) ? '' : $pw_recovery_email;
    $stmt = $pdo->prepare("UPDATE `mailbox` SET `attributes` = JSON_SET(`attributes`, '$.recovery_email', :recovery_email)
      WHERE `username` = :username AND authsource = 'mailcow'");
@@ -1107,11 +1122,21 @@ function user_get_alias_details($username) {
  }
  return $data;
 }
-function is_valid_domain_name($domain_name) {
+function is_valid_domain_name($domain_name, $options = array()) {
  if (empty($domain_name)) {
    return false;
  }
+
+  // Convert domain name to ASCII for validation
  $domain_name = idn_to_ascii($domain_name, 0, INTL_IDNA_VARIANT_UTS46);
+
+  if (isset($options['allow_wildcard']) && $options['allow_wildcard'] == true) {
+    // Remove '*.' if wildcard subdomains are allowed
+    if (strpos($domain_name, '*.') === 0) {
+      $domain_name = substr($domain_name, 2);
+    }
+  }
+
  return (preg_match("/^([a-z\d](-*[a-z\d])*)(\.([a-z\d](-*[a-z\d])*))*$/i", $domain_name)
       && preg_match("/^.{1,253}$/", $domain_name)
       && preg_match("/^[^\.]{1,63}(\.[^\.]{1,63})*$/", $domain_name));
@@ -2211,7 +2236,7 @@ function cors($action, $data = null) {
      $cors_settings['allowed_origins'] = $allowed_origins[0];
      if (in_array('*', $allowed_origins)){
        $cors_settings['allowed_origins'] = '*';
-      } else if (in_array($_SERVER['HTTP_ORIGIN'], $allowed_origins)) {
+      } else if (array_key_exists('HTTP_ORIGIN', $_SERVER) && in_array($_SERVER['HTTP_ORIGIN'], $allowed_origins)) {
        $cors_settings['allowed_origins'] = $_SERVER['HTTP_ORIGIN'];
      }
      // always allow OPTIONS for preflight request
--- a/data/web/inc/functions.mailbox.inc.php
+++ b/data/web/inc/functions.mailbox.inc.php
@@ -49,6 +49,12 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
            // Default to 1 yr
            $_data["validity"] = 8760;
          }
+          if (isset($_data["permanent"]) && filter_var($_data["permanent"], FILTER_VALIDATE_BOOL)) {
+            $permanent = 1;
+          }
+          else {
+            $permanent = 0;
+          }
          $domain = $_data['domain'];
          $description = $_data['description'];
          $valid_domains[] = mailbox('get', 'mailbox_details', $username)['domain'];
@@ -65,13 +71,14 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
            return false;
          }
          $validity = strtotime("+" . $_data["validity"] . " hour");
-          $stmt = $pdo->prepare("INSERT INTO `spamalias` (`address`, `description`, `goto`, `validity`) VALUES
-            (:address, :description, :goto, :validity)");
+          $stmt = $pdo->prepare("INSERT INTO `spamalias` (`address`, `description`, `goto`, `validity`, `permanent`) VALUES
+            (:address, :description, :goto, :validity, :permanent)");
          $stmt->execute(array(
            ':address' => readable_random_string(rand(rand(3, 9), rand(3, 9))) . '.' . readable_random_string(rand(rand(3, 9), rand(3, 9))) . '@' . $domain,
            ':description' => $description,
            ':goto' => $username,
-            ':validity' => $validity
+            ':validity' => $validity,
+            ':permanent' => $permanent
          ));
          $_SESSION['return'][] = array(
            'type' => 'success',
@@ -684,15 +691,16 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
          return true;
        break;
        case 'alias':
-          $addresses  = array_map('trim', preg_split( "/( |,|;|\n)/", $_data['address']));
-          $gotos      = array_map('trim', preg_split( "/( |,|;|\n)/", $_data['goto']));
-          $active = intval($_data['active']);
-          $sogo_visible = intval($_data['sogo_visible']);
-          $goto_null = intval($_data['goto_null']);
-          $goto_spam = intval($_data['goto_spam']);
-          $goto_ham = intval($_data['goto_ham']);
+          $addresses       = array_map('trim', preg_split( "/( |,|;|\n)/", $_data['address']));
+          $gotos           = array_map('trim', preg_split( "/( |,|;|\n)/", $_data['goto']));
+          $internal        = intval($_data['internal']);
+          $active          = intval($_data['active']);
+          $sogo_visible    = intval($_data['sogo_visible']);
+          $goto_null       = intval($_data['goto_null']);
+          $goto_spam       = intval($_data['goto_spam']);
+          $goto_ham        = intval($_data['goto_ham']);
          $private_comment = $_data['private_comment'];
-          $public_comment = $_data['public_comment'];
+          $public_comment  = $_data['public_comment'];
          if (strlen($private_comment) > 160 | strlen($public_comment) > 160){
            $_SESSION['return'][] = array(
              'type' => 'danger',
@@ -842,8 +850,8 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
              );
              continue;
            }
-            $stmt = $pdo->prepare("INSERT INTO `alias` (`address`, `public_comment`, `private_comment`, `goto`, `domain`, `sogo_visible`, `active`)
-              VALUES (:address, :public_comment, :private_comment, :goto, :domain, :sogo_visible, :active)");
+            $stmt = $pdo->prepare("INSERT INTO `alias` (`address`, `public_comment`, `private_comment`, `goto`, `domain`, `sogo_visible`, `internal`, `active`)
+              VALUES (:address, :public_comment, :private_comment, :goto, :domain, :sogo_visible, :internal, :active)");
            if (!filter_var($address, FILTER_VALIDATE_EMAIL) === true) {
              $stmt->execute(array(
                ':address' => '@'.$domain,
@@ -853,6 +861,7 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
                ':goto' => $goto,
                ':domain' => $domain,
                ':sogo_visible' => $sogo_visible,
+                ':internal' => $internal,
                ':active' => $active
              ));
            }
@@ -864,6 +873,7 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
                ':goto' => $goto,
                ':domain' => $domain,
                ':sogo_visible' => $sogo_visible,
+                ':internal' => $internal,
                ':active' => $active
              ));
            }
@@ -1443,7 +1453,7 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
          }
          foreach ($mx as $index => $mx_domain) {
            $mx_domain = idn_to_ascii(strtolower(trim($mx_domain)), 0, INTL_IDNA_VARIANT_UTS46);
-            if (!is_valid_domain_name($mx_domain)) {
+            if (!is_valid_domain_name($mx_domain, array('allow_wildcard' => true))) {
              $_SESSION['return'][] = array(
                'type' => 'danger',
                'log' => array(__FUNCTION__, $_action, $_type, $_data, $_attr),
@@ -2100,15 +2110,23 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
              );
              continue;
            }
-            if (empty($_data['validity'])) {
+            if (empty($_data['validity']) && empty($_data['permanent'])) {
              continue;
            }
-            $validity = round((int)time() + ($_data['validity'] * 3600));
-            $stmt = $pdo->prepare("UPDATE `spamalias` SET `validity` = :validity WHERE
+            if (isset($_data['permanent']) && filter_var($_data['permanent'], FILTER_VALIDATE_BOOL)) {
+              $permanent = 1;
+              $validity = 0;
+            }
+            else if (isset($_data['validity'])) {
+              $permanent = 0;
+              $validity = round((int)time() + ($_data['validity'] * 3600));
+            }
+            $stmt = $pdo->prepare("UPDATE `spamalias` SET `validity` = :validity, `permanent` = :permanent WHERE
              `address` = :address");
            $stmt->execute(array(
              ':address' => $address,
-              ':validity' => $validity
+              ':validity' => $validity,
+              ':permanent' => $permanent
            ));
            $_SESSION['return'][] = array(
              'type' => 'success',
@@ -2481,6 +2499,7 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
          foreach ($ids as $id) {
            $is_now = mailbox('get', 'alias_details', $id);
            if (!empty($is_now)) {
+              $internal = (isset($_data['internal'])) ? intval($_data['internal']) : $is_now['internal'];
              $active = (isset($_data['active'])) ? intval($_data['active']) : $is_now['active'];
              $sogo_visible = (isset($_data['sogo_visible'])) ? intval($_data['sogo_visible']) : $is_now['sogo_visible'];
              $goto_null = (isset($_data['goto_null'])) ? intval($_data['goto_null']) : 0;
@@ -2666,6 +2685,7 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
                `domain` = :domain,
                `goto` = :goto,
                `sogo_visible`= :sogo_visible,
+                `internal`= :internal,
                `active`= :active
                  WHERE `id` = :id");
              $stmt->execute(array(
@@ -2675,6 +2695,7 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
                ':domain' => $domain,
                ':goto' => $goto,
                ':sogo_visible' => $sogo_visible,
+                ':internal' => $internal,
                ':active' => $active,
                ':id' => $is_now['id']
              ));
@@ -3891,7 +3912,7 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
            foreach ($mx as $index => $mx_domain) {
              $mx_domain = idn_to_ascii(strtolower(trim($mx_domain)), 0, INTL_IDNA_VARIANT_UTS46);
              $invalid_mx = false;
-              if (!is_valid_domain_name($mx_domain)) {
+              if (!is_valid_domain_name($mx_domain, array('allow_wildcard' => true))) {
                $invalid_mx = $mx_domain;
                break;
              }
@@ -4578,10 +4599,12 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
            `description`,
            `validity`,
            `created`,
-            `modified`
+            `modified`,
+            `permanent`
              FROM `spamalias`
                WHERE `goto` = :username
-                  AND `validity` >= :unixnow");
+                  AND (`validity` >= :unixnow
+                    OR `permanent` != 0)");
          $stmt->execute(array(':username' => $_data, ':unixnow' => time()));
          $tladata = $stmt->fetchAll(PDO::FETCH_ASSOC);
          return $tladata;
@@ -4700,6 +4723,7 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
            `address`,
            `public_comment`,
            `private_comment`,
+            `internal`,
            `active`,
            `sogo_visible`,
            `created`,
@@ -4730,6 +4754,7 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
          $aliasdata['goto'] = $row['goto'];
          $aliasdata['address'] = $row['address'];
          (!filter_var($aliasdata['address'], FILTER_VALIDATE_EMAIL)) ? $aliasdata['is_catch_all'] = 1 : $aliasdata['is_catch_all'] = 0;
+          $aliasdata['internal'] = $row['internal'];
          $aliasdata['active'] = $row['active'];
          $aliasdata['active_int'] = $row['active'];
          $aliasdata['sogo_visible'] = $row['sogo_visible'];
@@ -5154,7 +5179,7 @@ function mailbox($_action, $_type, $_data = null, $_extra = null) {
            $stmt = $pdo->prepare("SELECT COALESCE(SUM(`quota`), 0) as `in_use` FROM `mailbox` WHERE (`kind` = '' OR `kind` = NULL) AND `domain` = :domain AND `username` != :username");
            $stmt->execute(array(':domain' => $row['domain'], ':username' => $_data));
            $MailboxUsage = $stmt->fetch(PDO::FETCH_ASSOC);
-            $stmt = $pdo->prepare("SELECT IFNULL(COUNT(`address`), 0) AS `sa_count` FROM `spamalias` WHERE `goto` = :address AND `validity` >= :unixnow");
+            $stmt = $pdo->prepare("SELECT IFNULL(COUNT(`address`), 0) AS `sa_count` FROM `spamalias` WHERE `goto` = :address AND (`validity` >= :unixnow OR `permanent` != 0)");
            $stmt->execute(array(':address' => $_data, ':unixnow' => time()));
            $SpamaliasUsage = $stmt->fetch(PDO::FETCH_ASSOC);
            $mailboxdata['max_new_quota'] = ($DomainQuota['quota'] * 1048576) - $MailboxUsage['in_use'];
--- a/data/web/inc/header.inc.php
+++ b/data/web/inc/header.inc.php
@@ -62,7 +62,11 @@ if ($app_links_processed){
  }
 }

-
+// Workaround to get text with <br> straight to twig.
+// Using "nl2br" doesn't work with Twig as it would escape everything by default.
+if (isset($UI_TEXTS["ui_footer"])) {
+  $UI_TEXTS["ui_footer"] = nl2br($UI_TEXTS["ui_footer"]);
+}

 $globalVariables = [
  'mailcow_hostname' => getenv('MAILCOW_HOSTNAME'),
--- a/data/web/inc/init_db.inc.php
+++ b/data/web/inc/init_db.inc.php
@@ -4,7 +4,7 @@ function init_db_schema()
  try {
    global $pdo;

-    $db_version = "19082025_1436";
+    $db_version = "10312025_0525";

    $stmt = $pdo->query("SHOW TABLES LIKE 'versions'");
    $num_results = count($stmt->fetchAll(PDO::FETCH_ASSOC));
@@ -184,6 +184,7 @@ function init_db_schema()
          "private_comment" => "TEXT",
          "public_comment" => "TEXT",
          "sogo_visible" => "TINYINT(1) NOT NULL DEFAULT '1'",
+          "internal" => "TINYINT(1) NOT NULL DEFAULT '0'",
          "active" => "TINYINT(1) NOT NULL DEFAULT '1'"
        ),
        "keys" => array(
@@ -553,7 +554,8 @@ function init_db_schema()
          "description" => "TEXT NOT NULL",
          "created" => "DATETIME(0) NOT NULL DEFAULT NOW(0)",
          "modified" => "DATETIME ON UPDATE CURRENT_TIMESTAMP",
-          "validity" => "INT(11)"
+          "validity" => "INT(11)",
+          "permanent" => "TINYINT(1) NOT NULL DEFAULT '0'"
        ),
        "keys" => array(
          "primary" => array(
@@ -1336,6 +1338,14 @@ function init_db_schema()
      $pdo->query($create);
    }

+    // Clear old app_passwd log entries
+    $pdo->exec("DELETE FROM logs
+      WHERE role != 'unauthenticated'
+        AND JSON_EXTRACT(`call`, '$[0]') = 'app_passwd'
+        AND JSON_EXTRACT(`call`, '$[1]') = 'edit'
+        AND (JSON_CONTAINS_PATH(`call`, 'one', '$[2].password')
+          OR JSON_CONTAINS_PATH(`call`, 'one', '$[2].password2'));");
+
    // Mitigate imapsync argument injection issue
    $pdo->query("UPDATE `imapsync` SET `custom_params` = ''
      WHERE `custom_params` LIKE '%pipemess%'
--- a/data/web/inc/sessions.inc.php
+++ b/data/web/inc/sessions.inc.php
@@ -1,7 +1,9 @@
 <?php
 // Start session
 if (session_status() !== PHP_SESSION_ACTIVE) {
+  session_name($SESSION_NAME);
  ini_set("session.cookie_httponly", 1);
+  ini_set("session.cookie_samesite", $SESSION_SAMESITE_POLICY);
  ini_set('session.gc_maxlifetime', $SESSION_LIFETIME);
 }

--- a/data/web/inc/triggers.user.inc.php
+++ b/data/web/inc/triggers.user.inc.php
@@ -80,7 +80,7 @@ if (isset($_POST["verify_tfa_login"])) {
            intval($user_details['attributes']['force_pw_update']) != 1 &&
            getenv('SKIP_SOGO') != "y" &&
            !$is_dual) {
-          header("Location: /SOGo/so/{$_SESSION['mailcow_cc_username']}");
+          header("Location: /SOGo/so/");
          die();
        } else {
          header("Location: /user");
@@ -146,7 +146,7 @@ if (isset($_POST["login_user"]) && isset($_POST["pass_user"])) {
        intval($user_details['attributes']['force_pw_update']) != 1 &&
        getenv('SKIP_SOGO') != "y" &&
        !$is_dual) {
-      header("Location: /SOGo/so/{$login_user}");
+      header("Location: /SOGo/so/");
      die();
    } else {
      header("Location: /user");
--- a/data/web/inc/vars.inc.php
+++ b/data/web/inc/vars.inc.php
@@ -85,7 +85,7 @@ $AVAILABLE_LANGUAGES = array(
  // 'ca-es' => 'Català (Catalan)',
  'bg-bg' => 'Български (Bulgarian)',
  'cs-cz' => 'Čeština (Czech)',
-  'da-dk' => 'Danish (Dansk)',
+  'da-dk' => 'Dansk (Danish)',
  'de-de' => 'Deutsch (German)',
  'en-gb' => 'English',
  'es-es' => 'Español (Spanish)',
@@ -110,6 +110,7 @@ $AVAILABLE_LANGUAGES = array(
  'sv-se' => 'Svenska (Swedish)',
  'tr-tr' => 'Türkçe (Turkish)',
  'uk-ua' => 'Українська (Ukrainian)',
+  'vi-vn' => 'Tiếng Việt (Vietnamese)',
  'zh-cn' => '简体中文 (Simplified Chinese)',
  'zh-tw' => '繁體中文 (Traditional Chinese)',
 );
@@ -153,6 +154,13 @@ $LOG_PAGINATION_SIZE = 50;
 // Session lifetime in seconds
 $SESSION_LIFETIME = 10800;

+// Session SameSite Policy
+// Use "None", "Lax" or "Strict"
+$SESSION_SAMESITE_POLICY = "Lax";
+
+// Name of the session cookie
+$SESSION_NAME = "MCSESSID";
+
 // Label for OTP devices
 $OTP_LABEL = "mailcow UI";

--- a/data/web/index.php
+++ b/data/web/index.php
@@ -12,7 +12,7 @@ elseif (isset($_SESSION['mailcow_cc_role']) && $_SESSION['mailcow_cc_role'] == '
  $user_details = mailbox("get", "mailbox_details", $_SESSION['mailcow_cc_username']);
  $is_dual = (!empty($_SESSION["dual-login"]["username"])) ? true : false;
  if (intval($user_details['attributes']['sogo_access']) == 1 && !$is_dual && getenv('SKIP_SOGO') != "y") {
-    header("Location: /SOGo/so/{$_SESSION['mailcow_cc_username']}");
+    header("Location: /SOGo/so/");
  } else {
    header("Location: /user");
  }
--- a/data/web/js/build/013-mailcow.js
+++ b/data/web/js/build/013-mailcow.js
@@ -22,8 +22,8 @@ $(document).ready(function() {
    $.notify({message: msg},{z_index: 20000, delay: auto_hide, type: type,placement: {from: "bottom",align: "right"},animate: {enter: 'animated fadeInUp',exit: 'animated fadeOutDown'}});
  }

-  $(".generate_password").click(async function( event ) {   
-    try { 
+  $(".generate_password").click(async function( event ) {
+    try {
      var password_policy = await window.fetch("/api/v1/get/passwordpolicy", { method:'GET', cache:'no-cache' });
      var password_policy = await password_policy.json();
      random_passwd_length = password_policy.length;
@@ -48,7 +48,11 @@ $(document).ready(function() {
    })
  }
  $(".rot-enc").html(function(){
-    return str_rot13($(this).html())
+    footer_html = $(this).html();
+    footer_html = footer_html.replace(/&lt;/g, '<').replace(/&gt;/g, '>')
+                             .replace(/&amp;/g, '&').replace(/&nzc;/g, '&')
+                             .replace(/&quot;/g, '"').replace(/&#x27;/g, "'");
+    return str_rot13(footer_html)
  });
  // https://stackoverflow.com/questions/4399005/implementing-jquerys-shake-effect-with-animate
  function shake(div,interval,distance,times) {
@@ -125,7 +129,7 @@ $(document).ready(function() {
        }
      });
  })();
-  
+
  // responsive tabs, scroll to opened tab
  $(document).on("shown.bs.collapse shown.bs.tab", function (e) {
 	  var target = $(e.target);
@@ -409,4 +413,4 @@ function copyToClipboard(id) {
  // only works with https connections
  navigator.clipboard.writeText(copyText.value);
  mailcow_alert_box(lang.copy_to_clipboard, "success");
-}
+}
--- a/data/web/js/site/admin.js
+++ b/data/web/js/site/admin.js
@@ -715,7 +715,6 @@ jQuery(function($){
    $('.app_hide').off('change');
    $('.app_hide').on('change', function (e) {
      var value = $(this).is(':checked') ? '1' : '0';
-      console.log(value)
      $(this).parent().children(':first-child').val(value);
    })
  }
--- a/data/web/js/site/dashboard.js
+++ b/data/web/js/site/dashboard.js
@@ -47,8 +47,6 @@ $(document).ready(function() {
    window.fetch("/api/v1/get/status/host/ip", { method:'GET', cache:'no-cache' }).then(function(response) {
      return response.json();
    }).then(function(data) {
-      console.log(data);
-
      // display host ips
      if (data.ipv4)
        $("#host_ipv4").text(data.ipv4);
@@ -1007,7 +1005,7 @@ jQuery(function($){
              "data-order": cellData.sortBy,
              "data-sort": cellData.sortBy
            });
-          },    
+          },
          render: function (data) {
            return data.value;
          }
@@ -1032,7 +1030,7 @@ jQuery(function($){
              "data-order": cellData.sortBy,
              "data-sort": cellData.sortBy
            });
-          },    
+          },
          render: function (data) {
            return data.value;
          }
@@ -1348,8 +1346,6 @@ function update_stats(timeout=5){
  window.fetch("/api/v1/get/status/host", {method:'GET',cache:'no-cache'}).then(function(response) {
    return response.json();
  }).then(function(data) {
-    console.log(data);
-
    if (data){
      // display table data
      $("#host_date").text(data.system_time);
@@ -1399,8 +1395,6 @@ function update_container_stats(timeout=5){
        var diskIOCtx = Chart.getChart(container + "_DiskIOChart");
        var netIOCtx = Chart.getChart(container + "_NetIOChart");

-        console.log(container);
-        console.log(data);
        prev_stats = null;
        if (data.length >= 2){
          prev_stats = data[data.length -2];
--- a/data/web/js/site/edit.js
+++ b/data/web/js/site/edit.js
@@ -66,7 +66,6 @@ $(document).ready(function() {
  // load tags
  if ($('#tags').length){
    var tagsEl = $('#tags').parent().find('.tag-values')[0];
-    console.log($(tagsEl).val())
    var tags = JSON.parse($(tagsEl).val());
    $(tagsEl).val("");

--- a/data/web/js/site/mailbox.js
+++ b/data/web/js/site/mailbox.js
@@ -1949,11 +1949,6 @@ jQuery(function($){
          defaultContent: '',
          responsivePriority: 5,
        },
-        {
-          title: lang.bcc_destinations,
-          data: 'bcc_dest',
-          defaultContent: ''
-        },
        {
          title: lang.sogo_visible,
          data: 'sogo_visible',
@@ -1972,6 +1967,15 @@ jQuery(function($){
          data: 'private_comment',
          defaultContent: ''
        },
+        {
+          title: lang.internal,
+          data: 'internal',
+          defaultContent: '',
+          responsivePriority: 6,
+          render: function (data, type) {
+            return 1==data?'<i class="bi bi-check-lg"><span class="sorting-value">1</span></i>':0==data&&'<i class="bi bi-x-lg"><span class="sorting-value">0</span></i>';
+          }
+        },
        {
          title: lang.active,
          data: 'active',
--- a/data/web/js/site/user.js
+++ b/data/web/js/site/user.js
@@ -97,7 +97,7 @@ jQuery(function($){
              var datetime = new Date(item.datetime.replace(/-/g, "/"));
              var local_datetime = datetime.toLocaleDateString(undefined, {year: "numeric", month: "2-digit", day: "2-digit", hour: "2-digit", minute: "2-digit", second: "2-digit"});
              var service = '<div class="badge bg-secondary">' + item.service.toUpperCase() + '</div>';
-              var app_password = item.app_password ? ' <a href="/edit/app-passwd/' + item.app_password + '"><i class="bi bi-app-indicator"></i> ' + escapeHtml(item.app_password_name || "App") + '</a>' : '';
+              var app_password = item.app_password ? ' <a href="/edit/app-passwd/' + item.app_password + '"><i class="bi bi-key-fill"></i><span class="ms-1">' + escapeHtml(item.app_password_name || "App") + '</span></a>' : '';
              var real_rip = item.real_rip.startsWith("Web") ? item.real_rip : '<a href="https://bgp.tools/prefix/' + item.real_rip + '" target="_blank">' + item.real_rip + "</a>";
              var ip_location = item.location ? ' <span class="flag-icon flag-icon-' + item.location.toLowerCase() + '"></span>' : '';
              var ip_data = real_rip + ip_location + app_password;
@@ -105,10 +105,9 @@ jQuery(function($){
              $(".last-sasl-login").append(`
                <li class="list-group-item d-flex justify-content-between align-items-start">
                  <div class="ms-2 me-auto d-flex flex-column">
-                    <div class="fw-bold">` + real_rip + `</div>
-                    <small class="fst-italic mt-2">` + service + ` ` + local_datetime + `</small>
+                    <div class="fw-bold">` + ip_location + real_rip + `</div>
+                    <small class="fst-italic mt-2">` + service + ` ` + local_datetime + `</small>` + app_password + `
                  </div>
-                  <span>` + ip_location + `</span>
                </li>
              `);
            })
@@ -169,7 +168,6 @@ jQuery(function($){
        type: "GET",
        url: "/api/v1/get/time_limited_aliases",
        dataSrc: function(data){
-          console.log(data);
          $.each(data, function (i, item) {
            if (acl_data.spam_alias === 1) {
              item.action = '<div class="btn-group">' +
@@ -177,6 +175,10 @@ jQuery(function($){
                '</div>';
              item.chkbox = '<input type="checkbox" class="form-check-input" data-id="tla" name="multi_select" value="' + encodeURIComponent(item.address) + '" />';
              item.address = escapeHtml(item.address);
+              item.validity = {
+                value: item.validity,
+                permanent: item.permanent
+              };
            }
            else {
              item.chkbox = '<input type="checkbox" class="form-check-input" disabled />';
@@ -220,9 +222,21 @@ jQuery(function($){
          title: lang.alias_valid_until,
          data: 'validity',
          defaultContent: '',
-          createdCell: function(td, cellData) {
-            createSortableDate(td, cellData)
-          }
+          render: function (data, type) {
+            var date = new Date(data.value ? data.value * 1000 : 0);
+            switch (type) {
+              case "sort":
+                if (data.permanent) {
+                  return 0;
+                }
+                return date.getTime();
+              default:
+                if (data.permanent) {
+                  return lang.forever;
+                }
+                return date.toLocaleDateString(LOCALE, DATETIME_FORMAT);
+            }
+          },
        },
        {
          title: lang.created_on,
@@ -262,7 +276,6 @@ jQuery(function($){
        type: "GET",
        url: '/api/v1/get/syncjobs/' + encodeURIComponent(mailcow_cc_username) + '/no_log',
        dataSrc: function(data){
-          console.log(data);
          $.each(data, function (i, item) {
            item.user1 = escapeHtml(item.user1);
            item.log = '<a href="#syncjobLogModal" data-bs-toggle="modal" data-syncjob-id="' + item.id + '">' + lang.open_logs + '</a>'
@@ -418,7 +431,6 @@ jQuery(function($){
        type: "GET",
        url: '/api/v1/get/app-passwd/all',
        dataSrc: function(data){
-          console.log(data);
          $.each(data, function (i, item) {
            item.name = escapeHtml(item.name)
            item.protocols = []
@@ -514,7 +526,6 @@ jQuery(function($){
        type: "GET",
        url: '/api/v1/get/policy_wl_mailbox',
        dataSrc: function(data){
-          console.log(data);
          $.each(data, function (i, item) {
            if (validateEmail(item.object)) {
              item.chkbox = '<input type="checkbox" class="form-check-input" data-id="policy_wl_mailbox" name="multi_select" value="' + item.prefid + '" />';
@@ -585,7 +596,6 @@ jQuery(function($){
        type: "GET",
        url: '/api/v1/get/policy_bl_mailbox',
        dataSrc: function(data){
-          console.log(data);
          $.each(data, function (i, item) {
            if (validateEmail(item.object)) {
              item.chkbox = '<input type="checkbox" class="form-check-input" data-id="policy_bl_mailbox" name="multi_select" value="' + item.prefid + '" />';
--- a/data/web/json_api.php
+++ b/data/web/json_api.php
@@ -1992,6 +1992,7 @@ if (isset($_GET['query'])) {
        break;
        case "cors":
          process_edit_return(cors('edit', $attr));
+        break;
        case "identity-provider":
          process_edit_return(identity_provider('edit', $attr));
        break;
--- a/data/web/lang/lang.ca-es.json
+++ b/data/web/lang/lang.ca-es.json
@@ -19,7 +19,16 @@
        "spam_alias": "Àlies temporals",
        "spam_score": "Puntuació de correu brossa",
        "tls_policy": "Política TLS",
-        "unlimited_quota": "Quota ilimitada per bústies de correo"
+        "unlimited_quota": "Quota ilimitada per bústies de correo",
+        "delimiter_action": "Acció delimitadora",
+        "domain_relayhost": "Canviar relayhost per un domini",
+        "extend_sender_acl": "Permetre extendre l'ACL del remitent per adreces externes",
+        "mailbox_relayhost": "Canvia el host de reenviament per una bústia",
+        "pushover": "Pushover",
+        "pw_reset": "Permetre el restabliment de la contrasenya de l'usuari mailcow",
+        "ratelimit": "Límit de peticions",
+        "smtp_ip_access": "Canvia hosts permesos per SMTP",
+        "sogo_access": "Permetre la gestió d'accés a SOGo"
    },
    "add": {
        "activate_filter_warn": "All other filters will be deactivated, when active is checked.",
@@ -73,7 +82,25 @@
        "validate": "Validar",
        "validation_success": "Validated successfully",
        "app_name": "Nom de l'aplicació",
-        "app_password": "Afegir contrasenya a l'aplicació"
+        "app_password": "Afegir contrasenya a l'aplicació",
+        "app_passwd_protocols": "Protocols autoritzats per la contrasenya de l'aplicació",
+        "bcc_dest_format": "La destinació c/o ha de ser una única adreça de correu vàlida.<br>Si necessiteu enviar una còpia a diverses adreces, creeu un àlies i utilitzeu-lo aquí.",
+        "comment_info": "Els comentaris privats no són visibles per l'usuari, mentre que els comentaris públics apareixen com una descripció emergent a la informació de l'usuari",
+        "custom_params": "Paràmetres personalitzats",
+        "custom_params_hint": "Correcte: --param=xy, incorrecte: --param xy",
+        "destination": "Destí",
+        "disable_login": "No permetre l'inici de sessió (els missatges entrants continuen sent acceptats)",
+        "domain_matches_hostname": "El domini %s coincideix amb el nom del servidor",
+        "dry": "Simular la sincronització",
+        "gal": "Llista d'adreces global",
+        "generate": "genereu",
+        "inactive": "Inactiu",
+        "internal": "Intern",
+        "internal_info": "Els àlies interns són només accessibles des del mateix domini o els àlies de dominis.",
+        "mailbox_quota_def": "Quota per defecte de la bústia",
+        "nexthop": "Següent salt",
+        "private_comment": "Comentari privat",
+        "public_comment": "Comentari púlbic"
    },
    "admin": {
        "access": "Accés",
--- a/data/web/lang/lang.cs-cz.json
+++ b/data/web/lang/lang.cs-cz.json
@@ -24,7 +24,7 @@
        "sogo_access": "Správa přístupu do SOGo",
        "sogo_profile_reset": "Resetování profilu SOGo",
        "spam_alias": "Dočasné aliasy",
-        "spam_policy": "Blacklist/Whitelist",
+        "spam_policy": "Denylist/Allowlist",
        "spam_score": "Skóre spamu",
        "syncjobs": "Synchronizační úlohy",
        "tls_policy": "Pravidla TLS",
@@ -109,7 +109,9 @@
        "validate": "Ověřit",
        "validation_success": "Úspěšně ověřeno",
        "tags": "Štítky",
-        "dry": "Simulovat synchronizaci"
+        "dry": "Simulovat synchronizaci",
+        "internal": "Interní",
+        "internal_info": "Interní aliasy jsou přístupné jen z vlastních domén nebo jejich aliasů."
