Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Welche Features fehlen Ihnen noch? Teilen Sie es uns mit.
Post Reply
yockl
Posts: 32
Joined: Fri 17. Nov 2017, 15:12

Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by yockl »

Hallo zusammen,

ich wollte mal nachfragen, ob es technisch möglich wäre, alternative SSL Zertifikate für die Absicherung vom Maildienst pro Kunde verwenden könnte. Aktuell wird ja immer der Hostname verwendet, wenn man z.B. einen Kunden auf einen anderen Server umziehen muss, dann müsste man aktuell z.B. auf allen Apple Geräten, Outlook etc. den Mail Host anpassen. Ansonsten funktionieren die E-Mails nicht mehr bzw. erhält man auch permanent einen SSL mismatch Error. Hier wäre es optimal, wenn man z.B. die Domain vom Kunden oder irgendeine welche sich im Besitz vom Kunden befindet und auf dem Server gehostet wird (Domain / Sub- Domain), dann müsste man auf den Endgeräten nie wieder Hand anlegen und könnte so einen perfekten Server Umzug realisieren. In Pl..k funktioniert das z.B. sehr gut (Screenshot angehängt), dass zeigt die Einstellmöglichkeit als Kunde, hier kann man Problemlos ein Let's Encrypt Zertifikat vom Kunden auswählen. Im Anschluss bekommt man keinen SSL-Error mehr wegen SSL missmatch.

Vielen Dank vorab
Attachments
alternativer_email_host.JPG
alternativer_email_host.JPG (20.82 KiB) Viewed 4562 times
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by Martin »

Hallo,

Postfix nutzt ein Zertifikat, somit kann dort ein Zertifikat eingestellt werden. Dies muss nicht das Let's Encrypt Zertifikat des Hostnamens sein sondern kann auch ein reguläres, manuell hinterlegtes Zertifikat auf eine andere Domain sein. Denkbar wäre dort dann auch ein SAN Zertifikat welches mehrere Domains abdeckt.
Viele Grüße,
Martin
yockl
Posts: 32
Joined: Fri 17. Nov 2017, 15:12

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by yockl »

Den Vorschlag hatte ich bereits in einem anderen Thread gefunden. Aber hier muss man ja immer daran denken das Zertifikat auch mit zu aktualisieren was auch mit manuellen Aufwand / kosten verbunden ist.

Auf dem Plesk Server wo wir die Einstellung getestet haben, haben wir auch den Postfix Server eingestellt. Wie machen die das, den dort funktioniert es Problemlos Let's Encrypt Zertifikate zu verwenden und das auch komplett individuell pro Kunden Einzustellen? Die Let's Encrypt Zertifikate werden mit dem Standard Auto SSL-Job aktualisiert und man muss hier nichts mehr beachten. Bis auf das SAN Zertifikat gibt es aktuell keine andere Lösung nehme ich an, verstehe ich das richtig?
nikko
Posts: 914
Joined: Fri 15. Apr 2016, 16:11

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by nikko »

yockl wrote: Fri 24. Jan 2020, 10:22 Bis auf das SAN Zertifikat gibt es aktuell keine andere Lösung nehme ich an, verstehe ich das richtig?
Korrekt.
The software said: Requires Win Vista®, 7®, 8® or better. And so I installed Linux.
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by Martin »

Hallo,

Grundsätzlich würde Postfix ab Version 3.4 wohl SNI unterstützen, Dovecot kann dies offenbar inzwischen auch, somit wäre darüber nachzudenken hier eine Auswahl von weiteren Zertifikaten zuzulassen. Debian 10 nutzt hier Postfix 3.4.7, alle andere aktuell unterstützten Systeme nutzen aber noch einen älteren Postfix.

Wenn wäre dies also ein Feature für Debian 10 bzw. Ubuntu 20.04 und folgende.

