Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Hallo zusammen,
ich wollte mal nachfragen, ob es technisch möglich wäre, alternative SSL Zertifikate für die Absicherung vom Maildienst pro Kunde verwenden könnte. Aktuell wird ja immer der Hostname verwendet, wenn man z.B. einen Kunden auf einen anderen Server umziehen muss, dann müsste man aktuell z.B. auf allen Apple Geräten, Outlook etc. den Mail Host anpassen. Ansonsten funktionieren die E-Mails nicht mehr bzw. erhält man auch permanent einen SSL mismatch Error. Hier wäre es optimal, wenn man z.B. die Domain vom Kunden oder irgendeine welche sich im Besitz vom Kunden befindet und auf dem Server gehostet wird (Domain / Sub- Domain), dann müsste man auf den Endgeräten nie wieder Hand anlegen und könnte so einen perfekten Server Umzug realisieren. In Pl..k funktioniert das z.B. sehr gut (Screenshot angehängt), dass zeigt die Einstellmöglichkeit als Kunde, hier kann man Problemlos ein Let's Encrypt Zertifikat vom Kunden auswählen. Im Anschluss bekommt man keinen SSL-Error mehr wegen SSL missmatch.
Vielen Dank vorab
ich wollte mal nachfragen, ob es technisch möglich wäre, alternative SSL Zertifikate für die Absicherung vom Maildienst pro Kunde verwenden könnte. Aktuell wird ja immer der Hostname verwendet, wenn man z.B. einen Kunden auf einen anderen Server umziehen muss, dann müsste man aktuell z.B. auf allen Apple Geräten, Outlook etc. den Mail Host anpassen. Ansonsten funktionieren die E-Mails nicht mehr bzw. erhält man auch permanent einen SSL mismatch Error. Hier wäre es optimal, wenn man z.B. die Domain vom Kunden oder irgendeine welche sich im Besitz vom Kunden befindet und auf dem Server gehostet wird (Domain / Sub- Domain), dann müsste man auf den Endgeräten nie wieder Hand anlegen und könnte so einen perfekten Server Umzug realisieren. In Pl..k funktioniert das z.B. sehr gut (Screenshot angehängt), dass zeigt die Einstellmöglichkeit als Kunde, hier kann man Problemlos ein Let's Encrypt Zertifikat vom Kunden auswählen. Im Anschluss bekommt man keinen SSL-Error mehr wegen SSL missmatch.
Vielen Dank vorab
- Attachments
-
- alternativer_email_host.JPG (20.82 KiB) Viewed 4564 times
Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Hallo,
Postfix nutzt ein Zertifikat, somit kann dort ein Zertifikat eingestellt werden. Dies muss nicht das Let's Encrypt Zertifikat des Hostnamens sein sondern kann auch ein reguläres, manuell hinterlegtes Zertifikat auf eine andere Domain sein. Denkbar wäre dort dann auch ein SAN Zertifikat welches mehrere Domains abdeckt.
Postfix nutzt ein Zertifikat, somit kann dort ein Zertifikat eingestellt werden. Dies muss nicht das Let's Encrypt Zertifikat des Hostnamens sein sondern kann auch ein reguläres, manuell hinterlegtes Zertifikat auf eine andere Domain sein. Denkbar wäre dort dann auch ein SAN Zertifikat welches mehrere Domains abdeckt.
Viele Grüße,
Martin
Martin
Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Den Vorschlag hatte ich bereits in einem anderen Thread gefunden. Aber hier muss man ja immer daran denken das Zertifikat auch mit zu aktualisieren was auch mit manuellen Aufwand / kosten verbunden ist.
Auf dem Plesk Server wo wir die Einstellung getestet haben, haben wir auch den Postfix Server eingestellt. Wie machen die das, den dort funktioniert es Problemlos Let's Encrypt Zertifikate zu verwenden und das auch komplett individuell pro Kunden Einzustellen? Die Let's Encrypt Zertifikate werden mit dem Standard Auto SSL-Job aktualisiert und man muss hier nichts mehr beachten. Bis auf das SAN Zertifikat gibt es aktuell keine andere Lösung nehme ich an, verstehe ich das richtig?
Auf dem Plesk Server wo wir die Einstellung getestet haben, haben wir auch den Postfix Server eingestellt. Wie machen die das, den dort funktioniert es Problemlos Let's Encrypt Zertifikate zu verwenden und das auch komplett individuell pro Kunden Einzustellen? Die Let's Encrypt Zertifikate werden mit dem Standard Auto SSL-Job aktualisiert und man muss hier nichts mehr beachten. Bis auf das SAN Zertifikat gibt es aktuell keine andere Lösung nehme ich an, verstehe ich das richtig?
Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Korrekt.
The software said: Requires Win Vista®, 7®, 8® or better. And so I installed Linux.
Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Hallo,
Grundsätzlich würde Postfix ab Version 3.4 wohl SNI unterstützen, Dovecot kann dies offenbar inzwischen auch, somit wäre darüber nachzudenken hier eine Auswahl von weiteren Zertifikaten zuzulassen. Debian 10 nutzt hier Postfix 3.4.7, alle andere aktuell unterstützten Systeme nutzen aber noch einen älteren Postfix.
Wenn wäre dies also ein Feature für Debian 10 bzw. Ubuntu 20.04 und folgende.