    },
    "admin": {
        "access": "Přístupy",
@@ -147,7 +149,7 @@
        "arrival_time": "Čas zařazení do fronty (čas na serveru)",
        "authed_user": "Přihlášený uživatel",
        "ays": "Opravdu chcete pokračovat?",
-        "ban_list_info": "Seznam blokovaných IP adres je zobrazen níže: <b>síť (zbývající čas blokování) - [akce]</b>.<br />IP adresy zařazené pro odblokování budou z aktivního seznamu odebrány během několika sekund.<br />Červeně označené položky jsou pernamentní bloky z blacklistu.",
+        "ban_list_info": "Viz seznam zablokovaných IP níže: <b>síť (zbývající doba zablokování) - [akce]</b>.<br />IP adresy zařazené pro odblokování budou z aktivního seznamu odebrány během pár sekund.<br />Červeně označeny jsou položky z trvalých seznamů.",
        "change_logo": "Změnit logo",
        "logo_normal_label": "Normální",
        "logo_dark_label": "Inverzní pro tmavý režim",
@@ -181,16 +183,16 @@
        "empty": "Žádné výsledky",
        "excludes": "Vyloučit tyto příjemce",
        "f2b_ban_time": "Doba blokování (s)",
-        "f2b_blacklist": "Sítě/hostitelé na blacklistu",
+        "f2b_blacklist": "Sítě či hostitelé na seznamu zákazů",
        "f2b_filter": "Regex filtre",
-        "f2b_list_info": "Síť nebo hostitelé na blacklistu mají vždy větší váhu než položky na whitelistu. <b>Každá úprava seznamů trvá pár sekund.</b>",
+        "f2b_list_info": "Sítě či hostitelé na seznamu zákazů mají vždy větší váhu než položky na seznamu povolení. <b>Každá úprava seznamu trvá pár sekund.</b>",
        "f2b_max_attempts": "Max. pokusů",
        "f2b_netban_ipv4": "Rozsah IPv4 podsítě k zablokování (8-32)",
        "f2b_netban_ipv6": "Rozsah IPv6 podsítě k zablokování (8-128)",
        "f2b_parameters": "Parametry automatického firewallu",
        "f2b_regex_info": "Záznamy které se berou v úvahu: SOGo, Postfix, Dovecot, PHP-FPM.",
        "f2b_retry_window": "Časový horizont pro maximum pokusů (s)",
-        "f2b_whitelist": "Sítě/hostitelé na whitelistu",
+        "f2b_whitelist": "Sítě či hostitelé na seznamu povolení",
        "filter_table": "Tabulka filtrů",
        "forwarding_hosts": "Předávající servery",
        "forwarding_hosts_add_hint": "Lze zadat IPv4/IPv6 adresy, sítě ve formátu CIDR, názvy serverů (budou převedeny na IP adresy) nebo názvy domén (budou převedeny na IP pomocí SPF záznamů, příp. MX záznamů).",
@@ -302,8 +304,8 @@
        "rspamd_com_settings": "Název nastavení se vygeneruje automaticky, viz ukázky nastavení níže. Více informací viz <a href=\"https://rspamd.com/doc/configuration/settings.html#settings-structure\" target=\"_blank\">Rspamd dokumentace</a>",
        "rspamd_global_filters": "Mapa globálních filtrů",
        "rspamd_global_filters_agree": "Budu opatrný!",
-        "rspamd_global_filters_info": "Mapa globálních filtrů obsahuje jiné globální black- a whitelisty.",
-        "rspamd_global_filters_regex": "Názvy jsou dostatečným vysvětlením. Musí obsahovat jen platné regulární výrazy ve formátu \"/vyraz/parametry\" (e.g. <code>/.+@domena\\.tld/i</code>).<br>\r\n  Každý výraz bude podroben základní kontrole, přesto je možné Rspamd 'rozbít', nebude-li syntax zcela korektní.<br>\r\n  Rspamd se pokusí načíst mapu po každé změně. V případě potíží, <a href=\"\" data-toggle=\"modal\" data-container=\"rspamd-mailcow\" data-target=\"#RestartContainer\">restartujte Rspamd</a>, aby se konfigurace načetla explicitně.",
+        "rspamd_global_filters_info": "Mapa globálních filtrů obsahuje různé seznamy povolených a zakázaných serverů",
+        "rspamd_global_filters_regex": "Názvy stačí k vysvětlení. Položky musejí obsahovat jen platné regulární výrazy ve tvaru \"/vyraz/parametry\" (e.g. <code>/.+@domena\\.tld/i</code>).<br>\n  Každý výraz bude podroben základní kontrole, přesto je možné Rspamd 'rozbít', nebude-li syntax zcela korektní.<br>\n  Rspamd se pokusí po každé změně načíst mapu znovu. V případě potíží <a href=\"\" data-toggle=\"modal\" data-container=\"rspamd-mailcow\" data-target=\"#RestartContainer\">restartujte Rspamd</a>, aby se konfigurace načetla explicitně.",
        "rspamd_settings_map": "Nastavení Rspamd",
        "sal_level": "Úroveň 'Moo'",
        "save": "Uložit změny",
@@ -407,7 +409,9 @@
        "iam_extra_permission": "Aby vše fungovalo, musí mít mailcow klient v Keycloaku nastavený <code>servisní účet</code> a povolení <code>view-users</code>.",
        "iam_host": "Hostitel",
        "iam_host_info": "Zadejte jeden či více hostitelů, oddělte čárkou.",
-        "iam_import_users": "Importovat uživatele"
+        "iam_import_users": "Importovat uživatele",
+        "iam_auth_flow": "Proces autentizace",
+        "needs_restart": "potřebuje restart"
    },
    "danger": {
        "access_denied": "Přístup odepřen nebo jsou neplatná data ve formuláři",
@@ -548,7 +552,11 @@
        "img_size_exceeded": "Obrázek má větší než povolenou velikost souboru",
        "invalid_reset_token": "Neplatný resetovací token",
        "required_data_missing": "Chybí potřebný údaj %s",
-        "reset_token_limit_exceeded": "Byl překročen limit na reset tokeny. Zkuste to později."
+        "reset_token_limit_exceeded": "Byl překročen limit na reset tokeny. Zkuste to později.",
+        "max_age_invalid": "Maximální životnost %s není platná",
+        "mode_invalid": "Mód %s není platný",
+        "mx_invalid": "Záznam MX %s není platný",
+        "version_invalid": "Verze %s není platná"
    },
    "datatables": {
        "emptyTable": "Tabulka neobsahuje žádná data",
@@ -725,7 +733,7 @@
        "sogo_visible_info": "Tato volba určuje objekty, jež lze zobrazit v SOGo (sdílené nebo nesdílené aliasy, jež ukazuje alespoň na jednu schránku).",
        "spam_alias": "Vytvořit nebo změnit dočasné aliasy",
        "spam_filter": "Spam filtr",
-        "spam_policy": "Přidat nebo odebrat položky whitelistu/blacklistu",
+        "spam_policy": "Přidat nebo odebrat položky seznamu",
        "spam_score": "Nastavte vlastní skóre spamu",
        "subfolder2": "Synchronizace do podsložky v cílovém umístění<br><small>(prázdné = nepoužívat podsložku)</small>",
        "syncjob": "Upravit synchronizační úlohu",
@@ -759,7 +767,20 @@
        "mailbox_rename_warning": "DŮLEŽITÉ! Vytvořte si zálohu schránky, než ji přejmenujete.",
        "mailbox_rename_alias": "Automaticky vytvořit alias",
        "mailbox_rename_title": "Nový název zdejší schránky",
-        "pushover": "Pushover"
+        "pushover": "Pushover",
+        "internal": "Interní",
+        "internal_info": "Interní aliasy jsou přístupné jen z vlastních domén nebo jejich aliasů.",
+        "mta_sts": "MTA-STS",
+        "mta_sts_info": "<a href='https://en.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol#SMTP_MTA_Strict_Transport_Security' target='_blank'>MTA-STS</a> je standard, jenž říká poštovním serverům, aby komunikovaly pomocí TLS s platnými certifikáty. <br>Používá se, pokud není k dispozici <a target='_blank' href='https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities'>DANE</a>, např. chybí-li či není podporováno DNSSEC.<br><b>Pozn.</b>: Podporuje-li přijímající doména DANE a DNSSEC, bude <b>vždy</b> použito DANE; MTA-STS zůstane jako plán B.",
+        "mta_sts_version": "Verze",
+        "mta_sts_version_info": "Určuje verzi standardu MTA-STS – zatím je podporována jen <code>STSv1</code>.",
+        "mta_sts_mode": "Mód",
+        "mta_sts_mode_info": "K dispozici jsou tři módy:<ul><li><em>testing</em> – pravidlo se jen sleduje, porušení je bez následků.</li><li><em>enforce</em> – pravidlo je důsledně dodržováno, spojení bez platného TLS jsou odmítána.</li><li><em>none</em> – pravidlo je zveřejněno, ale neuplatňuje se.</li></ul>",
+        "mta_sts_max_age": "Maximální životnost",
+        "mta_sts_max_age_info": "Doba v sekundách, po niž poštovní servery mohou toho pravidlo držet v mezipaměti bez nutnosti obnovení.",
+        "mta_sts_mx": "Server MX",
+        "mta_sts_mx_info": "Dovoluje odesílání jen výslovně vypsaným poštovním serverům; odesílající server kontroluje, že server MX určený v DNS odpovídá pravidlu, a povolí doručení jen s platným certifikátem TLS (chrání přes útokem typu MITM).",
+        "mta_sts_mx_notice": "Lze zadat více serverů MX (oddělte čárkou)."
    },
    "fido2": {
        "confirm": "Potvrdit",
@@ -829,7 +850,8 @@
        "login_admintext": "Přihlášení správce",
        "login_user": "Přihlášení uživatele",
        "login_dadmin": "Přihlášení správce domény",
-        "login_admin": "Přihlášení správce"
+        "login_admin": "Přihlášení správce",
+        "email": "Mailová adresa"
    },
    "mailbox": {
        "action": "Akce",
@@ -861,7 +883,7 @@
        "bcc": "BCC",
        "bcc_destination": "Cíl kopie",
        "bcc_destinations": "Cíl kopií",
-        "bcc_info": "Skrytá kopie (mapa BCC) se používá pro tiché předávání kopií všech zpráv na jinou adresu. Mapa příjemců se použije, funguje-li je místní cíl jako adresát zprávy. Totéž platí pro mapy odesílatelů.\nMístní cíl se nedozví, selže-li doručení na cíl BCC.",
+        "bcc_info": "Skrytá kopie (mapa BCC) se používá pro tiché předávání kopií všech zpráv na jinou adresu. Mapa příjemců se použije, funguje-li je místní cíl jako adresát zprávy. Totéž platí pro mapy odesílatelů.<br/>\n  Místní cíl se nedozví, selže-li doručení na cíl BCC.",
        "bcc_local_dest": "Týká se",
        "bcc_map": "Skrytá kopie",
        "bcc_map_type": "Typ skryté kopie",
@@ -1005,7 +1027,8 @@
        "weekly": "Každý týden",
        "yes": "&#10003;",
        "relay_unknown": "Předávání neexistujících schránek",
-        "iam": "Poskytovatel identity"
+        "iam": "Poskytovatel identity",
+        "internal": "Interní"
    },
    "oauth2": {
        "access_denied": "K udělení přístupu se přihlašte jako vlastník mailové schránky.",
@@ -1037,7 +1060,7 @@
        "notified": "Oznámeno",
        "qhandler_success": "Požadavek úspěšně přijat. Můžete nyní zavřít okno.",
        "qid": "Rspamd QID",
-        "qinfo": "Karanténní systém uloží odmítnutou poštu do databáze (odesílatel se <em>nedozví</em>, že pošta byla doručena) jakož i pošta, která bude jako kopie doručena do složky Nevyžádaná pošta. \r\n<br>\"Naučit jako spam a smazat\" naučí zprávu jako spam přes Bayesian theorem a současně vypočítá fuzzy hashes pro odmítnutí podobných zpráv v budoucnosti. \r\n<br> Prosím, berte na vědomí, že naučení více zpráv může být - záleží na vašem systému - časově náročné . <br> Položky na černé listině jsou z karantény vyloučeny.",
+        "qinfo": "Karanténa uloží do databáze odmítnutou poštu  (odesílatel se <em>nedozví</em>, že pošta byla doručena) jakož i poštu, jež se jako kopie doručuje do složky Nevyžádaná pošta.\n  <br>\"Naučit jako spam a smazat\" předá zprávu systému k naučení bayesiánskou analýzou jako spam a současně stanoví fuzzy hashe pro odmítání podobných zpráv v budoucnosti.\n  <br> Vezměte na vědomí, že učení více zpráv může být podle výkonnosti systému zabrat více času. <br> Položky na seznamu zákazů jsou z karantény vyloučeny.",
        "qitem": "Položka v karanténě",
        "quarantine": "Karanténa",
        "quick_actions": "Akce",
@@ -1082,7 +1105,8 @@
        "hold_mail_legend": "Podrží vybrané e-maily. (Zabrání dalším pokusům o doručení)",
        "show_message": "Zobrazit zprávu",
        "unhold_mail": "Uvolnit",
-        "unhold_mail_legend": "Uvolnit vybrané e-maily k doručení. (Pouze v případě předchozího podržení)"
+        "unhold_mail_legend": "Uvolnit vybrané e-maily k doručení. (Pouze v případě předchozího podržení)",
+        "unban": "odblokovat"
    },
    "ratelimit": {
        "disabled": "Vypnuto",
@@ -1323,12 +1347,12 @@
        "sogo_profile_reset": "Resetovat profil SOGo",
        "sogo_profile_reset_help": "Tato volba odstraní uživatelský profil SOGo a <b>nenávratně vymaže všechna data</b>.",
        "sogo_profile_reset_now": "Resetovat profil",
-        "spam_aliases": "Dočasné e-mailové aliasy",
+        "spam_aliases": "Spam aliasy",
        "spam_score_reset": "Obnovit výchozí nastavení serveru",
        "spamfilter": "Filtr spamu",
        "spamfilter_behavior": "Hodnocení",
-        "spamfilter_bl": "Seznam zakázaných adres (blacklist)",
-        "spamfilter_bl_desc": "Zakázané emailové adresy budou <b>vždy</b> klasifikovány jako spam a odmítnuty. Odmítnutá pošta <b>nebude</b> uložena do karantény. Lze použít zástupné znaky (*). Filtr se použije pouze na přímé aliasy (s jednou cílovou poštovní schránkou), s výjimkou doménových košů a samotné poštovní schránky.",
+        "spamfilter_bl": "Seznam zákazů",
+        "spamfilter_bl_desc": "Zakázané emailové adresy budou <b>vždy</b> klasifikovány jako spam a odmítnuty. Odmítnutá pošta <b>se neukládá</b> do karantény. Lze použít zástupné znaky (*). Filtr se použije pouze na přímé aliasy (s jednou cílovou poštovní schránkou), s výjimkou doménových košů a samotné poštovní schránky.",
        "spamfilter_default_score": "Výchozí hodnoty",
        "spamfilter_green": "Zelená: tato zpráva není spam",
        "spamfilter_hint": "První hodnota představuje \"nízké spam skóre\" a druhá \"vysoké spam skóre\".",
@@ -1339,7 +1363,7 @@
        "spamfilter_table_empty": "Žádná data k zobrazení",
        "spamfilter_table_remove": "smazat",
        "spamfilter_table_rule": "Pravidlo",
-        "spamfilter_wl": "Seznam povolených adres (whitelist)",
+        "spamfilter_wl": "Seznam povolení",
        "spamfilter_wl_desc": "Povolené emailové adresy <b>nebudou nikdy klasifikovány jako spam</b>. Lze použít zástupné znaky (*). Filtr se použije pouze na přímé aliasy (s jednou cílovou mailovou schránkou), s výjimkou doménových košů a samotné mailové schránky.",
        "spamfilter_yellow": "Žlutá: tato zpráva může být spam, bude označena jako spam a přesunuta do složky nevyžádané pošty",
        "status": "Stav",
@@ -1383,7 +1407,10 @@
        "authentication": "Autentifikace",
        "overview": "Přehled",
        "protocols": "Protokoly",
-        "value": "Hodnota"
+        "value": "Hodnota",
+        "expire_never": "Nikdy nevyprší",
+        "forever": "Navždy",
+        "spam_aliases_info": "Spam alias je dočasná adresa, již lze použít k ochraně skutečných adres. <br>Případně lze nastavit také dobu platnosti, po níž je alias automaticky deaktivován, čímž se řeší případy zneužitých či odcizených adres."
