? ROOT CAUSE BULUNDU
Logda açıkça görünüyor:
ModSecurity: Access denied with code 403 [id "949110"] [msg "Inbound Anomaly Score Exceeded"]
ve:
[id "932239"] [msg "Remote Command Execution: Unix Command Injection"]
? Yani:
LiteSpeed değil, ModSecurity (OWASP CRS) webmail’i blokluyor.
Özellikle şu satır çok kritik:
Matched Data: =mail& found within https://webmail...
Roundcube’un normal URL parametresi bile:
?_task=mail&_mbox=INBOX
? ModSecurity bunu hack girişimi sanıyor ve 403 basıyor.
? Neden Apache’de çalışıyor?
Apache’de:
- ModSecurity ya kapalı
- ya daha gevşek
LiteSpeed’de:
- CRS aktif
- paranoia level yüksek
→ false positive
✅ ÇÖZÜM (3 seçenek)
? 1) EN HIZLI TEST (anında çözülür)
ModSecurity’yi kapat:
Plesk →
Tools & Settings → Web Application Firewall (ModSecurity)
? Mode:
OFF
Sonra test et.
✔ Açılırsa → %100 ModSecurity sorunu
? 2) SADECE WEBMAIL İÇİN disable (EN DOĞRU)
Domain bazlı kapat:
Plesk → Domains → alldaylife.de → Apache & nginx Settings
en alta ekle:
<IfModule mod_security.c> SecRuleEngine Off </IfModule>
? sadece webmail etkilenir
? 3) PROFESYONEL FIX (önerilen)
Sadece problemli rule’ları disable et:
Logda görülen rule ID’ler:
932239949110
Bunları whitelist et:
SecRuleRemoveById 932239 SecRuleRemoveById 949110
? En temiz çözüm önerim
? Direkt şunu yap:
plesk bin modsecurity_ctl --disable-rule 932239 -domain domain.com plesk bin modsecurity_ctl --disable-rule 949110 -domain domain.com
? Özet
Senin problem:
❌ LiteSpeed bug değil
❌ PHP değil
❌ izin değil
? %100:
ModSecurity (OWASP CRS) false positive → Roundcube bloklanıyor