Siehe:
https://wiki.dovecot.org/SSL/DovecotCon ... 29_support
http://www.postfix.org/TLS_README.html
Grundsätzlich würde Postfix ab Version 3.4 wohl SNI unterstützen, Dovecot kann dies offenbar inzwischen auch, somit wäre darüber nachzudenken hier eine Auswahl von weiteren Zertifikaten zuzulassen. Debian 10 nutzt hier Postfix 3.4.7, alle andere aktuell unterstützten Systeme nutzen aber noch einen älteren Postfix.
Wenn wäre dies also ein Feature für Debian 10 bzw. Ubuntu 20.04 und folgende.
Siehe:
https://wiki.dovecot.org/SSL/DovecotCon ... 29_support
http://www.postfix.org/TLS_README.html
may
Opportunistic TLS. The optional "ciphers", "exclude" and "protocols" attributes (available for opportunistic TLS with Postfix ≥ 2.6) override the "smtp_tls_ciphers", "smtp_tls_exclude_ciphers" and "smtp_tls_protocols" configuration parameters. At this level and higher, the optional "servername" attribute (available with Postfix ≥ 3.4) overrides the global "smtp_tls_servername" parameter, enabling per-destination configuration of the SNI extension sent to the remote SMTP server.
Viele Grüße,
Martin
Martin
Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Ich hab jetzt gerade noch mal auf dem Server die aktuelle Config angesehen. Es ist sogar noch ein Ubuntu 16.04.6 LTS welches das auswählen von SSL Zertifikaten erlaubt. Ich hab auch noch mal die Mail Hosting Einstellung überprüft, da ist die Konstellation ebenfalls mit:
Plesk Server mit Ubuntu 16.04.6 LTS
IMAP/POP3 servers: Dovecot (2.3.7.2 (3c910f64b)
SMTP servers: Postfix (mail_version = 3.4.5)
Keyhelp Server mit Ubuntu 18.04 LTS
Dovecot: 2.2.33.2
Postfix: mail_version = 3.3.0
Vielleicht gibt es ja hier doch eine Möglichkeit, dass zu implementieren?
Ich würde mir diese Funktion sehr wünschen, da Sie uns einige Probleme ersparen würde. Vielleicht geht es ja anderen Usern genauso. Vorausgesetzt es ist technisch lösbar und Ihr seht das also Mehrwert für die User.
Plesk Server mit Ubuntu 16.04.6 LTS
IMAP/POP3 servers: Dovecot (2.3.7.2 (3c910f64b)
SMTP servers: Postfix (mail_version = 3.4.5)
Keyhelp Server mit Ubuntu 18.04 LTS
Dovecot: 2.2.33.2
Postfix: mail_version = 3.3.0
Vielleicht gibt es ja hier doch eine Möglichkeit, dass zu implementieren?
Ich würde mir diese Funktion sehr wünschen, da Sie uns einige Probleme ersparen würde. Vielleicht geht es ja anderen Usern genauso. Vorausgesetzt es ist technisch lösbar und Ihr seht das also Mehrwert für die User.
Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Hallo,
KeyHelp nutzt hier die Postfix Implementation welche die jeweilige Distribution anpasst. Speziell angepasste Postfix Versionen welche Plesk ggf. ausliefert wird es hier nicht geben.
SNI wäre daher, sofern es umgesetzt wird, eine Funktion für entsprechend aktuelle Distributionen. Wir werden dies dann zunächst aber einmal intern besprechen.
KeyHelp nutzt hier die Postfix Implementation welche die jeweilige Distribution anpasst. Speziell angepasste Postfix Versionen welche Plesk ggf. ausliefert wird es hier nicht geben.
SNI wäre daher, sofern es umgesetzt wird, eine Funktion für entsprechend aktuelle Distributionen. Wir werden dies dann zunächst aber einmal intern besprechen.
Viele Grüße,
Martin
Martin
Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Hi, gibt es da was neues zu berichten?Martin wrote: ↑Fri 24. Jan 2020, 14:07 Hallo,
KeyHelp nutzt hier die Postfix Implementation welche die jeweilige Distribution anpasst. Speziell angepasste Postfix Versionen welche Plesk ggf. ausliefert wird es hier nicht geben.
SNI wäre daher, sofern es umgesetzt wird, eine Funktion für entsprechend aktuelle Distributionen. Wir werden dies dann zunächst aber einmal intern besprechen.
Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Hallo,
wir prüfen gerade die Umsetzung. Einen zeitlichen Rahmen kann ich momentan noch nicht mitteilen.
wir prüfen gerade die Umsetzung. Einen zeitlichen Rahmen kann ich momentan noch nicht mitteilen.
Mit freundlichen Grüßen / Best regards
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Wow, das wäre super. Ich drück die Daumen.
Gruß Arne
Gruß Arne
Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Ich hole das Thema mal hoch.
Hat sich da was getan?
Ich überlege, wenn ich die bindAPI fertig habe evtl. ein Tool zu bauen um Domains zwischen Panels zu verschieben.
Essentiell wäre natürlich, dass die User in ihren Setup mail.domain.tld als Mailserver haben und nicht irgendeinen Panelnamen.
Hat sich da was getan?
Ich überlege, wenn ich die bindAPI fertig habe evtl. ein Tool zu bauen um Domains zwischen Panels zu verschieben.
Essentiell wäre natürlich, dass die User in ihren Setup mail.domain.tld als Mailserver haben und nicht irgendeinen Panelnamen.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Ich fange voraussichtlich diese Woche mit Dovecot-SNI und Postfix-SNI an. Dann kann man statt des Panel-Namens auch den Domain-Namen als Eingangs/Ausgangsserver verwenden.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden
Klasse, sieht auch gleich viel besser aus, finde ich
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.