    },
    "warning": {
        "cannot_delete_self": "Nelze smazat právě přihlášeného uživatele",
--- a/data/web/lang/lang.de-de.json
+++ b/data/web/lang/lang.de-de.json
@@ -71,6 +71,8 @@
        "goto_spam": "Nachrichten als <span class=\"text-danger\"><b>Spam</b></span> lernen",
        "hostname": "Host",
        "inactive": "Inaktiv",
+        "internal": "Intern",
+        "internal_info": "Interne Aliasse sind nur von der eigenen Domäne oder Alias-Domänen erreichbar.",
        "kind": "Art",
        "mailbox_quota_def": "Standard-Quota einer Mailbox",
        "mailbox_quota_m": "Max. Speicherplatz pro Mailbox (MiB)",
@@ -408,7 +410,8 @@
        "allowed_origins": "Access-Control-Allow-Origin",
        "logo_dark_label": "Invertiert für den Darkmode",
        "logo_normal_label": "Normal",
-        "user_link": "Nutzer-Link"
+        "user_link": "Nutzer-Link",
+        "filter": "Filter"
    },
    "danger": {
        "access_denied": "Zugriff verweigert oder unvollständige/ungültige Daten",
@@ -689,6 +692,8 @@
        "grant_types": "Grant-types",
        "hostname": "Servername",
        "inactive": "Inaktiv",
+        "internal": "Intern",
+        "internal_info": "Interne Aliasse sind nur von der eigenen Domäne oder Alias-Domänen erreichbar.",
        "kind": "Art",
        "last_modified": "Zuletzt geändert",
        "lookup_mx": "Ziel mit MX vergleichen (Regex, etwa <code>.*\\.google\\.com</code>, um alle Ziele mit MX *google.com zu routen)",
@@ -846,7 +851,8 @@
        "password": "Passwort",
        "reset_password": "Passwort zurücksetzen",
        "request_reset_password": "Passwortänderung anfordern",
-        "username": "Benutzername"
+        "username": "Benutzername",
+        "email": "E-Mail-Adresse"
    },
    "mailbox": {
        "action": "Aktion",
@@ -921,6 +927,7 @@
        "in_use": "Prozentualer Gebrauch",
        "inactive": "Inaktiv",
        "insert_preset": "Beispiel \"%s\" laden",
+        "internal": "Intern",
        "kind": "Art",
        "last_mail_login": "Letzter Mail-Login",
        "last_modified": "Zuletzt geändert",
@@ -980,7 +987,7 @@
        "sogo_visible": "Alias Sichtbarkeit in SOGo",
        "sogo_visible_n": "Alias in SOGo verbergen",
        "sogo_visible_y": "Alias in SOGo anzeigen",
-        "spam_aliases": "Temp. Alias",
+        "spam_aliases": "Spam-Alias",
        "stats": "Statistik",
        "status": "Status",
        "sync_jobs": "Synchronisationen",
@@ -1093,7 +1100,7 @@
        "legend": "Funktionen der Mailqueue Aktionen:",
        "ays": "Soll die derzeitige Queue wirklich komplett bereinigt werden?",
        "deliver_mail": "Ausliefern",
-        "deliver_mail_legend": "Versucht eine erneute Zustellung der ausgwählten Mails.",
+        "deliver_mail_legend": "Versucht eine erneute Zustellung der ausgewählten Mails.",
        "hold_mail": "Zurückhalten",
        "hold_mail_legend": "Hält die ausgewählten Mails zurück. (Verhindert weitere Zustellversuche)",
        "queue_manager": "Queue Manager",
@@ -1274,7 +1281,9 @@
        "encryption": "Verschlüsselung",
        "excludes": "Ausschlüsse",
        "expire_in": "Ungültig in",
+        "expire_never": "Niemals ungültig",
        "fido2_webauthn": "FIDO2/WebAuthn",
+        "forever": "Für immer",
        "force_pw_update": "Das Passwort für diesen Benutzer <b>muss</b> geändert werden, damit die Zugriffssperre auf die Groupware-Komponenten wieder freigeschaltet wird.",
        "from": "von",
        "generate": "generieren",
@@ -1339,7 +1348,8 @@
        "sogo_profile_reset": "SOGo-Profil zurücksetzen",
        "sogo_profile_reset_help": "Das Profil wird inklusive <b>aller</b> Kalender- und Kontaktdaten <b>unwiederbringlich gelöscht</b>.",
        "sogo_profile_reset_now": "Profil jetzt zurücksetzen",
-        "spam_aliases": "Temporäre E-Mail-Aliasse",
+        "spam_aliases": "Spam E-Mail-Aliasse",
+        "spam_aliases_info": "Ein Spam-Alias ist eine temporäre E-Mailadresse, die benutzt werden kann, um eine echte E-Mail Adressen zu schützen. <br>Optional kann eine Ablaufzeit gesetzt werden, sodass der Alias nach dem definierten Zeitraum automatisch deaktiviert wird, was missbrauchte oder geleakte Adressen effektiv entsorgt.",
        "spam_score_reset": "Auf Server-Standard zurücksetzen",
        "spamfilter": "Spamfilter",
        "spamfilter_behavior": "Bewertung",
--- a/data/web/lang/lang.en-gb.json
+++ b/data/web/lang/lang.en-gb.json
@@ -71,6 +71,8 @@
        "goto_spam": "Learn as <span class=\"text-danger\"><b>spam</b></span>",
        "hostname": "Host",
        "inactive": "Inactive",
+        "internal": "Internal",
+        "internal_info": "Internal aliases are only accessible from the own domain or alias domains.",
        "kind": "Kind",
        "mailbox_quota_def": "Default mailbox quota",
        "mailbox_quota_m": "Max. quota per mailbox (MiB)",
@@ -690,6 +692,8 @@
        "grant_types": "Grant types",
        "hostname": "Hostname",
        "inactive": "Inactive",
+        "internal": "Internal",
+        "internal_info": "Internal aliases are only accessible from the own domain or alias domains.",
        "kind": "Kind",
        "last_modified": "Last modified",
        "lookup_mx": "Destination is a regular expression to match against MX name (<code>.*\\.google\\.com</code> to route all mail targeted to a MX ending in google.com over this hop)",
@@ -711,7 +715,7 @@
        "mta_sts": "MTA-STS",
        "mta_sts_info": "<a href='https://en.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol#SMTP_MTA_Strict_Transport_Security' target='_blank'>MTA-STS</a> is a standard that enforces email delivery between mail servers to use TLS with valid certificates. <br>It is used when <a target='_blank' href='https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities'>DANE</a> is not possible due to missing or unsupported DNSSEC.<br><b>Note</b>: If the receiving domain supports DANE with DNSSEC, DANE is <b>always</b> preferred – MTA-STS only acts as a fallback.",
        "mta_sts_version": "Version",
-        "mta_sts_version_info": "Defines the version of the MTA-STS standard – currently only <code>STSv1</code> is valid." ,
+        "mta_sts_version_info": "Defines the version of the MTA-STS standard – currently only <code>STSv1</code> is valid.",
        "mta_sts_mode": "Mode",
        "mta_sts_mode_info": "There are three modes to choose from:<ul><li><em>testing</em> – policy is only monitored, violations have no impact.</li><li><em>enforce</em> – policy is strictly enforced, connections without valid TLS are rejected.</li><li><em>none</em> – policy is published but not applied.</li></ul>",
        "mta_sts_max_age": "Max age",
@@ -847,7 +851,8 @@
        "password": "Password",
        "reset_password": "Reset Password",
        "request_reset_password": "Request password change",
-        "username": "Username"
+        "username": "Username",
+        "email": "Email address"
    },
    "mailbox": {
        "action": "Action",
@@ -927,6 +932,7 @@
        "in_use": "In use (%)",
        "inactive": "Inactive",
        "insert_preset": "Insert example preset \"%s\"",
+        "internal": "Internal",
        "kind": "Kind",
        "last_mail_login": "Last mail login",
        "last_modified": "Last modified",
@@ -1282,7 +1288,9 @@
        "encryption": "Encryption",
        "excludes": "Excludes",
        "expire_in": "Expire in",
+        "expire_never": "Never Expire",
        "fido2_webauthn": "FIDO2/WebAuthn",
+        "forever": "Forever",
        "force_pw_update": "You <b>must</b> set a new password to be able to access groupware related services.",
        "from": "from",
        "generate": "generate",
@@ -1349,7 +1357,8 @@
        "sogo_profile_reset": "Reset SOGo profile",
        "sogo_profile_reset_help": "This will destroy a user's SOGo profile and <b>delete all contact and calendar data irretrievable</b>.",
        "sogo_profile_reset_now": "Reset profile now",
-        "spam_aliases": "Temporary email aliases",
+        "spam_aliases": "Spam email aliases",
+        "spam_aliases_info": "A spam alias is a temporary email address that can be used to protect real email addresses. <br>Optionally, an expiration time can be set so that the alias is automatically deactivated after the defined period, effectively disposing of abused or leaked addresses.",
        "spam_score_reset": "Reset to server default",
        "spamfilter": "Spam filter",
        "spamfilter_behavior": "Rating",
--- a/data/web/lang/lang.es-es.json
+++ b/data/web/lang/lang.es-es.json
@@ -1084,6 +1084,7 @@
        "aliases_send_as_all": "No verificar permisos del remitente para los siguientes dominios (y sus aliases)",
        "change_password": "Cambiar contraseña",
        "create_syncjob": "Crear nuevo trabajo de sincronización",
+        "created_on": "Creado",
        "daily": "Cada día",
        "day": "Día",
        "description": "Descripción",
@@ -1095,6 +1096,9 @@
        "edit": "Editar",
        "encryption": "Cifrado",
        "excludes": "Excluye",
+        "expire_in": "Expirará en",
+        "expire_never": "Nunca expirará",
+        "forever": "Siempre",
        "hour": "Hora",
        "hourly": "Cada hora",
        "hours": "Horas",
@@ -1115,7 +1119,8 @@
        "shared_aliases": "Alias compartidos",
        "shared_aliases_desc": "Los alias compartidos no se ven afectados por la configuración específica del usuario, como el filtro de correo no deseado o la política de cifrado. Los filtros de spam correspondientes solo pueden ser realizados por un administrador como una política de dominio.",
        "sogo_profile_reset": "Resetear perfil SOGo",
-        "spam_aliases": "Alias de email temporales",
+        "spam_aliases": "Alias de email de spam",
+        "spam_aliases_info": "Un alias de spam es una dirección de correo electrónico temporal que se puede usar para proteger direcciones de correo electrónico reales. <br>Opcionalmente, se puede establecer un tiempo de expiración para que el alias se desactive automáticamente después del período definido, eliminando efectivamente las direcciones abusadas o filtradas.",
        "spamfilter": "Filtro anti-spam",
        "spamfilter_behavior": "Clasificación",
        "spamfilter_bl": "Lista negra",
--- a/data/web/lang/lang.fr-fr.json
+++ b/data/web/lang/lang.fr-fr.json
@@ -16,7 +16,7 @@
        "quarantine_notification": "Modifier la notification de quarantaine",
        "quarantine_category": "Modifier la catégorie de la notification de quarantaine",
        "ratelimit": "Limite d'envoi",
-        "recipient_maps": "Cartes destinataire",
+        "recipient_maps": "Cartes des destinataires",
        "smtp_ip_access": "Changer les hôtes autorisés pour SMTP",
        "sogo_access": "Autoriser la gestion des accès à SOGo",
        "sogo_profile_reset": "Réinitialiser le profil SOGo",
@@ -109,7 +109,9 @@
        "bcc_dest_format": "La destination Cci doit être une seule adresse de courriel valide.<br>Si vous avez besoin d'envoyer une copie à plusieurs adresses, créez un alias et utilisez-le ici.",
        "tags": "Etiquettes",
        "app_passwd_protocols": "Protocoles autorisés pour le mot de passe de l'application",
-        "dry": "Simuler la synchronisation"
+        "dry": "Simuler la synchronisation",
+        "internal": "Interne",
+        "internal_info": "Les alias internes sont accessibles uniquement depuis le domaine ou les alias du domaine."
    },
    "admin": {
        "access": "Accès",
@@ -407,7 +409,9 @@
        "iam_host": "Hôte",
        "iam_host_info": "Saisissez un ou plusieurs hôtes LDAP, séparés par des virgules.",
        "iam_import_users": "Importer des utilisateurs",
-        "filter": "Filtrer"
+        "filter": "Filtrer",
+        "needs_restart": "nécessite un redémarrage",
+        "iam": "Fournisseur d'identité"
    },
    "danger": {
        "access_denied": "Accès refusé ou données de formulaire non valides",
@@ -441,7 +445,7 @@
        "global_filter_write_error": "Impossible d’écrire le fichier de filtre : %s",
        "global_map_invalid": "ID de carte globale %s non valide",
        "global_map_write_error": "Impossible d’écrire l’ID de la carte globale %s : %s",
-        "goto_empty": "Une adresse alias doit contenir au moins une adresse 'goto'valide",
+        "goto_empty": "Une adresse alias doit contenir au moins une adresse 'goto' valide",
        "goto_invalid": "Adresse Goto %s non valide",
        "ham_learn_error": "Erreur d'apprentissage Ham : %s",
        "imagick_exception": "Erreur : Exception Imagick lors de la lecture de l’image",
@@ -548,7 +552,11 @@
        "generic_server_error": "Une erreur de serveur inattendue s'est produite. Veuillez contacter votre administrateur.",
        "authsource_in_use": "Le fournisseur d'identité ne peut pas être modifié ou supprimé car il est actuellement utilisé par un ou plusieurs utilisateurs.",
        "iam_test_connection": "Échec de la connexion",
-        "required_data_missing": "La donnée requise %s est manquante"
+        "required_data_missing": "La donnée requise %s est manquante",
+        "max_age_invalid": "L'âge maximum %s est invalide",
+        "mode_invalid": "Le mode %s est invalide",
+        "mx_invalid": "L'enregistrement MX %s est invalide",
+        "version_invalid": "La version %s est invalide"
    },
    "debug": {
        "chart_this_server": "Graphique (ce serveur)",
@@ -693,7 +701,7 @@
        "spam_score": "Définir un score spam personnalisé",
        "subfolder2": "Synchronisation dans le sous-dossier sur la destination<br><small>(vide = ne pas utiliser de sous-dossier)</small>",
        "syncjob": "Modifier la tâche de synchronisation",
-        "target_address": "Adresse(s) Goto<small>(séparé(s) par des virgules)</small>",
+        "target_address": "Adresse(s) Goto <small>(séparé(s) par des virgules)</small>",
        "target_domain": "Domaine cible",
        "timeout1": "Délai de connexion à l’hôte distant",
        "timeout2": "Délai de connexion à l’hôte local",
@@ -734,7 +742,20 @@
        "mailbox_rename_alias": "Créer un alias automatiquement",
        "sogo_access": "Redirection directe vers SOGo",
        "pushover": "Pushover",
-        "pushover_sound": "Son"
+        "pushover_sound": "Son",
+        "internal": "Interne",
+        "internal_info": "Les alias internes sont accessibles uniquement depuis le domaine ou les alias du domaine.",
+        "mta_sts": "MTA-STS",
+        "mta_sts_version": "Version",
+        "mta_sts_version_info": "Défini la version du standard MTA-STS – actuellement seul <code>STSv1</code> est valide.",
+        "mta_sts_mode": "Mode",
+        "mta_sts_max_age": "Âge maximum",
+        "mta_sts_mx": "Serveur MX",
+        "mta_sts_mx_notice": "Plusieurs serveurs MX peuvent être spécifiés (séparés par des virgules).",
+        "mta_sts_info": "<a href='https://en.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol#SMTP_MTA_Strict_Transport_Security' target='_blank'>MTA-STS</a> est un standard qui oblige la délivrance des courriels entre les serveurs de courriels à utiliser TLS avec des certificats valides. <br>Il est utilisé quand <a target='_blank' href='https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities'>DANE</a> n'est pas possible à cause d'un manque ou d'un non support de DNSSEC.<br><b>Note</b> : Si le domaine du destinataire supporte DANE avec DNSSEC, DANE est <b>toujours</b> préféré – MTA-STS sert seulement en secours.",
+        "mta_sts_mode_info": "Il y a trois modes parmi lesquels choisir :<ul><li><em>testing</em> – la politique est seulement surveillée, les violations n'ont pas d'impact.</li><li><em>enforce</em> – la politique est appliquée strictement, les connexions sans TLS valide sont rejetées.</li><li><em>none</em> – la politique est publiée mais non appliquée.</li></ul>",
+        "mta_sts_max_age_info": "Durée en secondes pendant laquelle les serveurs de courriel peuvent mettre en cache cette politique avant de revérifier.",
+        "mta_sts_mx_info": "Autoriser l'envoi uniquement aux noms d'hôtes des serveurs de courriels indiqués explicitement ; le MTA émetteur vérifie si le nom d'hôte DNS du MX correspond à la liste de la politique, et autorise la délivrance seulement avec un certificat TLS valide (protège contre le MITM)."
    },
    "footer": {
        "cancel": "Annuler",
@@ -789,7 +810,8 @@
        "login_linkstext": "L'identifiant n'est pas correct ?",
        "login_usertext": "Se connecter en tant qu'utilisateur",
        "login_domainadmintext": "Se connecter en tant qu'administrateur du domaine",
-        "login_admintext": "Se connecter en tant qu'administrateur"
+        "login_admintext": "Se connecter en tant qu'administrateur",
+        "email": "Adresse de courriel"
    },
    "mailbox": {
        "action": "Action",
@@ -896,7 +918,7 @@
        "recipient_map_new_info": "La destination de la carte du destinataire doit être une adresse de courriel valide ou un nom de domaine.",
        "recipient_map_old": "Destinataire original",
        "recipient_map_old_info": "La destination originale des cartes des destinataires doit être une adresse de courriel valide ou un nom de domaine.",
-        "recipient_maps": "Cartes des bénéficiaires",
+        "recipient_maps": "Cartes des destinataires",
        "relay_all": "Relayer tous les destinataires",
        "remove": "Supprimer",
        "resources": "Ressources",
@@ -965,7 +987,8 @@
        "syncjob_check_log": "Vérifier le journal",
        "recipient": "Destinataire",
        "open_logs": "Afficher les journaux",
-        "iam": "Fournisseur d'identité"
+        "iam": "Fournisseur d'identité",
+        "internal": "Interne"
    },
    "oauth2": {
        "access_denied": "Veuillez vous connecter en tant que propriétaire de la boîte de réception pour accorder l’accès via Oauth2.",
@@ -1222,7 +1245,7 @@
        "email_and_dav": "Courriel, calendriers et contacts",
        "encryption": "Chiffrement",
        "excludes": "Exclus",
-        "expire_in": "Expire dans",
+        "expire_in": "Expirer dans",
        "force_pw_update": "Vous <b>devez</b> définir un nouveau mot de passe pour pouvoir accéder aux services liés aux logiciels de groupe.",
        "generate": "générer",
        "hour": "heure",
@@ -1350,7 +1373,12 @@
        "mailbox_general": "Général",
        "mailbox_settings": "Paramètres",
        "tfa_info": "L'authentification à deux facteurs permet de protéger votre compte. Si vous l'activez, vous aurez besoin de mots de passe d'application pour vous connecter à des applications ou des services qui ne prennent pas en charge l'authentification à deux facteurs (par exemple les clients e-mails).",
-        "overview": "Vue d'ensemble"
+        "overview": "Vue d'ensemble",
+        "expire_never": "Ne jamais expirer",
+        "forever": "Pour toujours",
+        "spam_aliases_info": "Un alias de spam est une adresse de courriel temporaire qui peut être utilisée pour protéger les véritables adresses de courriel. <br> De manière optionnelle, une durée d'expiration peut être définie afin que l'alias soit automatiquement désactivé après la période définie, éliminant ainsi les adresses étant abusées ou ayant fuité.",
+        "authentication": "Authentification",
+        "protocols": "Protocoles"
    },
    "warning": {
        "cannot_delete_self": "Impossible de supprimer l’utilisateur connecté",
--- a/data/web/lang/lang.gr-gr.json
+++ b/data/web/lang/lang.gr-gr.json
@@ -6,7 +6,8 @@
        "weeks": "Εβδομάδες",
        "with_app_password": "με κωδικό εφαρμογής",
        "year": "χρόνος",
-        "years": "χρόνια"
+        "years": "χρόνια",
+        "value": "Τιμή"
    },
    "warning": {
        "cannot_delete_self": "Αδυναμία διαγραφής συνδεδεμένου χρήστη",
@@ -16,5 +17,170 @@
        "hash_not_found": "Η κατακερματισμένη τιμή (hash value) δεν βρέθηκε ή έχει είδη διαγραφεί.",
        "ip_invalid": "Παραλείφθηκε μη έγκυρη διεύθυνση IP: %s",
        "is_not_primary_alias": "Παραλείφθηκε μη πρωτεύον ψευδώνυμο %s"
+    },
+    "acl": {
+        "alias_domains": "Προσθήκη ψευδωνύμων τομέων",
+        "app_passwds": "Διαχείριση κωδικών εφαρμογής",
+        "bcc_maps": "χαρτογράφηση BCC",
+        "delimiter_action": "Ενέργεια οριοθέτη",
+        "domain_desc": "Αλλαγή περιγραφής τομέα",
+        "domain_relayhost": "Αλλαγή του διακομιστή αναμετάδοσης για ένα τομέα",
+        "eas_reset": "Επαναφορά συσκευών EAS",
+        "extend_sender_acl": "Να επιτρέπεται η επέκταση ACL του αποστολέα με εξωτερικές διευθύνσεις",
+        "filters": "Φίλτρα",
+        "login_as": "Είσοδος ως χρήστης e-mail",
+        "mailbox_relayhost": "Αλλαγή διακομιστή αναμετάδοσης για ένα γραμματοκιβώτιο",
+        "prohibited": "Απαγορεύεται από την ACL",
+        "protocol_access": "Αλλαγή πρόσβασης πρωτοκόλλου",
+        "pushover": "Pushover",
+        "pw_reset": "Επιτρέψτε την επαναφορά κωδικού πρόσβασης του χρήστη",
+        "quarantine": "Ενέργειες καραντίνας",
+        "quarantine_attachments": "Συνημμένα καραντίνας",
+        "quarantine_category": "Αλλαγή κατηγορίας ειδοποιήσεων καραντίνας",
+        "quarantine_notification": "Αλλαγή ειδοποιήσεων καραντίνας",
+        "ratelimit": "Όριο τιμής",
+        "recipient_maps": "Χάρτες παραληπτών",
+        "smtp_ip_access": "Αλλαγή επιτρεπόμενων διακομιστών SMTP",
+        "sogo_access": "Επιτρέψτε τη διαχείριση της πρόσβασης στο SOGo",
+        "sogo_profile_reset": "Επαναφορά του προφίλ SOGo",
+        "spam_alias": "Προσωρινά ψευδώνυμα",
+        "spam_policy": "Λίστα απορρίψεων/Λίστα επιτρεπόμενων",
+        "spam_score": "Βαθμολογία ανεπιθύμητης αλληλογραφίας",
+        "syncjobs": "Εργασίες συγχρονισμού",
+        "tls_policy": "Πολιτική TLS",
+        "unlimited_quota": "Απεριόριστο όριο για γραμματοκιβώτια"
+    },
+    "add": {
+        "activate_filter_warn": "Όλα τα άλλα φίλτρα θα απενεργοποιηθούν, όταν επιλεγεί η επιλογή \"ενεργό\".",
+        "active": "Ενεργό",
+        "add": "Προσθήκη",
+        "add_domain_only": "Προσθήκη μόνο του τομέα",
+        "add_domain_restart": "Προσθήκη του τομέα και επανεκκίνηση του SOGo",
+        "alias_address": "Διευθύνσεις ψευδωνύμων",
+        "alias_address_info": "<small>Πλήρης διεύθυνση(εις)  e-mail ή @example.com, για να λαμβάνετε ΟΛΑ τα μηνύματα ενός τομέα (χωρισμένα με κόμα). <b>μόνο τομείς του mailcow</b>.</small>",
+        "alias_domain": "Ψευδώνυμο τομέα",
+        "alias_domain_info": "<small>Μόνο έγκυρα ονόματα τομέα (χωρισμένα με κόμα).</small>",
+        "app_name": "Όνομα εφαρμογής",
+        "app_password": "Προσθήκη κωδικού εφαρμογής",
+        "app_passwd_protocols": "Επιτρεπόμενα πρωτόκολλα για κωδικούς εφαρμογών",
+        "automap": "Αυτόματη αντιστοίχηση φακέλων (\"Απεσταλμένα μηνύματα\", \"Απεσταλμένα\" => \"Στάλθηκαν\" κ.τ.λ.)",
+        "backup_mx_options": "Επιλογές αναμετάδοσης",
+        "bcc_dest_format": "Η BCC διεύθυνση πρέπει να είναι μία και έγκυρη διεύθυνση e-mail.<br>Αν θέλετε να στείλετε αντίγραφα σε πολλούς παραλήπτες, δημιουργήστε ένα ψευδόνυμο για όλους και χρησιμοποιήστε το εδώ.",
+        "comment_info": "Τα προσωπικά σχόλια δεν είναι ορατά στον χρήστη. Τα δημόσια σχόλια εμφανίζονται ως tooltips.",
+        "custom_params": "Προσαρμοσμένες παράμετροι",
+        "custom_params_hint": "Σωστή σύνταξη: --param=xy, λάθος σύνταξη: --param xy",
+        "delete1": "Διαγραφή όταν ολοκληρωθεί",
+        "delete2": "Διαγραφή μηνυμάτων στον προορισμό που δεν βρίσκονται στην πηγή",
+        "delete2duplicates": "Διαγραφή διπλότυπων στον προορισμό",
+        "description": "Περιγραφή",
+        "destination": "Προορισμός",
+        "disable_login": "Απαγόρευση εισόδου (η εισερχόμενη αλληλογραφία εξακολουθεί να γίνεται δεκτή)",
+        "domain": "Τομέας",
+        "domain_matches_hostname": "Ο τομέας %s είναι ο ίδιος με το όνομα του διακομιστή",
+        "domain_quota_m": "Συνολικό όριο τομέα (MiB)",
+        "dry": "Προσομοίωση συγχρονισμού",
+        "enc_method": "Μέθοδος κρυπτογράφησης",
+        "exclude": "Εξαίρεση αντικειμένων (regex)",
+        "full_name": "Πλήρες όνομα",
+        "gal": "Κοινόχρηστη λίστα διευθύνσεων"
+    },
+    "danger": {
+        "unknown": "Παρουσιάστηκε κάποιο άγωνστο σφάλμα",
+        "unknown_tfa_method": "Άγνωστη μέθοδος TFA",
+        "unlimited_quota_acl": "Το απεριόριστο όριο απαγορεύεται από την ACL",
+        "username_invalid": "Το όνομα χρήστη %s δεν μπορεί να χρησιμοποιηθεί",
+        "validity_missing": "Παρακαλώ ορίστε μία περίοδο εγκυρότητας",
+        "value_missing": "Παρακαλώ συμπληρώστε όλα τα δεδομένα",
+        "version_invalid": "Η έκδοση %s δεν είναι έγκυρη",
+        "yotp_verification_failed": "Η επαλήθευση μέσω Yubico OTP απέτυχε: %s"
+    },
+    "datatables": {
+        "collapse_all": "Σύμπτυξη όλων",
+        "decimal": ".",
+        "emptyTable": "Δεν υπάρχουν εγγραφές",
+        "expand_all": "Επέκταση όλων",
+        "info": "Εμφανίζονται _START_ εώς _END_ από _TOTAL_ εγγραφές",
+        "infoEmpty": "Εμφανίζονται 0 εώς 0 από 0 εγγραφές",
+        "infoFiltered": "(φιλτραρισμένες από _MAX_ συνολικές εγγραφές)",
+        "thousands": ",",
+        "lengthMenu": "Εμφάνιση _MENU_ εγγραφών",
+        "loadingRecords": "Γίνεται φόρτωση...",
+        "processing": "Παρακαλώ περιμένετε...",
+        "search": "Αναζήτηση:",
+        "zeroRecords": "Δε βρέθηκαν εγγραφές",
+        "paginate": {
+            "first": "Πρώτη",
+            "last": "Τελευταία",
+            "next": "Επόμενη",
+            "previous": "Προηγούμενη"
+        },
+        "aria": {
+            "sortAscending": ": ενεργοποίηση αύξουσας ταξινόμησης",
+            "sortDescending": ": ενεργοποίηση φθίνουσας ταξινόμησης"
+        }
+    },
+    "debug": {
+        "architecture": "Αρχιτεκτονική",
+        "chart_this_server": "Γράφημα (αυτός ο διακομιστής)",
+        "containers_info": "Πληροφορίες για τον container",
+        "container_running": "Εκτελείται",
+        "container_disabled": "Ο container έχει σταματήσει ή απενεργοποιηθεί",
+        "container_stopped": "Σταματημένος",
+        "cores": "Πυρήνες",
+        "current_time": "Ώρα συστήματος",
+        "disk_usage": "Χρήση αποθ. χώρου",
+        "docs": "Έγγραφα",
+        "error_show_ip": "Δεν είναι δυνατή η επίλυση της δημόσιας IP διεύθυνσης",
+        "external_logs": "Εξωτερικά αρχεία καταγραφής",
+        "history_all_servers": "Ιστορικό (Όλοι οι διακομιστές)",
+        "in_memory_logs": "Αρχεία καταγραφής στη μνήμη",
+        "last_modified": "Τελευταία τροποποίηση",
+        "log_info": "<p>mailcow <b>in-memory logs</b> are collected in Redis lists and trimmed to LOG_LINES (%d) every minute to reduce hammering.\n  <br>In-memory logs are not meant to be persistent. All applications that log in-memory, also log to the Docker daemon and therefore to the default logging driver.\n  <br>The in-memory log type should be used for debugging minor issues with containers.</p>\n  <p><b>External logs</b> are collected via API of the given application.</p>\n  <p><b>Static logs</b> are mostly activity logs, that are not logged to the Dockerd but still need to be persistent (except for API logs).</p>",
+        "login_time": "Ώρα",
+        "logs": "Αρχεία καταγραφής",
+        "memory": "Μνήμη",
+        "online_users": "Συνδεδεμένοι χρήστες",
+        "restart_container": "Επανεκκίνηση",
+        "service": "Υπηρεσία",
+        "show_ip": "Εμφάνιση δημόσιας IP",
+        "size": "Μέγεθος",
+        "started_at": "Ξεκίνησε στις",
+        "started_on": "Ξεκίνησε στις",
+        "static_logs": "Στατικά αρχεία καταγραφής",
+        "success": "Επιτυχία",
+        "system_containers": "Σύστημα και Containers",
+        "timezone": "Ζώνη ώρας",
+        "uptime": "Χρόνος λειτουργίας",
+        "update_available": "Υπάρχει διαθέσιμη ενημέρωση",
+        "no_update_available": "Έχετε τη τελευταία έκδοση του συστήματος",
+        "update_failed": "Δεν ήταν δυνατός ο έλεγχος για ενημερώσεις",
+        "username": "Όνομα χρήστη",
+        "wip": "Currently Work in Progress"
+    },
+    "diagnostics": {
+        "cname_from_a": "Value derived from A/AAAA record. This is supported as long as the record points to the correct resource.",
+        "dns_records": "Εγγραφές DNS",
+        "dns_records_24hours": "Παρακαλώ σημειώστε ότι οι αλλαγές στο DNS μπορεί να χρειαστούν μέχρι 24 ώρες για να ενημερωθούν σωστά και να εμφανιστούν σε αυτή τη σελίδα. Ο σκοπός της είναι να δείτε πως μπορείτε να ρυθμίσετε σωστά τις εγγραφές DNS και να ελέγξετε αν είναι σωστές.",
+        "dns_records_data": "Σωστά δεδομένα",
+        "dns_records_docs": "Παρακαλώ συμβουλευτείτε επίσης <a target=\"_blank\" href=\"https://docs.mailcow.email/getstarted/prerequisite-dns\">την τεκμηρίωση</a>.",
+        "dns_records_name": "Όνομα",
+        "dns_records_status": "Τρέχουσα κατάσταση",
+        "dns_records_type": "Τύπος",
+        "optional": "Αυτή η εγγραφή είναι προαιρετική."