Siehe:
https://wiki.dovecot.org/SSL/DovecotCon ... 29_support
http://www.postfix.org/TLS_README.html
may
Opportunistic TLS. The optional "ciphers", "exclude" and "protocols" attributes (available for opportunistic TLS with Postfix ≥ 2.6) override the "smtp_tls_ciphers", "smtp_tls_exclude_ciphers" and "smtp_tls_protocols" configuration parameters. At this level and higher, the optional "servername" attribute (available with Postfix ≥ 3.4) overrides the global "smtp_tls_servername" parameter, enabling per-destination configuration of the SNI extension sent to the remote SMTP server.
Viele Grüße,
Martin
yockl
Posts: 32
Joined: Fri 17. Nov 2017, 15:12

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by yockl »

Ich hab jetzt gerade noch mal auf dem Server die aktuelle Config angesehen. Es ist sogar noch ein Ubuntu 16.04.6 LTS welches das auswählen von SSL Zertifikaten erlaubt. Ich hab auch noch mal die Mail Hosting Einstellung überprüft, da ist die Konstellation ebenfalls mit:

Plesk Server mit Ubuntu 16.04.6 LTS
IMAP/POP3 servers: Dovecot (2.3.7.2 (3c910f64b)
SMTP servers: Postfix (mail_version = 3.4.5)

Keyhelp Server mit Ubuntu 18.04 LTS
Dovecot: 2.2.33.2
Postfix: mail_version = 3.3.0

Vielleicht gibt es ja hier doch eine Möglichkeit, dass zu implementieren?

Ich würde mir diese Funktion sehr wünschen, da Sie uns einige Probleme ersparen würde. Vielleicht geht es ja anderen Usern genauso. Vorausgesetzt es ist technisch lösbar und Ihr seht das also Mehrwert für die User.
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by Martin »

Hallo,

KeyHelp nutzt hier die Postfix Implementation welche die jeweilige Distribution anpasst. Speziell angepasste Postfix Versionen welche Plesk ggf. ausliefert wird es hier nicht geben.

SNI wäre daher, sofern es umgesetzt wird, eine Funktion für entsprechend aktuelle Distributionen. Wir werden dies dann zunächst aber einmal intern besprechen.
Viele Grüße,
Martin
User avatar
ADG1
Posts: 37
Joined: Thu 19. Dec 2019, 18:33

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by ADG1 »

Martin wrote: Fri 24. Jan 2020, 14:07 Hallo,

KeyHelp nutzt hier die Postfix Implementation welche die jeweilige Distribution anpasst. Speziell angepasste Postfix Versionen welche Plesk ggf. ausliefert wird es hier nicht geben.

SNI wäre daher, sofern es umgesetzt wird, eine Funktion für entsprechend aktuelle Distributionen. Wir werden dies dann zunächst aber einmal intern besprechen.
Hi, gibt es da was neues zu berichten?
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by Florian »

Hallo,

wir prüfen gerade die Umsetzung. Einen zeitlichen Rahmen kann ich momentan noch nicht mitteilen.
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
ShortSnow
Posts: 251
Joined: Thu 15. Nov 2018, 00:45

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by ShortSnow »

Wow, das wäre super. Ich drück die Daumen. :D

Gruß Arne
User avatar
ADG1
Posts: 37
Joined: Thu 19. Dec 2019, 18:33

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by ADG1 »

Florian wrote: Wed 20. Jan 2021, 14:57 Hallo,

wir prüfen gerade die Umsetzung. Einen zeitlichen Rahmen kann ich momentan noch nicht mitteilen.
Dann freue ich mich schon mal drauf ;)
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by 24unix »

Ich hole das Thema mal hoch.
Hat sich da was getan?

Ich überlege, wenn ich die bindAPI fertig habe evtl. ein Tool zu bauen um Domains zwischen Panels zu verschieben.

Essentiell wäre natürlich, dass die User in ihren Setup mail.domain.tld als Mailserver haben und nicht irgendeinen Panelnamen.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by Alexander »

Ich fange voraussichtlich diese Woche mit Dovecot-SNI und Postfix-SNI an. Dann kann man statt des Panel-Namens auch den Domain-Namen als Eingangs/Ausgangsserver verwenden.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by 24unix »

Alexander wrote: Tue 15. Feb 2022, 09:18 Ich fange voraussichtlich diese Woche mit Dovecot-SNI und Postfix-SNI an. Dann kann man statt des Panel-Namens auch den Domain-Namen als Eingangs/Ausgangsserver verwenden.
Klasse, sieht auch gleich viel besser aus, finde ich :-)
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
ShortSnow
Posts: 251
Joined: Thu 15. Nov 2018, 00:45

Re: Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

Post by ShortSnow »

:mrgreen: :mrgreen: :mrgreen: Klasse.
Post Reply