+    },
+    "edit": {
+        "acl": "ACL (Δικαίωμα)",
+        "active": "Ενεργό",
+        "admin": "Επεξεργασία διαχειριστή",
+        "advanced_settings": "Ρυθμίσεις για προχωρημένους",
+        "alias": "Επεξεργασία ψευδώνυμου",
+        "allow_from_smtp": "Επέτρεψε μόνο σε αυτές τις IPs να χρησιμοποιήσουν το <b>SMTP</b>",
+        "allow_from_smtp_info": "Αφήστε το κενό για να επιτρέψετε όλους τους αποστολείς.<br>IPv4/IPv6 διευθύνσεις και δίκτυα.",
+        "allowed_protocols": "Επιτρεπόμενα πρωτόκολλα για απ' ευθείας πρόσβαση από τους χρήστες (δεν επηρεάζει τα πρωτόκολλα κωδικών πρόσβασης εφαρμογής)",
+        "app_name": "Όνομα εφαρμογής",
+        "app_passwd": "Κωδικός πρόσβασης εφαρμογής",
+        "app_passwd_protocols": "Επιτρέπομενα πρωτόκολλα για τον κωδικό εφαρμογής",
+        "automap": "Αυτόματη αντιστοίχηση φακέλων (\"Απεσταλμένα μηνύματα\", \"Απεσταλμένα\" => \"Στάλθηκαν\" κ.τ.λ.)",
+        "backup_mx_options": "Επιλογές αναμετάδοσης"
    }
 }
--- a/data/web/lang/lang.hu-hu.json
+++ b/data/web/lang/lang.hu-hu.json
@@ -9,11 +9,11 @@
        "source": "Forrás",
        "spamfilter": "Spam szűrő",
        "subject": "Tárgy",
-        "sys_mails": "Rendszer-üzenetek",
+        "sys_mails": "Rendszer e-mailek",
        "text": "Szöveg",
        "time": "Idő",
        "title": "Cím",
-        "title_name": "\"mailcow UI\" website címe",
+        "title_name": "\"mailcow UI\" weboldal címe",
        "to_top": "Vissza a tetejére",
        "transport_dest_format": "Szintaxis: pelda.hu, .pelda.hu, *, fiok@pelda.hu (több érték esetén vesszővel elválasztva)",
        "upload": "Feltöltés",
@@ -29,14 +29,14 @@
        "logo_dark_label": "Sötét üzemmódhoz invertálva",
        "f2b_regex_info": "Figyelembe vett naplók: SOGo, Postfix, Dovecot, PHP-FPM.",
        "f2b_retry_window": "Újrapróbálkozási ablak (s) a maximális próbálkozásokhoz",
-        "f2b_whitelist": "Fehérlistás hálózatok/hostok",
+        "f2b_whitelist": "Engedélyezési listás hálózatok/hostok",
        "filter_table": "Szűrő táblázat",
        "forwarding_hosts": "Továbbító hostok",
-        "forwarding_hosts_add_hint": "Megadhat IPv4/IPv6 címeket, hálózatokat CIDR jelölésben, állomásneveket (amelyek IP-címekre lesznek feloldva) vagy tartományneveket (amelyek IP-címekre lesznek feloldva az SPF rekordok vagy ezek hiányában az MX rekordok lekérdezésével).",
+        "forwarding_hosts_add_hint": "Megadhat IPv4/IPv6 címeket, hálózatokat CIDR jelölésben, állomásneveket (amelyek IP címekre lesznek feloldva) vagy tartományneveket (amelyek IP címekre lesznek feloldva az SPF rekordok vagy ezek hiányában az MX rekordok lekérdezésével).",
        "from": "A címről",
        "copy_to_clipboard": "Szöveg másolva a vágólapra!",
        "f2b_manage_external": "A Fail2Ban külső kezelése",
-        "f2b_manage_external_info": "A Fail2ban továbbra is karbantartja a tiltólistát, de nem állít be aktívan szabályokat a forgalom blokkolására. Használja az alábbi generált tiltólistát a forgalom külső blokkolásához.",
+        "f2b_manage_external_info": "A Fail2ban továbbra is karbantartja a tiltólistát, de nem állít be aktívan szabályokat a forgalom blokkolásához. Használja az alábbi generált tiltólistát a forgalom külső blokkolásához.",
        "f2b_max_ban_time": "Maximális tiltási idő (s)",
        "f2b_netban_ipv4": "IPv4 alhálózat mérete, amelyre tilalmat kell alkalmazni (8-32)",
        "f2b_netban_ipv6": "IPv6 alhálózat mérete, amelyre tilalmat kell alkalmazni (8-128)",
@@ -47,13 +47,13 @@
        "html": "HTML",
        "import": "Import",
        "ip_check": "IP ellenőrzés",
-        "ip_check_disabled": "Az IP-ellenőrzés le van tiltva. Bekapcsolhatja a következő menüpont alatt<br> <strong>Rendszer > Beállítások > Opciók > Személyreszabás</strong>",
+        "ip_check_disabled": "Az IP ellenőrzés le van tiltva. Bekapcsolhatja a következő menüpont alatt<br> <strong>Rendszer > Beállítások > Opciók > Személyreszabás</strong>",
        "is_mx_based": "MX alapú",
        "last_applied": "Utoljára alkalmazott",
        "link": "Link",
        "loading": "Kérjük, várj...",
        "login_time": "Bejelentkezési idő",
-        "f2b_list_info": "Egy feketelistán szereplő állomás vagy hálózat mindig nagyobb súlyú, mint egy fehérlistás entitás. <b>A lista frissítései néhány másodpercig tartanak.</b>",
+        "f2b_list_info": "Egy tiltólistán szereplő állomás vagy hálózat mindig nagyobb súlyú, mint egy engedélyezési listás elem. <b>A lista frissítései néhány másodpercig tartanak.</b>",
        "f2b_ban_time_increment": "A tiltási idő minden egyes tiltással növekszik",
        "additional_rows": " - további sorokat adtak hozzá",
        "admin": "Adminisztrátor",
@@ -68,7 +68,7 @@
        "api_key": "API-kulcs",
        "api_read_only": "Csak olvasható hozzáférés",
        "api_read_write": "Olvasás-írás hozzáférés",
-        "api_skip_ip_check": "IP-ellenőrzés kihagyása az API esetében",
+        "api_skip_ip_check": "IP ellenőrzés kihagyása az API esetében",
        "cors_settings": "CORS beállítások",
        "guid": "GUID - egyedi példányazonosító",
        "dkim_to": "A címre",
@@ -82,8 +82,8 @@
        "edit": "Szerkesztés",
        "empty": "Nincs eredmény",
        "excludes": "Kizárja ezeket a kedvezményezetteket",
-        "f2b_ban_time": "Tilalmi idő (s)",
-        "f2b_blacklist": "Feketelistás hálózatok/hostok",
+        "f2b_ban_time": "Tiltás időtartam (s)",
+        "f2b_blacklist": "Tiltólistás címek",
        "f2b_filter": "Regex szűrők",
        "logo_info": "A képed 40px magasságúra lesz méretezve a felső navigációs sávhoz és max. 250px szélességűre a kezdőlaphoz. A skálázható grafika használata erősen ajánlott.",
        "dkim_add_key": "ARC/DKIM kulcs hozzáadása",
@@ -122,21 +122,187 @@
        "arrival_time": "Érkezési idő (szerveridő)",
        "authed_user": "Azonosított felhasználó",
        "ays": "Biztos, hogy folytatni akarod?",
-        "ban_list_info": "A tiltott IP-címek listáját lásd alább: <b>hálózat (fennmaradó tiltási idő) - [akciók]</b>.<br />A tiltás feloldására várakozó IP-ket néhány másodpercen belül eltávolítjuk az aktív tiltási listáról.<br />A piros címkék a feketelistán szereplő aktív állandó tiltásokat jelzik.",
+        "ban_list_info": "A tiltott IP címek listáját lásd alább: <b>hálózat (fennmaradó tiltási idő) - [akciók]</b>.<br />A tiltás feloldására várakozó IP-ket néhány másodpercen belül eltávolítjuk az aktív tiltási listáról.<br />A piros címkék a tiltólistán szereplő aktív állandó tiltásokat jelzik.",
        "configuration": "Konfiguráció",
        "convert_html_to_text": "HTML átalakítása egyszerű szöveggé",
        "credentials_transport_warning": "<b>Figyelmeztetés</b>: Egy új közlekedési térképbejegyzés hozzáadása frissíti a hitelesítő adatokat minden olyan bejegyzéshez, amelynek a következő ugrás oszlopa megegyezik.",
        "customize": "Testreszabás",
        "destination": "Célállomás",
        "customer_id": "Ügyfél azonosító",
-        "apps_name": "\"mailcow Apps\" név"
+        "apps_name": "\"mailcow Apps\" név",
+        "admin_quicklink": "Gyorshivatkozás elrejtése az Adminisztrátori bejelentkezési oldalra",
+        "app_hide": "Elrejtés a bejelentkezéshez",
+        "domainadmin_quicklink": "Gyorshivatkozás elrejtése a Domain adminisztrátori bejelentkezési oldalra",
+        "filter": "Szűrő",
+        "force_sso_text": "Ha egy külső OIDC-szolgáltató van beállítva, ez az opció elrejti az alapértelmezett mailcow bejelentkezési űrlapokat, és csak az egységes bejelentkezési (Single Sign-On) gombot jeleníti meg",
+        "force_sso": "A mailcow bejelentkezés letiltása és csak az egységes bejelentkezés megjelenítése",
+        "hash_remove_info": "Egy arányszám-korlát hash eltávolítása (ha még létezik) teljesen visszaállítja a számlálóját.<br>\r\n  Minden hash-t egyedi szín jelöl.",
+        "iam": "Azonosítási szolgáltató",
+        "iam_attribute_field": "Attribútum mező",
+        "iam_authorize_url": "Engedélyezési végpont",
+        "iam_auth_flow": "Azonosítási folyamat",
+        "iam_auth_flow_info": "Az engedélyezési kód áramláson (Authorization Code Flow) kívül, amelyet az egységes bejelentkezéshez (Single-Sign On) használnak (ez a standard áramlás Keycloak-ban), a mailcow támogatja a közvetlen hitelesítő adatokkal történő hitelesítési áramlást is. A Jelszóáramlás (Mailpassword Flow) megpróbálja érvényesíteni a felhasználó hitelesítő adatait a Keycloak Admin REST API használatával. A mailcow a <code>mailcow_password</code> attribútumból olvassa be a hash-elt jelszót, amely a Keycloak-ban van leképezve.",
+        "iam_basedn": "Bázis DN",
+        "iam_client_id": "Kliens azonosító",
+        "iam_client_secret": "Kliens titok",
+        "iam_client_scopes": "Kliens hatókörök",
+        "iam_default_template": "Alapértelmezett sablon",
+        "iam_default_template_description": "Ha nincs sablon hozzárendelve egy felhasználóhoz, az alapértelmezett sablon lesz felhasználva a postafiók létrehozásához, de a postafiók frissítéséhez nem.",
+        "iam_description": "Külső azonosítási szolgáltató konfigurálása.<br>A felhasználók postafiókjai automatikusan létrejönnek az első bejelentkezéskor, feltéve, hogy van attribútum-hozzárendelés beállítva.",
+        "iam_extra_permission": "A következő beállításokhoz a Keycloak-ban lévő mailcow kliensnek szüksége van egy <code>Service account</code>-ra és a <code>view-users</code> engedélyre.",
+        "iam_host": "Házigazda",
+        "iam_host_info": "Adjon meg egy vagy több LDAP állomást, vesszővel elválasztva.",
+        "iam_import_users": "Felhasználók importálása",
+        "iam_login_provisioning": "Felhasználók automatikus létrehozása bejelentkezéskor",
+        "iam_mapping": "Attribútum-hozzárendelés",
+        "iam_bindpass": "Bind jelszó",
+        "iam_periodic_full_sync": "Időszakos teljes szinkronizálás",
+        "iam_port": "Port",
+        "iam_realm": "Tartomány",
+        "iam_redirect_url": "Átirányítási URL",
+        "iam_rest_flow": "Mailpassword Flow",
+        "iam_server_url": "Szerver URL",
+        "iam_sso": "Egységes bejelentkezés",
+        "iam_sync_interval": "Szinkronizálási / importálási időtartam (perc)",
+        "iam_test_connection": "Kapcsolat tesztelése",
+        "iam_token_url": "Token végpont",
+        "iam_userinfo_url": "Felhasználói információ végpont",
+        "iam_username_field": "Felhasználónév mező",
+        "iam_binddn": "Bind DN",
+        "iam_use_ssl": "SSL használata",
+        "iam_use_ssl_info": "Ha az SSL-t engedélyezi, és a port 389-re van állítva, az automatikusan felülíródik 636-ra.",
+        "iam_use_tls": "StartTLS használata",
+        "iam_use_tls_info": "Ha a TLS-t engedélyezi, az LDAP szerver alapértelmezett portját kell használnia (389). Az SSL portok nem használhatók.",
+        "iam_version": "Verzió",
+        "ignore_ssl_error": "SSL hibák figyelmen kívül hagyása",
+        "ip_check_opt_in": "Választás a harmadik féltől származó <strong>ipv4.mailcow.email</strong> és <strong>ipv6.mailcow.email</strong> szolgáltatás használatára a külső IP címek feloldásához.",
+        "license_info": "A licensz nem kötelező, de segít a további fejlesztésben.<br><a href=\"https://www.servercow.de/mailcow?lang=en#sal\" target=\"_blank\" alt=\"SAL order\">Regisztrálja a GUID-ját itt</a> vagy <a href=\"https://www.servercow.de/mailcow?lang=en#support\" target=\"_blank\" alt=\"Support order\">vásároljon támogatást a mailcow telepítéséhez.</a>",
+        "lookup_mx": "A cél egy reguláris kifejezés, amely illeszkedik az MX névre (<code>.*\\.google\\.com</code>, hogy a google.com-ra végződő MX-en keresztül továbbítsa az összes levelet)",
+        "main_name": "\"mailcow UI\" név",
+        "merged_vars_hint": "A szürkével jelölt sorok a <code>vars.(local.)inc.php</code> fájlból lettek összevonva, és nem módosíthatók.",
+        "message": "Üzenet",
+        "message_size": "Üzenet mérete",
+        "nexthop": "Következő ugrás",
+        "no": "&#10005;",
+        "no_active_bans": "Nincs aktív tiltás",
+        "no_new_rows": "Nincs több sor elérhető",
+        "no_record": "Nincs bejegyzés",
+        "oauth2_apps": "OAuth2 alkalmazások",
+        "oauth2_add_client": "OAuth2 kliens hozzáadása",
+        "oauth2_client_id": "Kliens azonosító",
+        "oauth2_client_secret": "Kliens titok",
+        "oauth2_info": "Az OAuth2 implementáció támogatja az \"Authorization Code\" engedélyezési típust és frissítési tokeneket ad ki.<br>\r\nA szerver automatikusan új frissítési tokeneket is kiad, miután egy frissítési token fel lett használva.<br><br>\r\n&#8226; Az alapértelmezett hatókör a <i>profile</i>. Csak postafiók-felhasználók hitelesíthetők az OAuth2-vel szemben. Ha a scope paraméter elmarad, az visszaesik a <i>profile</i>-ra.<br>\r\n&#8226; A <i>state</i> paramétert a kliensnek kötelező elküldenie az engedélyezési kérelem részeként.<br><br>\r\nAz OAuth2 API-hoz intézett kérések útvonalai: <br>\r\n<ul>\r\n  <li>Engedélyezési végpont: <code>/oauth/authorize</code></li>\r\n  <li>Token végpont: <code>/oauth/token</code></li>\r\n  <li>Erőforrás oldal:  <code>/oauth/profile</code></li>\r\n</ul>\r\nA kliens titok újragenerálása nem jár le a meglévő engedélyezési kódok lejáratával, de azok nem tudják megújítani a tokenjüket.<br><br>\r\nA kliens tokenek visszavonása az összes aktív munkamenet azonnali leállítását okozza. Minden kliensnek újra kell hitelesítenie magát.",
+        "oauth2_redirect_uri": "Átirányítási URI",
+        "oauth2_renew_secret": "Új kliens titok generálása",
+        "oauth2_revoke_tokens": "Minden kliens token visszavonása",
+        "optional": "opcionális",
+        "options": "Opciók",
+        "password": "Jelszó",
+        "password_length": "Jelszó hossza",
+        "password_policy": "Jelszó házirend",
+        "password_policy_chars": "Legalább egy betűkaraktert kell tartalmaznia",
+        "password_policy_length": "A jelszó minimális hossza %d",
+        "password_policy_lowerupper": "Kis- és nagybetűket kell tartalmaznia",
+        "password_policy_numbers": "Legalább egy számot kell tartalmaznia",
+        "password_policy_special_chars": "Speciális karaktereket kell tartalmaznia",
+        "password_repeat": "Megerősítő jelszó (ismétlés)",
+        "password_reset_info": "Ha nincs megadva helyreállítási e-mail cím, ez a funkció nem használható.",
+        "password_reset_settings": "Jelszó-helyreállítási beállítások",
+        "password_reset_tmpl_html": "HTML sablon",
+        "password_reset_tmpl_text": "Szöveges sablon",
+        "password_settings": "Jelszó beállítások",
+        "priority": "Prioritás",
+        "private_key": "Privát kulcs",
+        "quarantine": "Karantén",
+        "quarantine_bcc": "Az összes értesítés másolatának elküldése (BCC) erre a címzettnek:<br><small>Hagyja üresen a letiltáshoz. <b>Aláíratlan, nem ellenőrzött levél. Csak belső kézbesítésre alkalmas.</b></small>",
+        "quarantine_exclude_domains": "Tartományok és alias-tartományok kizárása",
+        "quarantine_max_age": "Maximális életkor napokban<br><small>Az értéknek legalább 1 napnak kell lennie.</small>",
+        "quarantine_max_score": "Az értesítés elvetése, ha egy levél spam pontszáma magasabb ennél az értéknél:<br><small>Alapértelmezett értéke 9999.0</small>",
+        "quarantine_max_size": "Maximális méret MiB-ban (a nagyobb elemeket elveti):<br><small>A 0 <b>nem</b> jelent korlátlant.</small>",
+        "quarantine_notification_html": "Értesítő e-mail sablon:<br><small>Hagyja üresen az alapértelmezett sablon visszaállításához.</small>",
+        "quarantine_notification_sender": "Értesítő e-mail feladója",
+        "quarantine_notification_subject": "Értesítő e-mail tárgya",
+        "quarantine_redirect": "<b>Az összes értesítés átirányítása</b> erre a címzettnek:<br><small>Hagyja üresen a letiltáshoz. <b>Aláíratlan, nem ellenőrzött levél. Csak belső kézbesítésre alkalmas.</b></small>",
+        "quarantine_release_format": "A feloldott elemek formátuma",
+        "quarantine_release_format_att": "Csatolmányként",
+        "quarantine_release_format_raw": "Eredeti, módosítatlan formában",
+        "quarantine_retention_size": "Megőrzések postafiókonként:<br><small>A 0 <b>inaktívat</b> jelent.</small>",
+        "quicklink_text": "A gyorshivatkozások megjelenítése vagy elrejtése a bejelentkezési űrlap alatt",
+        "quota_notification_html": "Értesítő e-mail sablon:<br><small>Hagyja üresen az alapértelmezett sablon visszaállításához.</small>",
+        "quota_notification_sender": "Kvóta értesítő e-mail feladója",
+        "quota_notification_subject": "Kvóta értesítő e-mail tárgya",
+        "quota_notifications": "Kvóta értesítések",
+        "quota_notifications_info": "A kvóta értesítéseket a felhasználók egyszer kapják meg, amikor a 80%-os határt, majd a 95%-os határt átlépik.",
+        "quota_notifications_vars": "{{percent}} a felhasználó aktuális kvótáját jelenti<br>{{username}} a postafiók neve",
+        "queue_unban": "tiltás feloldása",
+        "r_active": "Aktív korlátozások",
+        "r_inactive": "Inaktív korlátozások",
+        "r_info": "A szürkével/letiltva jelölt elemek az aktív korlátozások listáján a mailcow számára nem érvényes korlátozások, és nem mozgathatók. Az ismeretlen korlátozások a megjelenési sorrendben lesznek beállítva. <br>Új elemeket adhat hozzá a <code>inc/vars.local.inc.php</code> fájlban, hogy váltani tudja őket.",
+        "rate_name": "Arányszám neve",
+        "recipients": "Címzettek",
+        "refresh": "Frissítés",
+        "regen_api_key": "API kulcs újragenerálása",
+        "regex_maps": "Regex térképek",
+        "relay_from": "\"Feladó:\" cím",
+        "relay_rcpt": "\"Címzett:\" cím",
+        "relay_run": "Teszt futtatása",
+        "relayhosts": "Feladófüggő szállítások",
+        "relayhosts_hint": "Határozzon meg feladófüggő szállításokat, hogy kiválaszthassa őket egy tartomány konfigurációs párbeszédpanelén.<br>\r\n  A szállítási szolgáltatás mindig \"smtp:\" és ezért megpróbálja a TLS-t, ha felajánlják. A becsomagolt TLS (SMTPS) nem támogatott. A felhasználók egyéni kimenő TLS-szabályzati beállításai figyelembe vételre kerülnek.<br>\r\n  Érintik a kiválasztott tartományokat, beleértve az alias tartományokat is.",
+        "remove": "Eltávolítás",
+        "remove_row": "Sor eltávolítása",
+        "reset_default": "Visszaállítás alapértelmezettre",
+        "reset_limit": "Hash eltávolítása",
+        "reset_password_vars": "<code>{{link}}</code> A generált jelszó-helyreállítási link<br><code>{{username}}</code> A jelszó-helyreállítást kérő felhasználó postafiók neve<br><code>{{username2}}</code> A helyreállítási postafiók neve<br><code>{{date}}</code> A jelszó-helyreállítási kérelem dátuma<br><code>{{token_lifetime}}</code> A token élettartama percekben<br><code>{{hostname}}</code> A mailcow hosztnév",
+        "restore_template": "Hagyja üresen az alapértelmezett sablon visszaállításához.",
+        "routing": "Útválasztás",
+        "rsetting_add_rule": "Szabály hozzáadása",
+        "rsetting_content": "Szabály tartalma",
+        "rsetting_desc": "Rövid leírás",
+        "rsetting_no_selection": "Kérjük, válasszon egy szabályt",
+        "rsetting_none": "Nincsenek elérhető szabályok",
+        "rsettings_insert_preset": "Példa előre beállított \"%s\" beillesztése",
+        "rsettings_preset_1": "Minden letiltása, kivéve a DKIM és az arányszám-korlátot a hitelesített felhasználók számára",
+        "rsettings_preset_2": "A Postmasterek spamet akarnak",
+        "rsettings_preset_3": "Csak bizonyos feladókat engedélyezzen egy postafiók számára (pl. csak belső postafiókként használva)",
+        "rsettings_preset_4": "Rspamd letiltása egy tartomány számára",
+        "rspamd_com_settings": "A beállítás neve automatikusan generálódik, kérjük, nézze meg a lenti példa-előrebeállításokat. További részletekért lásd a <a href=\"https://rspamd.com/doc/configuration/settings.html#settings-structure\" target=\"_blank\">Rspamd dokumentációját</a>",
+        "rspamd_global_filters": "Globális szűrőtérképek",
+        "rspamd_global_filters_agree": "Óvatos leszek!",
+        "rspamd_global_filters_info": "A globális szűrőtérképek különböző típusú globális tiltó- és engedélyezési listákat tartalmaznak.",
+        "rspamd_global_filters_regex": "A nevük elmagyarázza a céljukat. Minden tartalomnak érvényes reguláris kifejezést kell tartalmaznia \"/pattern/options\" formátumban (pl. <code>/.+@domain\\.tld/i</code>).<br>\r\n  Bár alapvető ellenőrzések történnek minden regex soron, az Rspamd funkcionalitása megszakadhat, ha nem sikerül helyesen értelmeznie a szintaxist.<br>\r\n  Az Rspamd megpróbálja elolvasni a térkép tartalmát, amikor az megváltozik. Ha problémákat tapasztal, <a href=\"\" data-toggle=\"modal\" data-container=\"rspamd-mailcow\" data-target=\"#RestartContainer\">indítsa újra az Rspamd-et</a>, hogy kikényszerítse a térkép újratöltését.<br>A tiltólistára került elemek ki vannak zárva a karanténból.",
+        "rspamd_settings_map": "Rspamd beállítási térkép",
+        "sal_level": "Moo szint",
+        "service": "Szolgáltatás",
+        "service_id": "Szolgáltatás azonosító",
+        "task": "Feladat",
+        "transport_maps": "Szállítási térképek",
+        "transport_test_rcpt_info": "&#8226; Használja a null@hosted.mailcow.de címet a külföldi célra történő továbbítás teszteléséhez.",
+        "transports_hint": "&#8226; Egy szállítási térkép bejegyzés <b>felülírja</b> a feladófüggő szállítási térképet</b>.<br>\r\n&#8226; Az MX-alapú szállítások előnyben részesítettek.<br>\r\n&#8226; A felhasználónkénti kimenő TLS-szabályzati beállítások figyelmen kívül hagyódnak, és csak a TLS-szabályzati térkép bejegyzései kényszeríthetik ki őket.<br>\r\n&#8226; A definiált szállításokhoz a szállítási szolgáltatás mindig \"smtp:\" és ezért megpróbálja a TLS-t, ha felajánlják. A becsomagolt TLS (SMTPS) nem támogatott.<br>\r\n&#8226; A \"/localhost$/\"-nek megfelelő címek mindig \"local:\"-on keresztül lesznek szállítva, ezért a \"*\" cél nem vonatkozik ezekre a címekre.<br>\r\n&#8226; A hitelesítő adatok meghatározásához egy példa következő ugráshoz \"[host]:25\", a Postfix <b>mindig</b> lekérdezi a \"host\"-ot, mielőtt a \"[host]:25\"-re keresne. Ez a viselkedés lehetetlenné teszi a \"host\" és a \"[host]:25\" egyidejű használatát.",
+        "ui_footer": "Lábléc (HTML engedélyezett)",
+        "ui_header_announcement": "Közlemények",
+        "ui_header_announcement_active": "Közlemény beállítása aktívra",
+        "ui_header_announcement_content": "Szöveg (HTML engedélyezett)",
+        "ui_header_announcement_help": "A közlemény minden bejelentkezett felhasználó számára látható, valamint a felhasználói felület bejelentkezési képernyőjén.",
+        "ui_header_announcement_select": "Válassza ki a közlemény típusát",
+        "ui_header_announcement_type": "Típus",
+        "ui_header_announcement_type_danger": "Nagyon fontos",
+        "ui_header_announcement_type_info": "Információ",
+        "ui_header_announcement_type_warning": "Fontos",
+        "ui_texts": "Felhasználói felület címkéi és szövegei",
+        "unban_pending": "tiltás feloldása függőben",
+        "unchanged_if_empty": "Ha nem változik, hagyja üresen",
+        "user_link": "Felhasználói-link",
+        "user_quicklink": "Gyorshivatkozás elrejtése a Felhasználói bejelentkezési oldalra",
+        "validate_license_now": "GUID érvényesítése a licenszszerverrel szemben",
+        "yes": "&#10003;",
+        "success": "Siker"
    },
    "edit": {
        "active": "Aktív",
        "advanced_settings": "Haladó beállítások",
        "alias": "Alias szerkesztése",
-        "allow_from_smtp": "Kizárólag ezen IP-címek használhatnak <b>SMTP</b>-t",
-        "allow_from_smtp_info": "Leave empty to allow all senders.<br>IPv4/IPv6 addresses and networks.",
+        "allow_from_smtp": "Kizárólag ezen IP címek használhatnak <b>SMTP</b>-t",
+        "allow_from_smtp_info": "Hagyja üresen minden feladó engedélyezéséhez.<br>IPv4/IPv6 címek és hálózatok.",
        "allowed_protocols": "Engedélyezett protokollok",
        "app_name": "Applikáció neve",
        "app_passwd": "Applikáció jelszava",
@@ -146,7 +312,127 @@
        "description": "Leírás",
        "domain_quota": "Domain kvóta",
        "domains": "Domainek",
-        "edit_alias_domain": "Alias domain szerkesztése"
+        "edit_alias_domain": "Alias domain szerkesztése",
+        "acl": "ACL (Engedélyek)",
+        "admin": "Adminisztrátor szerkesztése",
+        "app_passwd_protocols": "Engedélyezett protokollok az alkalmazás jelszavához",
+        "automap": "Próbálja automatikusan feltérképezni a mappákat (\"Elküldött elemek\", \"Elküldött\" => \"Elküldött\" stb.)",
+        "bcc_dest_format": "A BCC-célpontnak egyetlen érvényes e-mail címnek kell lennie.<br>Ha több címre kell másolatot küldenie, hozzon létre egy aliast, és használja azt itt.",
+        "comment_info": "A privát megjegyzés nem látható a felhasználó számára, míg a nyilvános megjegyzés tooltip-ként jelenik meg, amikor a felhasználó áttekintésében a megjegyzésre mutat.",
+        "created_on": "Létrehozva",
+        "custom_attributes": "Egyéni attribútumok",
+        "delete1": "Törlés a forrásból, ha befejeződött",
+        "delete2": "Üzenetek törlése a célállomáson, amelyek nincsenek a forráson",
+        "delete2duplicates": "Duplikáltak törlése a célállomáson",
+        "delete_ays": "Erősítse meg a törlési folyamatot.",
+        "disable_login": "Bejelentkezés letiltása (a bejövő leveleket továbbra is elfogadja)",
+        "domain": "Domain szerkesztése",
+        "domain_admin": "Domain adminisztrátor szerkesztése",
+        "domain_footer": "Tartományszintű lábléc",
+        "domain_footer_html": "HTML lábléc",
+        "domain_footer_info": "A tartományszintű lábléceket a tartományon belüli címmel társított összes kimenő e-mailhez hozzáadják. <br> A következő változók használhatók a lábléchez:",
+        "domain_footer_info_vars": {
+            "auth_user": "{= auth_user =}   - Hitelesített felhasználónév az MTA által megadott",
+            "from_user": "{= from_user =}   - A boríték feladójának felhasználói része, pl. a \"moo@mailcow.tld\" esetén \"moo\"-t ad vissza",
+            "from_name": "{= from_name =}   - A boríték feladójának neve, pl. a \"Mailcow &lt;moo@mailcow.tld&gt;\" esetén \"Mailcow\"-t ad vissza",
+            "from_addr": "{= from_addr =}   - A boríték feladójának címe",
+            "from_domain": "{= from_domain =} - A boríték feladójának tartománya",
+            "custom": "{= foo =}         - Ha a postafiók rendelkezik a \"foo\" egyéni attribútummal, amelynek értéke \"bar\", akkor \"bar\"-t ad vissza"
+        },
+        "domain_footer_plain": "Egyszerű szöveges lábléc",
+        "domain_footer_skip_replies": "Lábléc figyelmen kívül hagyása válasz e-maileknél",
+        "dont_check_sender_acl": "Küldő ellenőrzés letiltása a(z) %s tartományhoz (+ alias tartományok)",
+        "encryption": "Titkosítás",
+        "exclude": "Objektumok kizárása (regex)",
+        "extended_sender_acl": "Külső feladói címek",
+        "extended_sender_acl_info": "Importálni kell egy DKIM tartomány kulcsot, ha elérhető.<br>\r\n  Ne felejtse el hozzáadni ezt a szervert a megfelelő SPF TXT rekordhoz.<br>\r\n  Amikor egy tartományt vagy alias tartományt ad hozzá ehhez a szerverhez, amely átfedésben van egy külső címmel, a külső cím eltávolításra kerül.<br>\r\n  Használja a @domain.tld címet, hogy engedélyezze a küldést *@domain.tld néven.",
+        "force_pw_update": "Jelszófrissítés kényszerítése a következő bejelentkezéskor",
+        "force_pw_update_info": "Ez a felhasználó csak a(z) %s címre tud bejelentkezni. Az alkalmazás jelszavak használhatóak maradnak.",
+        "footer_exclude": "Kizárás a láblécből",
+        "full_name": "Teljes név",
+        "gal": "Globális címlista",
+        "gal_info": "A GAL tartalmazza a tartomány összes objektumát, és egyetlen felhasználó sem szerkesztheti. A Szabad/Foglalt információ a SOGo-ban hiányzik, ha le van tiltva! <b>Indítsa újra a SOGo-t a változások alkalmazásához.</b>",
+        "generate": "generál",
+        "grant_types": "Engedélyezési típusok",
+        "hostname": "Hosztnév",
+        "inactive": "Inaktív",
+        "kind": "Típus",
+        "last_modified": "Utoljára módosítva",
+        "lookup_mx": "A cél egy reguláris kifejezés, amely illeszkedik az MX névre (<code>.*\\.google\\.com</code>, hogy a google.com-ra végződő MX-en keresztül továbbítsa az összes levelet)",
+        "mailbox": "Postafiók szerkesztése",
+        "mailbox_quota_def": "Alapértelmezett postafiók kvóta",
+        "mailbox_relayhost_info": "A postafiókra és csak a közvetlen aliasokra vonatkozik, felülírja a tartományi továbbító hostot.",
+        "mailbox_rename": "Postafiók átnevezése",
+        "mailbox_rename_agree": "Készítettem biztonsági másolatot.",
+        "mailbox_rename_warning": "FONTOS! Hozzon létre biztonsági másolatot a postafiók átnevezése előtt.",
+        "mailbox_rename_alias": "Alias automatikus létrehozása",
+        "mailbox_rename_title": "Új helyi postafiók neve",
+        "max_aliases": "Max. aliasok",
+        "max_mailboxes": "Max. lehetséges postafiókok",
+        "max_quota": "Max. kvóta postafiókonként (MiB)",
+        "maxage": "Üzenetek maximális életkora napokban, amelyek lekérdezésre kerülnek a távolról<br><small>(0 = figyelmen kívül hagyás)</small>",
+        "maxbytespersecond": "Max. bájt/másodperc <br><small>(0 = korlátlan)</small>",
+        "mbox_rl_info": "Ez a sebességkorlátozás a SASL bejelentkezési névre vonatkozik, és illeszkedik minden, a bejelentkezett felhasználó által használt \"from\" címre. Egy postafiók sebességkorlátozása felülírja a tartományszintű sebességkorlátozást.",
+        "mins_interval": "Időköz (perc)",
+        "multiple_bookings": "Több foglalás",
+        "none_inherit": "Nincs / Örökölt",
+        "nexthop": "Következő ugrás",
+        "password": "Jelszó",
+        "password_recovery_email": "Jelszó-helyreállítási e-mail",
+        "password_repeat": "Megerősítő jelszó (ismétlés)",
+        "previous": "Előző oldal",
+        "private_comment": "Privát megjegyzés",
+        "public_comment": "Nyilvános megjegyzés",
+        "pushover": "Pushover",
+        "pushover_evaluate_x_prio": "Magas prioritású levelek továbbítása [<code>X-Priority: 1</code>]",
+        "pushover_info": "A push értesítési beállítások az összes tiszta (nem-spam) levélre vonatkoznak, amelyeket a <b>%s</b> címre kézbesítettek, beleértve az aliasokat is (megosztott, nem megosztott, címkézett).",
+        "pushover_only_x_prio": "Csak a magas prioritású leveleket vegye figyelembe [<code>X-Priority: 1</code>]",
+        "pushover_sender_array": "Csak a következő feladói e-mail címeket vegye figyelembe <small>(vesszővel elválasztva)</small>",
+        "pushover_sender_regex": "Feladók egyeztetése a következő regex-szel",
+        "pushover_text": "Értesítési szöveg",
+        "pushover_title": "Értesítési cím",
+        "pushover_sound": "Hang",
+        "pushover_vars": "Ha nincs feladói szűrő meghatározva, minden e-mail figyelembe vételre kerül.<br>A Regex szűrők, valamint a pontos feladói ellenőrzések egyénileg definiálhatók, és sorban lesznek figyelembe véve. Nem függenek egymástól.<br>Használható változók a szöveghez és a címhez (kérjük, vegye figyelembe az adatvédelmi szabályzatokat)",
+        "pushover_verify": "Hitelesítő adatok ellenőrzése",
+        "quota_mb": "Kvóta (MiB)",
+        "quota_warning_bcc": "Kvóta figyelmeztetés BCC",
+        "quota_warning_bcc_info": "A figyelmeztetések külön másolatként lesznek elküldve a következő címzetteknek. A tárgyat a megfelelő felhasználónévvel egészítik ki zárójelben, például: <code>Quota warning (user@example.com)</code>.",
+        "ratelimit": "Arányszám-korlát",
+        "redirect_uri": "Átirányítási/Visszahívási URL",
+        "relay_all": "Az összes címzett továbbítása",
+        "relay_all_info": "↪ Ha úgy döntesz, hogy <b>nem</b> továbbítod az összes címzettet, akkor minden egyes címzett számára, akit továbbítani kell, létre kell hoznod egy (\"vak\") postafiókot.",
+        "relay_domain": "Továbbítsa ezt a tartományt",
+        "relay_transport_info": "<div class=\"badge fs-6 bg-info\">Információ</div> Definiálhatsz szállítási térképeket ehhez a tartományhoz egyedi célállomásra. Ha nincs beállítva, egy MX lekérdezés történik.",
+        "relay_unknown_only": "Csak a nem létező postafiókok továbbítása. A létező postafiókok helyben lesznek kézbesítve.",
+        "relayhost": "Feladófüggő szállítások",
+        "remove": "Eltávolítás",
+        "resource": "Erőforrás",
+        "save": "Módosítások mentése",
+        "scope": "Hatókör",
+        "sender_acl": "Engedélyezés küldésre mint",
+        "sender_acl_disabled": "<span class=\"badge fs-6 bg-danger\">A küldő ellenőrzése le van tiltva</span>",
+        "sender_acl_info": "Ha az A postafiók felhasználója küldhet a B postafiók felhasználójaként, a feladói cím nem jelenik meg automatikusan választható \"from\" mezőként a SOGo-ban.<br>\r\n  A B postafiók felhasználójának delegálást kell létrehoznia a SOGo-ban, hogy az A postafiók felhasználója kiválaszthassa a címét feladóként. A SOGo-ban egy postafiók delegálásához használja a menüt (három pont) a postafiók neve jobb oldalán a bal felső sarokban, a levélnézetben. Ez a viselkedés nem vonatkozik az alias címekre.",
+        "sieve_desc": "Rövid leírás",
+        "sieve_type": "Szűrő típusa",
+        "skipcrossduplicates": "Átugrani a duplikált üzeneteket a mappák között (aki előbb jön, előbb kapja)",
+        "sogo_access": "Közvetlen továbbítás a SOGo-ra",
+        "sogo_access_info": "A bejelentkezés után a felhasználó automatikusan átirányításra kerül a SOGo-ra.",
+        "sogo_visible": "Alias látható a SOGo-ban",
+        "sogo_visible_info": "Ez az opció csak azokra az objektumokra vonatkozik, amelyek megjeleníthetők a SOGo-ban (megosztott vagy nem megosztott alias címek, amelyek legalább egy helyi postafiókra mutatnak). Ha el van rejtve, egy alias nem jelenik meg választható feladóként a SOGo-ban.",
+        "spam_alias": "Időkorlátos alias címek létrehozása vagy módosítása",
+        "spam_filter": "Spam szűrő",
+        "spam_policy": "Elemek hozzáadása vagy eltávolítása a tiltó- vagy engedélyezési listán",
+        "spam_score": "Egyéni spam pontszám beállítása",
+        "subfolder2": "Szinkronizálás a célállomáson egy almappába<br><small>(üres = ne használjon almappát)</small>",
+        "syncjob": "Szinkronizálási feladat szerkesztése",
+        "target_address": "Célcím(ek) <small>(vesszővel elválasztva)</small>",
+        "target_domain": "Cél domain",
+        "timeout1": "Időtúllépés a távoli állomáshoz való csatlakozáskor",
+        "timeout2": "Időtúllépés a helyi állomáshoz való csatlakozáskor",
+        "title": "Objektum szerkesztése",
+        "unchanged_if_empty": "Ha nem változik, hagyja üresen",
+        "username": "Felhasználónév",
+        "validate_save": "Érvényesítés és mentés"
    },
    "footer": {
        "cancel": "Mégse",
@@ -159,7 +445,9 @@
        "restart_container": "Konténer újraindítása",
        "restart_container_info": "<b>Fontos:</b> A teljes újraindulás eltarthat egy ideig, kérjük várjon, amíg befejeződik!",
        "restart_now": "Újraindítás most",
-        "restarting_container": "Konténer újraindítása. Ez eltarthat egy darabig."
+        "restarting_container": "Konténer újraindítása. Ez eltarthat egy darabig.",
+        "hibp_check": "Ellenőrzés a haveibeenpwned.com-on",
+        "nothing_selected": "Nincs semmi kiválasztva"
    },
    "header": {
        "administration": "Beállítások és részletek",
@@ -170,7 +458,8 @@
        "quarantine": "Karantén",
        "restart_netfilter": "Netfilter újraindítása",
        "restart_sogo": "SOGo újraindítása",
-        "user_settings": "Felhasználó beállításai"
+        "user_settings": "Felhasználó beállításai",
+        "mailcow_system": "Rendszer"
    },
    "info": {
        "awaiting_tfa_confirmation": "TFA megerősítésre várakozás",
@@ -182,7 +471,23 @@
        "login": "Bejelentkezés",
        "mobileconfig_info": "A kért Apple kapcsolat profil letöltéséhez jelentkezzen be, mint postafiók-felhasználó.",
        "password": "Jelszó",
-        "username": "Felhasználónév"
+        "username": "Felhasználónév",
+        "back_to_mailcow": "Vissza a mailcow-hoz",
+        "fido2_webauthn": "FIDO2/WebAuthn bejelentkezés",
+        "forgot_password": "> Elfelejtett jelszó?",
+        "invalid_pass_reset_token": "A jelszó-helyreállítási token érvénytelen vagy lejárt.<br>Kérjen új jelszó-helyreállítási linket.",
+        "login_linkstext": "Nem a megfelelő bejelentkezés?",
+        "login_usertext": "Bejelentkezés felhasználóként",
+        "login_domainadmintext": "Bejelentkezés domain adminisztrátorként",
+        "login_admintext": "Bejelentkezés adminisztrátorként",
+        "login_user": "Felhasználói bejelentkezés",
+        "login_dadmin": "Domain-adminisztrátori bejelentkezés",
+        "login_admin": "Adminisztrátori bejelentkezés",
+        "new_password": "Új jelszó",
+        "new_password_confirm": "Új jelszó megerősítése",
+        "other_logins": "vagy bejelentkezés",
+        "reset_password": "Jelszó visszaállítása",
+        "request_reset_password": "Jelszó módosítás kérése"
    },
    "mailbox": {
        "action": "Művelet",
@@ -200,10 +505,10 @@
        "add_resource": "Erőforrás hozzáadása",
        "add_tls_policy_map": "TLS irányelv-térkép hozzáadása",
        "address_rewriting": "Címátírás",
-        "alias": "Alias",
+        "alias": "Álnév",
        "alias_domain_backupmx": "Alias domain inaktív a továbbító domain részére",
-        "aliases": "Alias-ok",
-        "allow_from_smtp": "Kizárólag ezek az IP-címek használhatják az <b>SMTP</b>-t",
+        "aliases": "Álnevek",
+        "allow_from_smtp": "Kizárólag ezek az IP címek használhatják az <b>SMTP</b>-t",
        "allow_from_smtp_info": "Hagyja üresen minden feladó engedélyezéséhez.<br>IPv4/IPv6 címek és hálózatok.",
        "allowed_protocols": "Engedélyezett protokollok",
        "backup_mx": "Továbbító domain",
@@ -221,7 +526,7 @@
        "domain_admins": "Domain adminisztrátorok",
        "domain_aliases": "Domain alias-ok",
        "domain_quota": "Kvóta",
-        "domains": "Domain-ek",
+        "domains": "Domainek",
        "edit": "Szerkesztés",
        "empty": "Nincs találat",
        "enable_x": "Engedélyezés",
@@ -277,7 +582,87 @@
        "toggle_all": "Összes átváltása",
        "username": "Felhasználónév",
        "waiting": "Várakozás",
-        "weekly": "Hetente"
+        "weekly": "Hetente",
+        "add_alias_expand": "Alias kiterjesztése alias tartományokra",
+        "alias_domain_alias_hint": "Az aliasok <b>nem</b> vonatkoznak automatikusan a domain aliasokra. Egy <code>my-alias@domain</code> alias cím <b>nem</b> fedezi a <code>my-alias@alias-domain</code> címet (ahol az \"alias-domain\" a \"domain\" képzeletbeli alias tartománya).<br>Kérjük, használjon sieve szűrőt a levél külső postafiókba történő átirányításához (lásd a \"Szűrők\" fület vagy a SOGo -> Továbbító). Használja az \"Alias kiterjesztése alias tartományokra\" opciót a hiányzó aliasok automatikus hozzáadásához.",
+        "all_domains": "Minden tartomány",
+        "bcc_info": "A BCC térképek arra szolgálnak, hogy csendesen továbbítsák az összes üzenet másolatát egy másik címre. A címzett térkép típust akkor használják, ha a helyi célpont egy levél címzettjeként működik. A feladói térképek ugyanazon elv szerint működnek.<br/>\r\n  A helyi célpontot nem értesítik a sikertelen kézbesítésről.",
+        "bcc_map_type": "BCC típus",
+        "bcc_maps": "BCC térképek",
+        "bcc_rcpt_map": "Címzett térkép",
+        "bcc_sender_map": "Feladó térkép",
+        "bcc_to_rcpt": "Váltás címzett térkép típusra",
+        "bcc_to_sender": "Váltás feladó térkép típusra",
+        "bcc_type": "BCC típus",
+        "booking_null": "Mindig szabadként mutat",
+        "booking_0_short": "Mindig szabad",
+        "booking_custom": "Kemény korlát a foglalások egyéni számára",
+        "booking_custom_short": "Kemény korlát",
+        "booking_ltnull": "Korlátlan, de foglaltnak mutatja magát, ha le van foglalva",
+        "booking_lt0_short": "Lágy korlát",
+        "catch_all": "Catch-All",
+        "created_on": "Létrehozva",
+        "dkim_domains_selector": "Válogató",
+        "dkim_key_length": "DKIM kulcs hossza (bit)",
+        "domain_templates": "Domain sablonok",
+        "domain_quota_total": "Teljes domain kvóta",
+        "gal": "Globális címlista",
+        "goto_ham": "Tanulás <b>ham</b>-ként",
+        "goto_spam": "Tanulás <b>spam</b>-ként",
+        "iam": "Azonosítási szolgáltató",
+        "last_modified": "Utoljára módosítva",
+        "last_pw_change": "Utolsó jelszócsere",
+        "mailbox_defaults": "Alapértelmezett beállítások",
+        "mailbox_defaults_info": "Alapértelmezett beállítások meghatározása az új postafiókokhoz.",
+        "mailbox_templates": "Postafiók sablonok",
+        "max_aliases": "Max. aliasok",
+        "max_mailboxes": "Max. lehetséges postafiókok",
+        "max_quota": "Max. kvóta postafiókonként",
+        "no": "&#10005;",
+        "open_logs": "Naplók megnyitása",
+        "q_add_header": "amikor a levélszemét mappába kerül",
+        "q_all": " amikor a levélszemét mappába kerül és elutasításkor",
+        "q_reject": "elutasításkor",
+        "quarantine_category": "Karantén értesítési kategória",
+        "recipient": "Címzett",
+        "recipient_map_info": "A címzett térképeket arra használják, hogy egy üzenet célcímét kicseréljék, mielőtt azt kézbesítenék.",
+        "recipient_map_new_info": "A címzett térkép célja érvényes e-mail címnek vagy tartománynévnek kell lennie.",
+        "recipient_map_old_info": "Egy címzett térkép eredeti céljának érvényes e-mail címnek vagy tartománynévnek kell lennie.",
+        "relay_all": "Az összes címzett továbbítása",
+        "relay_unknown": "Ismeretlen postafiókok továbbítása",
+        "sender": "Feladó",
+        "set_postfilter": "Megjelölés poszt-szűrőként",
+        "set_prefilter": "Megjelölés pre-szűrőként",
+        "sieve_info": "Több szűrőt is tárolhatsz felhasználónként, de egyszerre csak egy pre-szűrő és egy poszt-szűrő lehet aktív.<br>\r\nMinden szűrő a leírt sorrendben lesz feldolgozva. Sem a sikertelen szkript, sem a kiadott \"keep;\" parancs nem állítja le a további szkriptek feldolgozását. A globális sieve szkriptek változásai a Dovecot újraindítását váltják ki.<br><br>Globális sieve pre-szűrő &#8226; Pre-szűrő &#8226; Felhasználói szkriptek &#8226; Poszt-szűrő &#8226; Globális sieve poszt-szűrő",
+        "sieve_preset_1": "Levél eldobása valószínűleg veszélyes fájltípusokkal",
+        "sieve_preset_2": "Egy adott feladó e-mailjét mindig olvasottként jelölje meg",
+        "sieve_preset_3": "Csendesen elvetni, leállítani minden további sieve feldolgozást",
+        "sieve_preset_4": "Fájl az INBOX-ba, kihagyni a további feldolgozást a sieve szűrőkkel",
+        "sieve_preset_5": "Auto válaszadó (szabadság)",
+        "sieve_preset_6": "Levél elutasítása válasszal",
+        "sieve_preset_7": "Átirányítás és megtartás/eldobás",
+        "sieve_preset_8": "E-mail átirányítása egy adott feladótól, olvasottként jelölés és almappába rendezés",
+        "sieve_preset_header": "Kérjük, nézze meg az alábbi példa-előrebeállításokat. További részletekért lásd a <a href=\"https://en.wikipedia.org/wiki/Sieve_(mail_filtering_language)\" target=\"_blank\">Wikipedia</a>-t.",
+        "sogo_visible": "Alias látható a SOGo-ban",
+        "sogo_visible_n": "Alias elrejtése a SOGo-ban",
+        "sogo_visible_y": "Alias megjelenítése a SOGo-ban",
+        "syncjob_check_log": "Napló ellenőrzése",
+        "syncjob_last_run_result": "Utolsó futás eredménye",
+        "syncjob_EX_OK": "Siker",
+        "syncjob_EXIT_CONNECTION_FAILURE": "Kapcsolati probléma",
+        "syncjob_EXIT_TLS_FAILURE": "Probléma a titkosított kapcsolattal",
+        "syncjob_EXIT_AUTHENTICATION_FAILURE": "Hitelesítési probléma",
+        "syncjob_EXIT_OVERQUOTA": "A cél postafiók túllépte a kvótát",
+        "syncjob_EXIT_CONNECTION_FAILURE_HOST1": "Nem lehet csatlakozni a távoli szerverhez",
+        "syncjob_EXIT_AUTHENTICATION_FAILURE_USER1": "Hibás felhasználónév vagy jelszó",
+        "templates": "Sablonok",
+        "template": "Sablon",
+        "tls_map_policy": "Irányelv",
+        "tls_policy_maps": "TLS irányelv térképek",
+        "tls_policy_maps_enforced_tls": "Ezek az irányelvek felülírják a kimenő TLS szállítási szabályokat függetlenül a felhasználó TLS irányelvi beállításaitól. Ha nincs alább egyetlen irányelv sem, ezek a felhasználók az alapértelmezett értékeket alkalmazzák, amelyeket a <code>smtp_tls_mandatory_protocols</code> és a <code>smtp_tls_mandatory_ciphers</code> határoz meg.",
+        "tls_policy_maps_info": "Ez az irányelv térkép felülírja a kimenő TLS szállítási szabályokat függetlenül a felhasználó TLS irányelvi beállításaitól.<br>\r\n  Kérjük, ellenőrizze a <a href=\"http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps\" target=\"_blank\">\"smtp_tls_policy_maps\" dokumentációját</a> további információkért.",
+        "tls_policy_maps_long": "Kimenő TLS irányelv térkép felülírások",
+        "yes": "&#10003;"
    },
    "oauth2": {
        "access_denied": "Kérjük jelentkezzen be postafiók felhasználójával az OAuth2 használatához.",
@@ -301,7 +686,7 @@
        "medium_danger": "Közepes veszély",
        "neutral_danger": "Semleges",
        "notified": "Értesítve",
-        "qinfo": "A karantén-rendszer elmenti a visszautasított leveleket az adatbázisba, miközben a feladónak nem lesz az a benyomása, hogy a levelet kézbesítették.\r\n  <br>\"Spamnek jelölés és törlés\" spam-ként jegyzi meg az üzenetet a Bayes-tétel segítségével, illetve fuzzy hash-eket számít, hogy hasonló üzenetek is spam-be kerüljenek a jövőben.\r\n  <br>Több üzenet spamként való megjegyzése időigényes lehet.<br>Feketelistára vett levelek nem kerülnek karanténba.",
+        "qinfo": "A karantén-rendszer elmenti a visszautasított leveleket az adatbázisba, miközben a feladónak nem lesz az a benyomása, hogy a levelet kézbesítették.\r\n  <br>\"Spamnek jelölés és törlés\" spam-ként jegyzi meg az üzenetet a Bayes-tétel segítségével, illetve fuzzy hash-eket számít, hogy hasonló üzenetek is spam-be kerüljenek a jövőben.\r\n  <br>Több üzenet spamként való megjegyzése időigényes lehet.<br>Tiltólistára vett levelek nem kerülnek karanténba.",
        "qitem": "Tétel",
        "quarantine": "Karantén",
        "quick_actions": "Műveletek",
@@ -324,10 +709,38 @@
        "table_size_show_n": "%s tétel mutatása",
        "text_from_html_content": "Tartalom (konvertált html)",
        "text_plain_content": "Tartalom (sima szöveg)",
-        "toggle_all": "Összes átkapcsolása"
+        "toggle_all": "Összes átkapcsolása",
+        "check_hash": "Fájl hash keresése @ VT",
+        "confirm": "Megerősítés",
+        "deliver_inbox": "Kézbesítés a beérkező mappába",
+        "disabled_by_config": "A jelenlegi rendszerkonfiguráció letiltja a karantén funkcionalitást. Kérjük, állítsa be a \"megőrzéseket postafiókonként\" és a \"maximális méretet\" a karantén elemek számára.",
+        "info": "Információ",
+        "junk_folder": "Levélszemét mappa",
+        "qhandler_success": "A kérés sikeresen elküldve a rendszernek. Most már bezárhatja az ablakot.",
+        "qid": "Rspamd QID",
+        "rejected": "Elutasítva",
+        "release_body": "A levelét eml fájlként csatoltuk ehhez az üzenethez.",
+        "rewrite_subject": "Tárgy átírása",
+        "settings_info": "A karanténba helyezhető elemek maximális száma: %s<br>Maximális e-mail méret: %s MiB",
+        "spam": "Spam",
+        "quick_info_link": "Információs link megnyitása",
+        "type": "Típus"
    },
    "queue": {
-        "queue_manager": "Queue Manager"
+        "queue_manager": "Queue Manager",
+        "delete": "Összes törlése",
+        "flush": "Üzenetsor ürítése",
+        "info": "A levelezési üzenetsor tartalmazza az összes kézbesítésre váró e-mailt. Ha egy e-mail hosszú ideig ragad az üzenetsorban, a rendszer automatikusan törli.<br>A megfelelő levél hibaüzenete tájékoztatást ad arról, miért nem lehetett a levelet kézbesíteni.",
+        "legend": "A levelezési üzenetsor műveleti funkciói:",
+        "ays": "Kérjük, erősítse meg, hogy törölni szeretné az összes elemet az aktuális üzenetsorból.",
+        "deliver_mail": "Kézbesítés",
+        "deliver_mail_legend": "Megpróbálja újra kézbesíteni a kiválasztott leveleket.",
+        "hold_mail": "Visszatartás",
+        "hold_mail_legend": "Visszatartja a kiválasztott leveleket. (Megakadályozza a további kézbesítési kísérleteket)",
+        "show_message": "Üzenet megjelenítése",
+        "unban": "üzenetsor tiltás feloldása",
+        "unhold_mail": "Visszatartás feloldása",
+        "unhold_mail_legend": "Kiadja a kiválasztott leveleket a kézbesítéshez. (Előzetes visszatartás szükséges)"
    },
    "start": {
        "help": "Súgó panel megjelenítése/elrejtése",
@@ -380,7 +793,49 @@
        "resource_modified": "Postafiók %s módosításai mentve",
        "resource_removed": "Erőforrás %s eltávolítva",
        "saved_settings": "Beállítások mentve",
-        "upload_success": "File sikeresen feltöltve"
+        "upload_success": "File sikeresen feltöltve",
+        "acl_saved": "Az ACL a(z) %s objektumhoz mentve",
+        "bcc_deleted": "BCC térkép bejegyzések törölve: %s",
+        "bcc_edited": "BCC térkép bejegyzés %s szerkesztve",
+        "bcc_saved": "BCC térkép bejegyzés mentve",
+        "cors_headers_edited": "A CORS beállítások mentve",
+        "custom_login_modified": "A bejelentkezési testreszabás sikeresen mentve",
+        "domain_add_dkim_available": "Egy DKIM kulcs már létezett",
+        "dkim_duplicated": "A DKIM kulcs a(z) %s tartományhoz sikeresen átmásolva a(z) %s tartományba",
+        "domain_footer_modified": "A(z) %s tartományi lábléc módosításai mentve",
+        "f2b_banlist_refreshed": "A tiltólista azonosítója sikeresen frissítve.",
+        "f2b_modified": "A Fail2ban paraméterek módosításai mentve",
+        "forwarding_host_added": "A továbbító állomás %s hozzáadva",
+        "forwarding_host_removed": "A továbbító állomás %s eltávolítva",
+        "iam_test_connection": "Kapcsolat sikeres",
+        "ip_check_opt_in_modified": "Az IP ellenőrzés sikeresen mentve",
+        "nginx_reloaded": "Az Nginx újra lett töltve",
+        "password_policy_saved": "A jelszó házirend sikeresen mentve",
+        "password_changed_success": "A jelszó sikeresen megváltoztatva",
+        "pushover_settings_edited": "A Pushover beállítások sikeresen elmentve, kérjük, ellenőrizze a hitelesítő adatokat.",
+        "queue_command_success": "A sor parancs sikeresen befejeződött",
+        "recipient_map_entry_deleted": "A címzett térkép ID %s törölve",
+        "recipient_map_entry_saved": "A címzett térkép bejegyzés \"%s\" mentve",
+        "recovery_email_sent": "Helyreállítási e-mail elküldve a(z) %s címre",
+        "relayhost_added": "A térkép bejegyzés %s hozzáadva",
+        "relayhost_removed": "A térkép bejegyzés %s eltávolítva",
+        "reset_main_logo": "Visszaállítás alapértelmezett logóra",
+        "rl_saved": "Arányszám-korlát a(z) %s objektumhoz mentve",
+        "rspamd_ui_pw_set": "Rspamd UI jelszó sikeresen beállítva",
+        "settings_map_added": "Hozzáadott beállítási térkép bejegyzés",
+        "settings_map_removed": "Eltávolított beállítási térkép ID %s",
+        "sogo_profile_reset": "A SOGo profil a(z) %s felhasználóhoz visszaállítva",
+        "template_added": "Hozzáadott sablon %s",
+        "template_modified": "A(z) %s sablon módosításai mentve",
+        "template_removed": "A sablon ID %s törölve",
+        "tls_policy_map_entry_deleted": "TLS irányelv térkép ID %s törölve",
+        "tls_policy_map_entry_saved": "TLS irányelv térkép bejegyzés \"%s\" mentve",
+        "ui_texts": "A felhasználói felület szövegeinek módosításai mentve",
+        "verified_fido2_login": "FIDO2 bejelentkezés ellenőrizve",
+        "verified_totp_login": "TOTP bejelentkezés ellenőrizve",
+        "verified_webauthn_login": "WebAuthn bejelentkezés ellenőrizve",
+        "verified_yotp_login": "Yubico OTP bejelentkezés ellenőrizve",
+        "mailbox_renamed": "A postafiók átnevezve %s-ről %s-re"
    },
    "user": {
        "action": "Művelet",
@@ -449,15 +904,14 @@
        "spam_score_reset": "Szerver szerinti alapértelmezésre visszaállítás",
        "spamfilter": "Spam szűrő",
        "spamfilter_behavior": "Osztályozás",
-        "spamfilter_bl": "Feketelista",
-        "spamfilter_bl_desc": "A feketelistán szereplő email címek mindig spam-ként lesznek kezelve és vissza lesznek utasítva.  Joker karakter használható. A szűrő csak közvetlen aliasokra vonatkozik (alias egyetlen cél-postafiókkal), magára a postafiókra, illetve mindent elkapó aliasokra nem.",
+        "spamfilter_bl": "Tiltólista",
+        "spamfilter_bl_desc": "A tiltólistán szereplő email címek mindig spam-ként lesznek kezelve és vissza lesznek utasítva.  Joker karakter használható. A szűrő csak közvetlen aliasokra vonatkozik (alias egyetlen cél-postafiókkal), magára a postafiókra, illetve mindent elkapó aliasokra nem.",
        "spamfilter_default_score": "Alapértelmezett értékek",
        "spamfilter_green": "Zöld: ez az üzenet nem spam",
        "spamfilter_hint": "Az első érték az alacsony spam pontszámot, a második a magas spam pontszámot jelöli.",
        "spamfilter_red": "Vörös: Ez az üzenet spam, a szerver el fogja vetni.",
        "spamfilter_table_action": "Művelet",
        "spamfilter_table_add": "Tétel hozzáadása",
-        "spamfilter_table_empty": "Nincs megjeleníthető adat",
        "spamfilter_table_remove": "eltávolítás",
        "spamfilter_table_rule": "Szabály",
        "spamfilter_wl": "Engedélyezőlista",
@@ -482,15 +936,88 @@
        "waiting": "Várakozás",
        "week": "hét",
        "weekly": "heti",
-        "weeks": "hét"
+        "weeks": "hét",
+        "aliases_also_send_as": "Küldhet még mint felhasználó",
+        "aliases_send_as_all": "Ne ellenőrizze a küldő hozzáférését a következő tartomány(ok) és annak alias tartományai számára",
+        "app_hint": "Az alkalmazás jelszavak alternatív jelszavak az IMAP, SMTP, CalDAV, CardDAV és EAS bejelentkezéshez. A felhasználónév változatlan marad. A SOGo webmail nem érhető el az alkalmazás jelszavakon keresztül.",
+        "allowed_protocols": "Engedélyezett protokollok",
+        "apple_connection_profile_complete": "Ez a kapcsolati profil tartalmazza az IMAP és SMTP paramétereket, valamint a CalDAV (naptárak) és CardDAV (névjegyek) útvonalakat egy Apple eszközhöz.",
+        "apple_connection_profile_mailonly": "Ez a kapcsolati profil csak IMAP és SMTP konfigurációs paramétereket tartalmaz egy Apple eszközhöz.",
+        "apple_connection_profile_with_app_password": "Új alkalmazás jelszó generálódik és hozzáadódik a profilhoz, így nem kell jelszót megadni az eszköz beállításakor. Kérjük, ne ossza meg a fájlt, mivel teljes hozzáférést biztosít a postafiókjához.",
+        "attribute": "Attribútum",
+        "authentication": "Hitelesítés",
+        "change_password_hint_app_passwords": "Fiókodnak %d alkalmazás jelszava van, amelyek nem lesznek megváltoztatva. Ezek kezeléséhez menj az Alkalmazás jelszavak fülre.",
+        "clear_recent_successful_connections": "Sikeres kapcsolatok törlése",
+        "created_on": "Létrehozva",
+        "direct_aliases_desc": "A közvetlen alias címeket érintik a spam szűrő és a TLS irányelv beállításai.",
+        "direct_protocol_access": "Ennek a postafiók felhasználónak <b>közvetlen, külső hozzáférése</b> van a következő protokollokhoz és alkalmazásokhoz. Ezt a beállítást az adminisztrátor vezérli. Az alkalmazás jelszavak létrehozhatók, hogy hozzáférést biztosítsanak az egyedi protokollokhoz és alkalmazásokhoz.<br>A \"Webmail\" gomb egységes bejelentkezést biztosít a SOGo-ra, és mindig elérhető.",
+        "eas_reset_help": "Sok esetben a eszköz gyorsítótárának visszaállítása segít egy sérült ActiveSync profil helyreállításában.<br><b>Figyelem:</b> Minden elem újra letöltődik!",
+        "empty": "Nincs eredmény",
+        "from": "feladó",
+        "is_catch_all": "Catch-all a tartomány(ok)hoz",
+        "last_pw_change": "Utolsó jelszócsere",
+        "last_ui_login": "Utolsó UI bejelentkezés",
+        "login_history": "Bejelentkezési előzmények",
+        "mailbox": "Postafiók",
+        "mailbox_general": "Általános",
+        "mailbox_settings": "Beállítások",
+        "month": "hónap",
+        "months": "hónap",
+        "open_logs": "Naplók megnyitása",
+        "open_webmail_sso": "Webmail",
+        "overview": "Áttekintés",
+        "password_reset_info": "Ha nincs megadva e-mail a jelszó-helyreállításhoz, ez a funkció nem használható.",
+        "protocols": "Protokollok",
+        "pushover_evaluate_x_prio": "Magas prioritású levelek továbbítása [<code>X-Priority: 1</code>]",
+        "pushover_info": "A push értesítési beállítások az összes tiszta (nem-spam) levélre vonatkoznak, amelyeket a <b>%s</b> címre kézbesítettek, beleértve az aliasokat is (megosztott, nem megosztott, címkézett).",
+        "pushover_only_x_prio": "Csak a magas prioritású leveleket vegye figyelembe [<code>X-Priority: 1</code>]",
+        "pushover_sender_array": "A következő feladói e-mail címek figyelembe vétele <small>(vesszővel elválasztva)</small>",
+        "pushover_sender_regex": "Feladók egyeztetése a következő regex-szel",
+        "pushover_text": "Értesítési szöveg",
+        "pushover_title": "Értesítési cím",
+        "pushover_sound": "Hang",
+        "pushover_vars": "Ha nincs feladói szűrő meghatározva, minden e-mail figyelembe vételre kerül.<br>A Regex szűrők, valamint a pontos feladói ellenőrzések egyénileg definiálhatók, és sorban lesznek figyelembe véve. Nem függenek egymástól.<br>Használható változók a szöveghez és a címhez (kérjük, vegye figyelembe az adatvédelmi szabályzatokat)",
+        "pushover_verify": "Hitelesítő adatok ellenőrzése",
+        "pw_recovery_email": "Jelszó-helyreállítási e-mail",
+        "q_add_header": "Levélszemét mappa",
+        "q_all": "Összes kategória",
+        "q_reject": "Elutasítva",
+        "quarantine_category": "Karantén értesítési kategória",
+        "quarantine_category_info": "Az \"Elutasítva\" értesítési kategória magában foglalja azokat a leveleket, amelyeket elutasítottak, míg a \"Levélszemét mappa\" értesíti a felhasználót a levélszemét mappába helyezett levelekről.",
+        "recent_successful_connections": "Látott sikeres kapcsolatok",
+        "shared_aliases_desc": "A megosztott aliasokat nem érintik a felhasználóspecifikus beállítások, mint a spam szűrő vagy a titkosítási szabályzat. A megfelelő spam szűrőket csak egy adminisztrátor hozhatja létre tartományszintű szabályzatként.",
+        "sogo_profile_reset": "SOGo profil visszaállítása",
+        "sogo_profile_reset_help": "Ez tönkreteszi a felhasználó SOGo profilját, és <b>visszavonhatatlanul törli az összes névjegy- és naptáradatot</b>.",
+        "sogo_profile_reset_now": "Profil visszaállítása most",
+        "spamfilter_table_domain_policy": "n/a (tartományi szabályzat)",
+        "syncjob_check_log": "Napló ellenőrzése",
+        "syncjob_last_run_result": "Utolsó futás eredménye",
+        "syncjob_EX_OK": "Siker",
+        "syncjob_EXIT_CONNECTION_FAILURE": "Kapcsolati probléma",
+        "syncjob_EXIT_TLS_FAILURE": "Probléma a titkosított kapcsolattal",
+        "syncjob_EXIT_AUTHENTICATION_FAILURE": "Hitelesítési probléma",
+        "syncjob_EXIT_OVERQUOTA": "A cél postafiók túllépte a kvótát",
+        "syncjob_EXIT_CONNECTION_FAILURE_HOST1": "Nem lehet csatlakozni a távoli szerverhez",
+        "syncjob_EXIT_AUTHENTICATION_FAILURE_USER1": "Hibás felhasználónév vagy jelszó",
+        "tfa_info": "A kétlépcsős hitelesítés segít megvédeni a fiókodat. Ha engedélyezed, alkalmazás jelszavakra lesz szükséged, hogy bejelentkezz olyan alkalmazásokba vagy szolgáltatásokba, amelyek nem támogatják a kétlépcsős hitelesítést (pl. levelező kliensek).",
+        "tls_policy_warning": "<strong>Figyelem:</strong> Ha titkosított levélátvitelt kényszerítesz ki, elveszíthetsz e-maileket.<br>Azok az üzenetek, amelyek nem felelnek meg a szabályzatnak, kemény hibával visszapattannak a levelezőrendszerből.<br>Ez az opció a fő e-mail címedre (bejelentkezési név), az alias tartományokból származó összes címre, valamint az alias címekre vonatkozik, amelyeknek <b>csak ez az egy postafiók</b> a célja.",
+        "value": "Érték",
+        "with_app_password": "alkalmazás jelszóval",
+        "year": "év",
+        "years": "év"
    },
    "warning": {
        "cannot_delete_self": "Bejelentkezett felhasználó nem törölhető.",
-        "ip_invalid": "Érvénytelen IP-cím átugorva: %s",
+        "ip_invalid": "Érvénytelen IP cím átugorva: %s",
        "no_active_admin": "Utolsó aktív admin felhasználó nem deaktiválható.",
        "quota_exceeded_scope": "Domain kvóta átlépve: csak korlátok nélküli postafiókok hozhatók létre ebben a domain-ben.",
-        "session_token": "Űrlap-token érvénytelen: Tokenek nem egyeznek",
-        "session_ua": "Űrlap-token érvénytelen: User-Agent hitelesítési probléma"
+        "session_token": "Űrlaptoken érvénytelen: Tokenek nem egyeznek",
+        "session_ua": "Űrlaptoken érvénytelen: User-Agent hitelesítési probléma",
+        "domain_added_sogo_failed": "A tartomány hozzáadva, de a SOGo újraindítása sikertelen, kérjük, ellenőrizze a szerver naplókat.",
+        "dovecot_restart_failed": "A Dovecot újraindítása sikertelen, kérjük, ellenőrizze a naplókat",
+        "fuzzy_learn_error": "Fuzzy hash tanulási hiba: %s",
+        "hash_not_found": "A hash nem található vagy már törölve lett",
+        "is_not_primary_alias": "Nem elsődleges alias %s kihagyva"
    },
    "acl": {
        "delimiter_action": "Elhatárolás",
@@ -516,15 +1043,24 @@
        "smtp_ip_access": "Az SMTP engedélyezett állomásainak módosítása",
        "sogo_profile_reset": "SOGo profil visszaállítása",
        "spam_alias": "Ideiglenes álnevek",
-        "spam_policy": "Fekete/Fehér lista",
+        "spam_policy": "Tiltó/engedélyezési lista",
        "spam_score": "Spam pontszám",
        "syncjobs": "Szinkronizálási feladatok",
        "tls_policy": "TLS szabályzat",
        "unlimited_quota": "Korlátlan kvóta a postafiókok számára",
-        "sogo_access": "A SOGo-hozzáférés kezelésének lehetővé tétele"
+        "sogo_access": "A SOGo-hozzáférés kezelésének lehetővé tétele",
+        "pw_reset": "Lehetővé teszi a mailcow felhasználói jelszavak visszaállítását"
    },
    "diagnostics": {
-        "dns_records": "DNS bejegyzések"
+        "dns_records": "DNS bejegyzések",
+        "cname_from_a": "Az A/AAAA rekordból származó érték. Ez addig támogatott, amíg a rekord a megfelelő erőforrásra mutat.",
+        "dns_records_24hours": "Kérjük, vegye figyelembe, hogy a DNS-ben végrehajtott változtatások akár 24 órát is igénybe vehetnek, amíg a jelenlegi állapotuk helyesen megjelenik ezen az oldalon. Ez a célja, hogy könnyen láthassa, hogyan kell konfigurálnia a DNS rekordokat, és ellenőrizze, hogy az összes rekordja helyesen van-e tárolva a DNS-ben.",
+        "dns_records_data": "Helyes adatok",
+        "dns_records_docs": "Kérjük, konzultáljon a <a target=\"_blank\" href=\"https://docs.mailcow.email/getstarted/prerequisite-dns\">dokumentációval</a> is.",
+        "dns_records_name": "Név",
+        "dns_records_status": "Jelenlegi állapot",
+        "dns_records_type": "Típus",
+        "optional": "Ez a rekord opcionális."
    },
    "add": {
        "username": "Felhasználónév",
@@ -588,6 +1124,22 @@
        "alias_domain": "Alias domain",
        "alias_domain_info": "<small>Csak érvényes tartománynevek (vesszővel elválasztva).</small>",
        "app_name": "Alkalmazás neve",
-        "app_passwd_protocols": "Engedélyezett protokollok az alkalmazás jelszavához"
+        "app_passwd_protocols": "Engedélyezett protokollok az alkalmazás jelszavához",
+        "automap": "Próbálja automatikusan feltérképezni a mappákat (\"Elküldött elemek\", \"Elküldött\" => \"Elküldött\" stb.)",
+        "multiple_bookings": "Több foglalás",
+        "quota_mb": "Kvóta (MiB)",
+        "relay_all": "Az összes címzett továbbítása",
+        "relay_all_info": "↪ Ha úgy döntesz, hogy <b>nem</b> továbbítod az összes címzettet, akkor minden egyes címzett számára, akit továbbítani kell, létre kell hoznod egy (\"vak\") postafiókot.",
+        "relay_domain": "Továbbítsa ezt a tartományt",
+        "relay_transport_info": "<div class=\"badge fs-6 bg-info\">Információ</div> Definiálhatsz szállítási térképeket ehhez a tartományhoz egyedi célállomásra. Ha nincs beállítva, egy MX lekérdezés történik.",
+        "relay_unknown_only": "Csak a nem létező postafiókok továbbítása. A létező postafiókok helyben lesznek kézbesítve.",
+        "relayhost_wrapped_tls_info": "Kérjük, <b>ne</b> használjon TLS-be csomagolt portokat (többnyire a 465-ös porton használatosak).<br>\r\nHasználjon bármilyen nem csomagolt portot és adjon ki STARTTLS-t. A TLS kikényszerítésére egy TLS irányelv hozható létre a \"TLS irányelv térképek\" alatt.",
+        "select": "Kérjük, válasszon...",
+        "select_domain": "Kérjük, először válasszon egy domaint",
+        "sieve_desc": "Rövid leírás",
+        "sieve_type": "Szűrő típusa",
+        "skipcrossduplicates": "Duplikált üzenetek átugrása mappák között (érkezési sorrendben)",
+        "subscribeall": "Feliratkozás minden mappára",
+        "syncjob": "Szinkronizálási feladat hozzáadása"
    }
 }
--- a/data/web/lang/lang.ja-jp.json
+++ b/data/web/lang/lang.ja-jp.json
@@ -1187,6 +1187,7 @@
        "created_on": "作成日",
        "daily": "毎日",
        "day": "日",
+        "description": "説明",
        "delete_ays": "削除プロセスを確認してください。",
        "direct_aliases": "直接エイリアスアドレス",
        "direct_aliases_desc": "直接エイリアスアドレスは、スパムフィルターおよびTLSポリシー設定の影響を受けます。",
@@ -1201,7 +1202,9 @@
        "encryption": "暗号化",
        "excludes": "除外",
        "expire_in": "有効期限まで",
+        "expire_never": "有効期限なし",
        "fido2_webauthn": "FIDO2/WebAuthn",
+        "forever": "有効期限なし",
        "force_pw_update": "グループウェア関連サービスにアクセスするには、新しいパスワードを<b>必ず</b>設定する必要があります。",
        "from": "送信元",
        "generate": "生成",
--- a/data/web/lang/lang.lv-lv.json
+++ b/data/web/lang/lang.lv-lv.json
@@ -39,16 +39,16 @@
        "alias_domain_info": "<small>Tikai derīgi domēna vārdi (komatu atdalīti).</small>",
        "automap": "Mēģiniet automatizēt mapes (\"Nosūtītie vienumi\", \"Nosūtītie\" => \"Nosūtītie\" etc.)",
        "backup_mx_options": "Dublējuma MX iespējas",
-        "delete1": "Dzēst no avota, kad tas ir pabeigts",
+        "delete1": "Izdzēst no avota pēc pabeigšanas",
        "delete2": "Dzēsiet ziņojumus galamērķī, kas nav avotā",
-        "delete2duplicates": "Dzēst dublikātus galamērķī",
+        "delete2duplicates": "Izdzēst atkārtojošos vienumus galamērķī",
        "description": "Apraksts",
        "domain": "Domēns",
        "domain_quota_m": "Kopējā domēna kvota (MiB)",
        "enc_method": "Šifrēšanas metode",
        "exclude": "Izslēgt objektus (regex)",
        "full_name": "Pilns vārds",
-        "goto_null": "Klusām dzēst pastu",
+        "goto_null": "Klusām atmest pastu",
        "hostname": "Saimniekdators",
        "kind": "Veids",
        "mailbox_quota_m": "Maks. kvota pastkastei (MiB)",
@@ -77,12 +77,13 @@
        "target_domain": "Mērķa domēns",
        "username": "Lietotājvārds",
        "validate": "Apstiprināt",
-        "validation_success": "Apstiprināts veiksmīgi",
+        "validation_success": "Sekmīgi apstiprināts",
        "bcc_dest_format": "BCC galamērķim ir jābūt vienai derīgai e-pasta adresei.<br>Ja ir nepieciešams nosūtīt kopiju vairākām adresēm, jāizveido aizstājvārds un jāizmanto tas šeit.",
        "domain_matches_hostname": "Domēns %s atbilst saimniekdatora nosaukumam",
        "disable_login": "Neļaut pieteikšanos (ienākošais pasts joprojām tiks pieņemts)",
        "app_password": "Pievienot lietotnes paroli",
-        "app_passwd_protocols": "Atļautie lietotnes paroles protokoli"
+        "app_passwd_protocols": "Atļautie lietotnes paroles protokoli",
+        "goto_spam": "Apgūt kā <span class=\"text-danger\"><b>mēstuli</b></span>"
    },
    "admin": {
        "access": "Pieeja",
@@ -115,14 +116,14 @@
        "domain": "Domēns",
        "domain_admins": "Domēna administratori",
        "edit": "Labot",
-        "empty": "Nav rezultātu",
+        "empty": "Nav iznākuma",
        "f2b_ban_time": "Aizlieguma laiks (s)",
        "f2b_max_attempts": "Maks. piegājieni",
        "f2b_netban_ipv4": "IPv4 apakštīkla izmērs, lai piemērotu aizliegumu uz (8-32)",
        "f2b_netban_ipv6": "IPv6 apakštīkla izmērs, lai piemērotu aizliegumu uz (8-128)",
        "f2b_parameters": "Fail2ban parametri",
        "f2b_retry_window": "Atkārtošanas logs (s) priekš maks. piegājiena",
-        "f2b_whitelist": "Baltā saraksta tīkls/hosts",
+        "f2b_whitelist": "Atļautie tīkli/resursdatori",
        "filter_table": "Filtru tabula",
        "forwarding_hosts": "Hostu pārsūtīšana",
        "forwarding_hosts_add_hint": "Var norādīt vai nu IPv4/IPv6 adreses, tīklu ar CIDR apzīmējumu, saimniekdatoru nosaukumus (kas tiks atrisināti IP adresēs) vai arī domēna vārdus (kas tiks atrisināti IP adresēs, vaicājot SPF ierakstus, vai, ja tādu nav, MX ierakstus).",
@@ -181,7 +182,10 @@
        "rspamd_com_settings": "Iestatījuma nosaukums tiks izveidots automātiski. Lūgums zemāk skatīt priekšiestatījumu piemērus. Vairāk informācijas ir <a href=\"https://rspamd.com/doc/configuration/settings.html#settings-structure\" target=\"_blank\">Rspamd dokumentācijā</a>",
        "reset_password_vars": "<code>{{link}}</code> Izveidotā paroles atiestatīšanas saite<br><code>{{username}}</code> Lietotāja, kurš pieprasīja paroles atiestatīšanu, pastkastes nosaukums<br><code>{{username2}}</code> Atkopšanas pastkastes nosaukums<br><code>{{date}}</code> Paroles atiestatīšanas pieprasījuma veikšanas datums<br><code>{{token_lifetime}}</code> Pilnvaras derīgums minūtēs<br><code>{{hostname}}</code> mailcow saimniekdatora nosaukums",
        "ui_header_announcement_help": "Paziņojums ir redzams visiem lietotājiem, kuri ir pieteikušies, un pieteikšanās ekrānā saskarnē.",
-        "login_time": "Pieteikšanās laiks"
+        "login_time": "Pieteikšanās laiks",
+        "iam_version": "Versija",
+        "quarantine_max_age": "Lielākais pieļaujamais vecums dienās<br><small>Vērtībai jābūt vienādai ar vai lielākai par 1 dienu.</small>",
+        "quarantine_max_score": "Atmest paziņojumu, ja e-pasta ziņojuma mēstuļu novērtējums ir augstāks par šo vērtību:<br><small>Noklusējums ir 9999.0</small>"
    },
    "danger": {
        "access_denied": "Piekļuve liegta, vai nepareizi dati",
@@ -201,8 +205,8 @@
        "goto_empty": "Aizstājādresei jāsatur vismaz viena derīga mērķa adrese",
        "goto_invalid": "Goto adrese nepareiza",
        "imagick_exception": "Kļūda: Imagick izņēmums, lasot attēlu",
-        "img_invalid": "Nevar apstiprināt attēla failu",
-        "img_tmp_missing": "Nevar apstiprināt attēla failu: pagaidu failu nav atrasts",
+        "img_invalid": "Nevar apstiprināt attēla datni",
+        "img_tmp_missing": "Nevar apstiprināt attēla datni: pagaidu datne nav atrasta",
        "invalid_mime_type": "Nederīgs mime tips",
        "is_alias": "%s jau ir zināma kā aizstājadrese",
        "is_alias_or_mailbox": "%s jau ir zināms kā aizstājvārds, pastkaste vai aizstājadrese, kas ir izvērsta no aizstājdomēna.",
@@ -234,7 +238,10 @@
        "username_invalid": "Lietotājvārds nevar tikt izmantots",
        "validity_missing": "Lūdzu piešķiriet derīguma termiņu",
        "domain_cannot_match_hostname": "Domēns nevar atbilst saimniekdatora nosaukumam",
-        "app_passwd_id_invalid": "Lietotnes paroles Id %s ir nederīgs"
+        "app_passwd_id_invalid": "Lietotnes paroles Id %s ir nederīgs",
+        "img_dimensions_exceeded": "Attēls pārsniedz lielāko pieļaujamo attēla lielumu",
+        "img_size_exceeded": "Attēls pārsniedz lielāko pieļaujamo datnes lielumu",
+        "version_invalid": "Versija %s ir nederīga"
    },
    "diagnostics": {
        "cname_from_a": "Vērtība, kas iegūta no A/AAAA ieraksta. Tas tiek atbalstīts tik ilgi, kamēr ieraksts norāda uz pareizo resursu.",
@@ -251,9 +258,9 @@
        "alias": "Labot aizstājvārdu",
        "automap": "Mēģiniet automatizēt mapes (\"Nosūtītie vienumi\", \"Nosūtītie\" => \"Nosūtītie\" utt.)",
        "backup_mx_options": "Dublēt MX iespējas",
-        "delete1": "Dzēst no avota, kad pabeigts",
+        "delete1": "Izdzēst no avota pēc pabeigšanas",
        "delete2": "Dzēsiet ziņojumus galamērķī, kas nav avotā",
-        "delete2duplicates": "Dzēst dublikātus galamērķī",
+        "delete2duplicates": "Izdzēst atkārtojošos vienumus galamērķī",
        "description": "Apraksts",
        "domain": "Labot domēnu",
        "domain_admin": "Labot domēna administratoru",
@@ -273,7 +280,7 @@
        "max_aliases": "Lielākais aizstājvārdu skaits",
        "max_mailboxes": "Maks. iespējamās pastkastes",
        "max_quota": "Maks. kvota uz pastkasti (MiB)",
-        "maxage": "Lielākais ziņojumu, kuri tiks vaicāti attālajā serverī, vecums dienās<br><small>(0 = neņemt vērā vecumu)</small>",
+        "maxage": "Lielākais pieļaujamais ziņojumu, kuri tiks vaicāti attālajā serverī, vecums dienās<br><small>(0 = neņemt vērā vecumu)</small>",
        "maxbytespersecond": "Maks. baiti sekundē (0 ir vienāds ar neierobežotu skaitu)",
        "mins_interval": "Intervāls (min)",
        "multiple_bookings": "Vairāki rezervējumi",
@@ -292,8 +299,8 @@
        "sieve_type": "Filtra tips",
        "skipcrossduplicates": "Izlaist dublētus ziņojumus pa mapēm (pirmais nāk, pirmais kalpo)",
        "spam_alias": "Izveidot vai mainīt laika ierobežotas aizstājadreses",
-        "spam_policy": "Pievienot vai noņemt vienumus baltajā-/melnajā sarakstā",
-        "spam_score": "Iestatīt pielāgotu surogātpasta vērtējumu",
+        "spam_policy": "Pievienot vai noņemt vienumus atļautajā/liegumu sarakstā",
+        "spam_score": "Iestatīt pielāgotu mēstules vērtējumu",
        "subfolder2": "Sinhronizēt galamērķa apakšmapē<br><small>(tukšs = neizmantot apakšmapi)</small>",
        "syncjob": "Labot sinhronizācijas darbu",
        "target_address": "Mērķa adrese/s <small>(atdalītas ar komatu)</small>",
@@ -316,17 +323,21 @@
        "disable_login": "Neļaut pieteikšanos (ienākošais pasts joprojām tiks pieņemts)",
        "app_passwd_protocols": "Atļautie lietotnes paroles protokoli",
        "allowed_protocols": "Atļautie protokoli tiešai lietotāja piekļuvei (neietekmē lietotnes paroles protokolus)",
-        "app_passwd": "Lietotnes parole"
+        "app_passwd": "Lietotnes parole",
+        "mta_sts_version": "Versija",
+        "mta_sts_version_info": "Norāda MTA-STS standarta versiju – pašreiz ir derīga tikai <code>STSv1</code>.",
+        "sender_acl_disabled": "<span class=\"badge fs-6 bg-danger\">Sūtītāja pārbaude ir atspējota</span>"
    },
    "footer": {
        "cancel": "Atcelt",
-        "confirm_delete": "Apstiprināt dzēšanu",
-        "delete_now": "Dzēst tagad",
+        "confirm_delete": "Apstiprināt izdzēšanu",
+        "delete_now": "Izdzēst tagad",
        "delete_these_items": "Lūgums apstiprināt izmaiņas šim objekta Id",
        "loading": "Lūgums uzgaidīt...",
        "restart_container": "Restartēt konteineri",
        "restart_container_info": "<b>Svarīgi:</b> nesteidzīga pārsāknēšana var aizņemt ilgāku laiku. Lūgums uzgaidīt, līdz tā tiek pabeigta.",
-        "restart_now": "Pārsāknēt tagad"
+        "restart_now": "Pārsāknēt tagad",
+        "hibp_nok": "Sakrīt. Šī, iespējams, ir bīstama parole."
    },
    "header": {
        "administration": "Konfigurācija un informācija",
@@ -389,7 +400,7 @@
        "domain_quota_total": "Kopējais domēna ierobežojums",
        "domains": "Domēns",
        "edit": "Labot",
-        "empty": "Nav rezultātu",
+        "empty": "Nav iznākuma",
        "excludes": "Izslēdzot",
        "filter_table": "Filtra tabula",
        "filters": "Filtri",
@@ -448,13 +459,15 @@
        "add_alias_expand": "Izvērst aizstājvārdu pār aizstājdomēniem",
        "alias_domain_alias_hint": "Aizstājvārdi <b>netiek</b> automātiski piemēroti domēnu aizstājvārdiem. Aizstājadrese <code>my-alias@domain</code> <b>nenosedz</b> adresi <code>my-alias@alias-domain</code> (kur \"alias-domain\" ir iedomāts \"domain\" aizstājdomēns).<br>Lūgums izmantot sieta atlasi, lai pārvirzītu pastu uz ārēju pastkasti (skatīt cilti \"Atlasīšana\" vai izmantot SOGo -> Pārsūtītājs). \"Izvērst aizstājvārdu pār aizstājdomēniem\" ir izmantojams, lai automātiski pievienotu trūkstošos aiztājvārdus.",
        "alias_domain_backupmx": "Aizstājdomēns ir neaktīvs retranslācijas domēnam",
-        "disable_login": "Neļaut pieteikšanos (ienākošais pasts joprojām tiks pieņemts)"
+        "disable_login": "Neļaut pieteikšanos (ienākošais pasts joprojām tiks pieņemts)",
+        "sieve_preset_1": "Atmest e-pasta vēstules ar iespējami bīstamiem datņu veidiem",
+        "syncjob_last_run_result": "Pēdējās izpildes iznākums"
    },
    "quarantine": {
        "action": "Darbības",
        "atts": "Pielikumi",
-        "check_hash": "Meklēt faila hašu @ VT",
-        "empty": "Nav rezultātu",
+        "check_hash": "Meklēt datnes jaucējvērtību @ VT",
+        "empty": "Nav iznākuma",
        "qid": "Rspamd QID",
        "qitem": "Karantīnas vienumi",
        "quarantine": "Karantīna",
@@ -463,7 +476,7 @@
        "received": "Saņemtie",
        "recipients": "Adresāts",
        "release": "Atbrīvot",
-        "release_body": "Šim ziņojumam mēs esam pievienojuši jūsu ziņojumu kā eml failu.",
+        "release_body": "Mēs pievienojām Tavu ziņojumu kā .eml datni šim ziņojumam.",
        "release_subject": "Potenciāli kaitīgs karantīnas vienums %s",
        "remove": "Noņemt",
        "sender": "Sūtītājs (SMTP)",
@@ -473,8 +486,14 @@
        "text_plain_content": "Saturs (teksts/vienkāršs)",
        "toggle_all": "Pārslēgt visu",
        "disabled_by_config": "Pašreizējā sistēmas konfigurācija atspējo karantīnu. Lūgums iestatīt \"saglabāšanu katrai pastkastītei\" un \"lielākais pieļaujamais lielums\" karantīnas vienumiem.",
-        "qhandler_success": "Pieprasījums veiksmīgi nosūtīts sistēmai. Tagad var aizvērt logu.",
-        "qinfo": "Karantīnas sistēma datubāzē saglabās noraidīto pastu (sūtītājam <em>netiks</em> radīts iespaids par piegādātu pastu), kā arī pastu, kas tiek piegādāts kā kopija pastkastes mēstuļu mapē.\n  <br>\"Apgūt kā surogātpastu un izdzēst\" apgūs ziņojumu kā surogātpastu ar Bajesa teorēmu un aprēķinās arī nestriktas jaucējvērtības, lai nākotnē noraidītu līdzīgus ziņojumus.\n  <br>Lūgums apzināties, ka vairāku ziņojumu apgūšana var būt laikietilpīga atkarībā no sistēmas.<br>Melnā saraksta vienumi karantīnā netiek iekļauti."
+        "qhandler_success": "Pieprasījums sekmīgi nosūtīts sistēmai. Logu tagad var aizvērt.",
+        "qinfo": "Karantīnas sistēma datubāzē saglabās noraidīto pastu (sūtītājam <em>netiks</em> radīts iespaids par piegādātu pastu), kā arī pastu, kas tiek piegādāts kā kopija pastkastes mēstuļu mapē.\n  <br>\"Apgūt kā surogātpastu un izdzēst\" apgūs ziņojumu kā surogātpastu ar Bajesa teorēmu un aprēķinās arī nestriktas jaucējvērtības, lai nākotnē noraidītu līdzīgus ziņojumus.\n  <br>Lūgums apzināties, ka vairāku ziņojumu apgūšana var būt laikietilpīga atkarībā no sistēmas.<br>Lieguma saraksta vienumi karantīnā netiek iekļauti.",
+        "danger": "Bīstamība",
+        "notified": "Paziņots",
+        "refresh": "Atsvaidzināt",
+        "rspamd_result": "Rspamd iznākums",
+        "settings_info": "Lielākais pieļaujamais karantējamo vienumu daudzums: %s<br>Lielākais pieļaujamais e-pasta lielums: %s MiB",
+        "spam_score": "Novērtējums"
    },
    "queue": {
        "queue_manager": "Rindas pārvaldnieks",
@@ -505,8 +524,8 @@
        "f2b_modified": "Fail2ban parametru izmaiņas tika saglabātas",
        "forwarding_host_added": "Pāradresācijas hosts %s pievienotsd",
        "forwarding_host_removed": "Pāradresācijas hosts %s noņemts",
-        "item_deleted": "Vērtība %s veiksmīgi dzēsta",
-        "items_deleted": "Vērtība %s veiksmīgi dzēsta",
+        "item_deleted": "Vienums %s izdzēsts sekmīgi",
+        "items_deleted": "Vienums %s izdzēsts sekmīgi",
        "items_released": "Atlasītie vienumi tika izlaisti",
        "mailbox_added": "Pastkaste %s ir pievienota",
        "mailbox_modified": "Izmaiņas pastkastei %s ir saglabātas",
@@ -519,20 +538,21 @@
        "resource_modified": "Izmaiņas %s ir saglabātas",
        "resource_removed": "Resurs %s tika noņemts",
        "ui_texts": "Saglabāt UI izmaiņas tekstiem",
-        "upload_success": "Faila augšupielāde veiksmīga",
+        "upload_success": "Datne sekmīgi augšupielādēta",
        "verified_fido2_login": "Apliecināta FIDO2 pieteikšanās",
        "verified_webauthn_login": "Apliecināta WebAuthn pieteikšanās",
        "verified_totp_login": "Apliecināta TOTP pieteikšanās",
        "verified_yotp_login": "Apliecināta Yubico OTP pieteikšanās",
        "app_passwd_removed": "Noņemta lietotnes parole ar Id %s",
-        "app_passwd_added": "Pievienota jauna lietotnes parole"
+        "app_passwd_added": "Pievienota jauna lietotnes parole",
+        "f2b_banlist_refreshed": "Liegumu saraksta Id tika sekmīgi atsvaidzināts."
    },
    "tfa": {
        "api_register": "%s izmanto Yubico Cloud API. Lūdzu iegūstiet API atslēgu priekš Jūsu atslēgas<a href=\"https://upgrade.yubico.com/getapikey/\" target=\"_blank\">here</a>",
        "confirm": "Apstiprināt",
-        "confirm_totp_token": "Lūdzu apstipriniet Jūsu izmaiņas ievadot uzģenerēto tekstu",
+        "confirm_totp_token": "Lūgums apstiprināt savas izmaiņas ar izveidotās tekstvienības ievadīšanu",
        "delete_tfa": "Atspējot TFA",
-        "disable_tfa": "Atspējot TFA līdz nākamajai veiksmīgajai pieteikšanās reizei",
+        "disable_tfa": "Atspējot TFA līdz nākamajai sekmīgajai pieteikšanās reizei",
        "enter_qr_code": "TOTP kods, ja Tava ierīce nevar nolasīt kvadrātkodus",
        "key_id": "Jūsu YubiKey identifikators",
        "key_id_totp": "Identifikators Jūsu atslēgai",
@@ -544,7 +564,7 @@
        "totp": "Uz laiku bāzēta vienreizēja parole (Google Autentifikātors utt.)",
        "webauthn": "WebAuthn autentifikācija",
        "waiting_usb_auth": "<i>Gaida USB ierīci...</i><br><br>Lūdzu, tagad nospiežiet pogu uz Jūsu WebAuthn USB ierīces.",
-        "waiting_usb_register": "<i>Gaida USB ierīci...</i><br><br>Lūdzu augšā ievadiet Jūsu paroli un apstipriniet WebAuthn reģistrāciju nospiežot pogu uz Jūsu WebAuthn USB ierīces.",
+        "waiting_usb_register": "<i>Gaida USB ierīci...</i><br><br>Lūgums augstāk ievadīt savu paroli un apstiprināt reģistrēšanos ar USB ierīces pogas nospiešanu.",
        "yubi_otp": "Yubico OTP autentifikators",
        "authenticators": "Autentificētāji"
    },
@@ -589,7 +609,7 @@
        "new_password_repeat": "Paroles apstiprinājums (atkārtoti)",
        "no_active_filter": "Nav pieejami aktīvi filtri",
        "no_record": "Nav ieraksta",
-        "password_now": "Pašreizējā parole (Apstiprināt izmaiņas)",
+        "password_now": "Pašreizējā parole (apstiprināt izmaiņas)",
        "remove": "Noņemt",
        "running": "Darbojas",
        "save_changes": "Saglabāt izmaiņas",
@@ -599,11 +619,11 @@
        "spam_aliases": "Pagaidu e-pasta aizstājvārdi",
        "spamfilter": "Mēstuļu filtrs",
        "spamfilter_behavior": "Reitings",
-        "spamfilter_bl": "Melnais saraksts",
-        "spamfilter_bl_desc": "No melnajā sarakstā iekļautajām e-pasta adresēm saņemtās vēstules <b>vienmēr</b> tiks atzīmētas kā mēstules un noraidītas. Noraidītais pasts <b>netiks</b> ievietots karantīnā. Var izmantot aizstājzīmes. Atlasīšana tiek pielietota tikai tiešiem aizstājvārdiem (aizstājvārdiem ar vienu mērķa pastkasti), izņemot visu tverošos aizstājvārdus un pašu pastkasti.",
+        "spamfilter_bl": "Liegumu saraksts",
+        "spamfilter_bl_desc": "No lieguma sarakstā iekļautajām e-pasta adresēm saņemtās vēstules <b>vienmēr</b> tiks atzīmētas kā mēstules un noraidītas. Noraidītais pasts <b>netiks</b> ievietots karantīnā. Var izmantot aizstājzīmes. Atlasīšana tiek pielietota tikai tiešiem aizstājvārdiem (aizstājvārdiem ar vienu mērķa pastkasti), izņemot visu tverošos aizstājvārdus un pašu pastkasti.",
        "spamfilter_default_score": "Noklusējuma vērtības",
        "spamfilter_green": "Zaļš: šī nav mēstule",
-        "spamfilter_hint": "Pirmā vērtība norāda uz zemu \"Spam vērtējumu\" vērtējumu, otra vērtība par \"Augstu spam vērtējumu\".",
+        "spamfilter_hint": "Pirmā vērtība norāda uz zemu \"mēstules novērtējumu\", otrā atspoguļo \"augstu mēstules novērtējumu\".",
        "spamfilter_red": "Sarkans: Šī vēstule noteikti ir spams un tiek nekavējoties noraidīta",
        "spamfilter_table_action": "Darbība",
        "spamfilter_table_add": "Pievienot vienību",
@@ -611,8 +631,8 @@
        "spamfilter_table_empty": "Nav datu ko parādīt",
        "spamfilter_table_remove": "noņemt",
        "spamfilter_table_rule": "Noteikums",
-        "spamfilter_wl": "Baltais saraksts",
-        "spamfilter_wl_desc": "No baltā saraksta e-pasta adresēm saņemtās vēstules <b>nekad</b> netiks atzīmētas kā mēstules. Var tikt izmantotas aizstājzīmes. Atlase tiek piemērota tikai tiešiem aizstājvārdiem (aizstājvārdiem ar vienu mērķa pastkasti), izņemot visu tverošos aizstājvārdus un pašu pastkasti.",
+        "spamfilter_wl": "Atļautais saraksts",
+        "spamfilter_wl_desc": "No atļautā saraksta e-pasta adresēm saņemtās vēstules <b>nekad</b> netiks atzīmētas kā mēstules. Var tikt izmantotas aizstājzīmes. Atlase tiek piemērota tikai tiešiem aizstājvārdiem (aizstājvārdiem ar vienu mērķa pastkasti), izņemot visu tverošos aizstājvārdus un pašu pastkasti.",
        "spamfilter_yellow": "Dzeltens: šī vēstule visticamāk ir spams un tiks pārvietota uz Junk mapi",
        "status": "Status",
        "sync_jobs": "Sinhronizācijas uzdevumi",
@@ -644,15 +664,21 @@
        "change_password_hint_app_passwords": "Kontā ir %d lietotņu paroles, kas netiks mainītas. Lai pārvaldītu tās, jādodas uz cilni \"Lietotņu paroles\".",
        "with_app_password": "ar lietotnes paroli",
        "apple_connection_profile_with_app_password": "Jauna lietotnes parole ir izveidota un pievienota profilam, lai ierīces iestatīšanas laikā nebūtu nepieciešams ievadīt paroli. Lūgums nekopīgot datni, jo tā nodrošina pilnu piekļuvi pastkastei.",
-        "tfa_info": "Divpakāpju autentificēšanās palīdz aizsargāt kontu.Ja tā ir iespējota, var būt nepieciešamas lietotņu paroles, lai pieteiktos lietotnēs vai pakalpojumos, kas nenodrošina divpakāpju autentificēšanos (piem., e-pasta klienti).",
+        "tfa_info": "Divpakāpju autentificēšanās palīdz aizsargāt kontu.Ja tā ir iespējota, ir nepieciešamas lietotņu paroles, lai pieteiktos lietotnēs vai pakalpojumos, kas nenodrošina divpakāpju autentificēšanos (piem., e-pasta klienti).",
        "app_passwds": "Lietotņu paroles",
-        "create_app_passwd": "Izveidot lietotnes paroli"
+        "create_app_passwd": "Izveidot lietotnes paroli",
+        "empty": "Nav iznākuma",
+        "quarantine_notification_info": "Tiklīdz paziņojums ir nosūtīts, vienumi tiks atzīmēti kā \"paziņoti\", un par šo vienumu vairs netiks sūtīti paziņojumi.",
+        "sender_acl_disabled": "<span class=\"badge fs-6 bg-danger\">Sūtītāja pārbaude ir atspējota</span>",
+        "syncjob_last_run_result": "Pēdējās izpildes iznākums"
    },
    "datatables": {
        "paginate": {
            "first": "Pirmā",
            "last": "Pēdējā"
-        }
+        },
+        "emptyTable": "Tabulā nav datu",
+        "search": "Meklēt:"
    },
    "debug": {
        "last_modified": "Pēdējoreiz mainīts",
--- a/data/web/lang/lang.nb-no.json
+++ b/data/web/lang/lang.nb-no.json
@@ -185,11 +185,12 @@
        "protocol_access": "Endre protokolltilgang",
        "pushover": "Pushover",
        "quarantine": "Karantenehandlinger",
-        "quarantine_attachments": "Sett vedlegg i karantene",
+        "quarantine_attachments": "Se vedlegg i karantene",
        "quarantine_category": "Endre varslingskategori for karantene",
        "quarantine_notification": "Endre karantenevarslinger",
        "domain_desc": "Endre domenebeskrivelse",
-        "extend_sender_acl": "Tillat utvidelse av sender-ACL fra eksterne adresser"
+        "extend_sender_acl": "Tillat utvidelse av sender-ACL fra eksterne adresser",
+        "pw_reset": "Tillat endring av brukerpassord"
    },
    "add": {
        "app_passwd_protocols": "Tillatte protokoller for app-passord",
--- a/data/web/lang/lang.pl-pl.json
+++ b/data/web/lang/lang.pl-pl.json
--- a/data/web/lang/lang.pt-br.json
+++ b/data/web/lang/lang.pt-br.json
@@ -1,7 +1,7 @@
 {
    "acl": {
-        "alias_domains": "Adicionar domínios alias",
-        "app_passwds": "Gerenciar senhas de aplicativos",
+        "alias_domains": "Adicionar alias de domínios",
+        "app_passwds": "Gerenciar senhas de app",
        "bcc_maps": "Mapas BCC",
        "delimiter_action": "Ação delimitadora",
        "domain_desc": "Alterar descrição do domínio",
@@ -9,7 +9,7 @@
        "eas_reset": "Redefinir dispositivos EAS",
        "extend_sender_acl": "Permitir estender a ACL do remetente por endereços externos",
        "filters": "Filtros",
-        "login_as": "Faça login como usuário da mailbox",
+        "login_as": "Fazer login como usuário da mailbox",
        "mailbox_relayhost": "Alterar relayhost para uma mailbox",
        "prohibited": "Proibido pela ACL",
        "protocol_access": "Alterar o acesso ao protocolo",
@@ -109,7 +109,9 @@
        "username": "Nome de usuário",
        "validate": "Validar",
        "validation_success": "Validado com sucesso",
-        "dry": "Simular sincronização"
+        "dry": "Simular sincronização",
+        "internal": "Interno",
+        "internal_info": "Aliases internos são acessíveis apenas a partir do próprio domínio ou alias de domínio."
    },
    "admin": {
        "access": "Acesso",
@@ -364,7 +366,52 @@
        "iam_client_secret": "Senha de cliente",
        "iam_auth_flow": "Fluxo de autenticação",
        "iam_client_scopes": "Escopo do cliente",
-        "iam_default_template": "Template Padrão"
+        "iam_default_template": "Template Padrão",
+        "admin_quicklink": "Ocultar link rápido para página de login do administrador",
+        "app_hide": "Ocultar para login",
+        "login_page": "Página de login",
+        "domainadmin_quicklink": "Ocultar link rápido para página de login do administrador de domínio",
+        "filter": "Filtro",
+        "force_sso_text": "Se um provedor OIDC externo for configurado, esta opção oculta os formulários de login padrão do mailcow e mostra apenas o botão de single sign-on",
+        "force_sso": "Desabilitar login do mailcow e mostrar apenas single sign-on",
+        "iam": "Provedor de identidade",
+        "iam_attribute_field": "Campo de atributo",
+        "iam_authorize_url": "Endpoint de autorização",
+        "iam_auth_flow_info": "Além do fluxo de código de autorização (fluxo padrão no Keycloak), que é usado para login de single sign-on, o mailcow também suporta fluxo de autenticação com credenciais diretas. O fluxo Mailpassword tenta validar as credenciais do usuário usando a API REST do administrador do Keycloak. O mailcow recupera a senha hash do atributo <code>mailcow_password</code>, que é mapeado no Keycloak.",
+        "iam_basedn": "DN base",
+        "iam_default_template_description": "Se nenhum template for atribuído a um usuário, o template padrão será usado para criar a caixa de correio, mas não para atualizar a caixa de correio.",
+        "iam_description": "Configure um provedor externo para autenticação<br>As caixas de correio dos usuários serão criadas automaticamente no primeiro login, desde que um mapeamento de atributos tenha sido definido.",
+        "iam_extra_permission": "Para que as configurações a seguir funcionem, o cliente mailcow no Keycloak precisa de uma <code>conta de serviço</code> e a permissão para <code>visualizar usuários</code>.",
+        "iam_host": "Host",
+        "iam_host_info": "Digite um ou mais hosts LDAP, separados por vírgulas.",
+        "iam_import_users": "Importar usuários",
+        "iam_login_provisioning": "Criar usuários automaticamente no login",
+        "iam_mapping": "Mapeamento de atributos",
+        "iam_bindpass": "Senha de vinculação",
+        "iam_periodic_full_sync": "Sincronização completa periódica",
+        "iam_port": "Porta",
+        "iam_realm": "Realm",
+        "iam_redirect_url": "URL de redirecionamento",
+        "iam_rest_flow": "Fluxo Mailpassword",
+        "iam_server_url": "URL do servidor",
+        "iam_sso": "Single sign-on",
+        "iam_sync_interval": "Intervalo de sincronização/importação (min)",
+        "iam_test_connection": "Testar conexão",
+        "iam_token_url": "Endpoint de token",
+        "iam_userinfo_url": "Endpoint de informações do usuário",
+        "iam_username_field": "Campo de nome de usuário",
+        "iam_binddn": "DN de vinculação",
+        "iam_use_ssl": "Usar SSL",
+        "iam_use_ssl_info": "Se habilitar SSL e a porta estiver definida como 389, ela será automaticamente substituída para usar 636.",
+        "iam_use_tls": "Usar StartTLS",
+        "iam_use_tls_info": "Se habilitar TLS, você deve usar a porta padrão para seu servidor LDAP (389). Portas SSL não podem ser usadas.",
+        "iam_version": "Versão",
+        "ignore_ssl_error": "Ignorar erros SSL",
+        "needs_restart": "precisa reiniciar",
+        "quicklink_text": "Mostrar ou ocultar links rápidos para outras páginas de login abaixo do formulário de login",
+        "task": "Tarefa",
+        "user_link": "Link do usuário",
+        "user_quicklink": "Ocultar link rápido para página de login do usuário"
    },
    "danger": {
        "access_denied": "Acesso negado ou dados de formulário inválidos",
@@ -501,7 +548,15 @@
        "username_invalid": "O nome de usuário %s não pode ser usado",
        "validity_missing": "Por favor, atribua um período de validade",
        "value_missing": "Forneça todos os valores",
-        "yotp_verification_failed": "Falha na verificação do Yubico OTP: %s"
+        "yotp_verification_failed": "Falha na verificação do Yubico OTP: %s",
+        "authsource_in_use": "O provedor de identidade não pode ser alterado ou excluído pois está sendo usado por um ou mais usuários.",
+        "generic_server_error": "Ocorreu um erro inesperado no servidor. Entre em contato com seu administrador.",
+        "iam_test_connection": "Falha na conexão",
+        "max_age_invalid": "Idade máxima %s é inválida",
+        "mode_invalid": "Modo %s é inválido",
+        "mx_invalid": "Registro MX %s é inválido",
+        "required_data_missing": "Dados obrigatórios %s estão ausentes",
+        "version_invalid": "Versão %s é inválida"
    },
    "datatables": {
        "collapse_all": "Recolher tudo",
@@ -708,7 +763,25 @@
        "title": "Editar objeto",
        "unchanged_if_empty": "Se inalterado, deixe em branco",
        "username": "Nome de usuário",
-        "validate_save": "Valide e salve"
+        "validate_save": "Validar e salvar",
+        "internal": "Interno",
+        "internal_info": "Aliases internos são acessíveis apenas a partir do próprio domínio ou domínios alias.",
+        "mailbox_rename": "Renomear caixa de correio",
+        "mailbox_rename_agree": "Eu criei um backup.",
+        "mailbox_rename_warning": "IMPORTANTE! Crie um backup antes de renomear a caixa de correio.",
+        "mailbox_rename_alias": "Criar alias automaticamente",
+        "mailbox_rename_title": "Novo nome da caixa de correio local",
+        "mta_sts": "MTA-STS",
+        "mta_sts_info": "<a href='https://en.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol#SMTP_MTA_Strict_Transport_Security' target='_blank'>MTA-STS</a> é um padrão que força a entrega de email entre servidores de email para usar TLS com certificados válidos. <br>É usado quando <a target='_blank' href='https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities'>DANE</a> não é possível devido ao DNSSEC ausente ou não suportado.<br><b>Nota</b>: Se o domínio de recepção suporta DANE com DNSSEC, DANE é <b>sempre</b> preferido – MTA-STS atua apenas como fallback.",
+        "mta_sts_version": "Versão",
+        "mta_sts_version_info": "Define a versão do padrão MTA-STS – atualmente apenas <code>STSv1</code> é válido.",
+        "mta_sts_mode": "Modo",
+        "mta_sts_mode_info": "Há três modos para escolher:<ul><li><em>testing</em> – política é apenas monitorada, violações não têm impacto.</li><li><em>enforce</em> – política é rigorosamente aplicada, conexões sem TLS válido são rejeitadas.</li><li><em>none</em> – política é publicada mas não aplicada.</li></ul>",
+        "mta_sts_max_age": "Idade máxima",
+        "mta_sts_max_age_info": "Tempo em segundos que servidores de email de recepção podem armazenar esta política em cache até buscar novamente.",
+        "mta_sts_mx": "Servidor MX",
+        "mta_sts_mx_info": "Permite envio apenas para nomes de host de servidor de email explicitamente listados; o MTA de envio verifica se o nome do host DNS MX corresponde à lista de políticas e permite entrega apenas com certificado TLS válido (protege contra MITM).",
+        "mta_sts_mx_notice": "Múltiplos servidores MX podem ser especificados (separados por vírgulas)."
    },
    "fido2": {
        "confirm": "Confirme",
@@ -771,7 +844,15 @@
        "password": "Senha",
        "reset_password": "Recuperar a senha",
        "request_reset_password": "Solicitar troca de senha",
-        "username": "Nome de usuário"
+        "username": "Nome de usuário",
+        "login_linkstext": "Login incorreto?",
+        "login_usertext": "Entrar como usuário",
+        "login_domainadmintext": "Entrar como administrador de domínio",
+        "login_admintext": "Entrar como administrador",
+        "login_user": "Login de usuário",
+        "login_dadmin": "Login como administrador de domínio",
+        "login_admin": "Login como administrador",
+        "email": "Endereço de email"
    },
    "mailbox": {
        "action": "Ação",
@@ -946,7 +1027,9 @@
        "username": "Nome de usuário",
        "waiting": "Esperando",
        "weekly": "Semanalmente",
-        "yes": "✓"
+        "yes": "✓",
+        "iam": "Provedor de Identidade",
+        "internal": "Interno"
    },
    "oauth2": {
        "access_denied": "Faça login como proprietário da mailbox para conceder acesso via OAuth2.",
@@ -961,8 +1044,8 @@
        "action": "Ação",
        "atts": "Anexos",
        "check_hash": "Arquivo de pesquisa hash @ VT",
-        "confirm": "Confirme",
-        "confirm_delete": "Confirme a exclusão desse elemento.",
+        "confirm": "Confirmar",
+        "confirm_delete": "Confirmar exclusão desse elemento.",
        "danger": "Perigo",
        "deliver_inbox": "Entregar na caixa de entrada",
        "disabled_by_config": "A configuração atual do sistema desativa a funcionalidade de quarentena. Defina “retenções por mailbox” e um “tamanho máximo” para os elementos de quarentena.",
@@ -1123,12 +1206,15 @@
        "verified_fido2_login": "Login FIDO2 verificado",
        "verified_totp_login": "Login TOTP verificado",
        "verified_webauthn_login": "Login verificado do WebAuthn",
-        "verified_yotp_login": "Login OTP verificado do Yubico"
+        "verified_yotp_login": "Login OTP verificado do Yubico",
+        "custom_login_modified": "Personalização de login foi salva com sucesso",
+        "iam_test_connection": "Conexão bem-sucedida",
+        "mailbox_renamed": "Caixa de correio foi renomeada de %s para %s"
    },
    "tfa": {
        "authenticators": "Autenticadores",
        "api_register": "%s usa a API Yubico Cloud. Obtenha uma chave de API para sua chave <a href=\"https://upgrade.yubico.com/getapikey/\" target=\"_blank\">aqui</a>",
-        "confirm": "Confirme",
+        "confirm": "Confirmar",
        "confirm_totp_token": "Confirme suas alterações inserindo o token gerado",
        "delete_tfa": "Desativar o TFA",
        "disable_tfa": "Desative o TFA até o próximo login bem-sucedido",
@@ -1141,7 +1227,7 @@
        "reload_retry": "- (recarregue o navegador se o erro persistir)",
        "scan_qr_code": "Escaneie o código a seguir com seu aplicativo autenticador ou insira o código manualmente.",
        "select": "Por favor, selecione",
-        "set_tfa": "Defina o método de autenticação de dois fatores",
+        "set_tfa": "Método de autenticação de dois fatores",
        "start_webauthn_validation": "Iniciar validação",
        "tfa": "Autenticação de dois fatores",
        "tfa_token_invalid": "Token TFA inválido",
@@ -1318,7 +1404,11 @@
        "weeks": "semanas",
        "with_app_password": "com senha do aplicativo",
        "year": "ano",
-        "years": "anos"
+        "years": "anos",
+        "authentication": "Autenticação",
+        "overview": "Visão geral",
+        "protocols": "Protocolos",
+        "tfa_info": "A autenticação de dois fatores ajuda a proteger sua conta. Se você habilitá-la, precisará de senhas de aplicativo para fazer login em aplicativos ou serviços que não suportam autenticação de dois fatores (por exemplo, clientes de email)."
    },
    "warning": {
        "cannot_delete_self": "Não é possível excluir o usuário conectado",
--- a/Show More
+++ b/Show More