letsencrypt auch für den Mailversand als TLS

Locked
pummelbaer
Posts: 63
Joined: Fri 27. Sep 2019, 15:52

letsencrypt auch für den Mailversand als TLS

Post by pummelbaer »

Hallo zusammen,

erst einmal ein dickes lob an das Entwicklerteam von KeyHelp. Ein klasse Managementsystem für Server...
Jedenfalls gut und übersichtlich und nicht so überfrachtet...
Ich bin jedenfalls hoch erfreut....

Eine kleine Anregung wäre Mögkichkeit zur Auswertung der Mail Logs in Keyweb ;-)

Ich wäre aber sicherlich noch erfreuter, wenn mir noch jemand weiterhelfen könnte im Bereich TLS für weitere Domain / Subdomains

Und zwar habe ich folgende Konstellation:

Debian 10 mit KeyHelp installiert und alles aktuell auf den derzeit neusten Stand...

Serverhost / Hostname ist: server1.meinedomain.de
Hauptdomain ist: meine domain.de

Letsencrypt ist auf beiden Domains hinterlegt.

E-Mail Adresse ist: Mustermann@meinedomain.de (es wird aber dafür das letsencypt Cert von server1.meinedomain.de verwendet)
Jetzt natürlich... Wie stelle ich das an, dass für die E-Mailverschlüsselug das Cert von meinedoman.de verwendet wird und nicht das von server1.meinedomain.de????

Wobei der Hostname als solches bestehen bleiben sollte, aber für Emails eben halt meine domain.de verwendet wird.


Muss ich das über Keyweb regeln?
Oder muss ich den hostnamen für den Mailserver im System manuell konfigurieren???
Wenn ja, welche Dateien müssen dann entsprechend angepasst werden???

Man kennt ja das Problem mit den lästigen Premium Mail anbietern wie T-Onlin, Web.de, GMX und wie die alle heissen.
Wenn die rumzicken weil der Zertifikate und Reverse nich korrekt angelegt sind....
Schon ist man nicht mehr Vertrauenswürdig und wird gesperrt...

Grüße aus Berlin
Pummelbär...
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: letsencrypt auch für den Mailversand als TLS

Post by Martin »

Hallo,

der Mailserver verwendet exakt ein TLS Zertifikat, somit ist hier nur eine Domain abgedeckt. Für Let's Encrypt ist dies entsprechend für den Serverhostnamen möglich.

Im Mailprogramm kann hier dann natürlich der Serverhostname als Postein- bzw. Postausgangsserver angegeben werden, dann wird das Zertifikat auch korrekt als gültig erkannt. (Ist z.B. bei Autokonfiguration bei Thunderbird, Outlook etc. der Fall)

Andere Domainnamen bzw. mehrere Domainnamen wären mit eigenen Zertifikaten möglich, bei mehreren Domains müssen diese alle in einem einzelnen Zertifikat enthalten sein.

Mit der Reverseauflösung hat dies zudem nichts zu tun, diese sollte natürlich unabhängig davon korrekt sein. Bei anderen Mailservern meldet sich der Maildienst ebenfalls mit dem Serverhostnamen.
Viele Grüße,
Martin
pummelbaer
Posts: 63
Joined: Fri 27. Sep 2019, 15:52

Re: letsencrypt auch für den Mailversand als TLS

Post by pummelbaer »

Hallo Martin,

also wenn ich das richtig verstanden habe, kann ich das Cert aus dem apache nehmen und in das Verzeichnis vom Mailserver in dem Fall Dovecot reinkopieren....
Und dann sollte es klappern...

Argh... halt... nö.... ich müsste das als Willdcard Cert über letsencryt generieren lassen....
Ich glaube daraus wird eher nen Schuh....


Gruß Pummelbaer
Last edited by pummelbaer on Fri 27. Sep 2019, 16:53, edited 1 time in total.
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: letsencrypt auch für den Mailversand als TLS

Post by Martin »

Hallo,

Sie können unter SSL/TLS Zertifikate eigene Zertifikate hinterlegen und diese dann unter Serverdienste sichern auswählen. Manuelle Änderungen diesbezüglich in der Dovecot/Postfix Konfiguration sind nicht anzuraten.
Viele Grüße,
Martin
pummelbaer
Posts: 63
Joined: Fri 27. Sep 2019, 15:52

Re: letsencrypt auch für den Mailversand als TLS

Post by pummelbaer »

Hallo,

hatte nicht geklappt...
da kommt immer noch die Meldung Serverhost missmatch....

naja mit outlook und thunderbird arbeite ich eigentlich selten, da ich oft unterwegs (Russland / Baltikum) bin.
Daher möchte ich dann auch noch Z-Push für Roundcube installieren um von mobilen Geräten darauf zugreifen zu können...
Und da sollten die Cert´s dann schon funktionieren. Da Apple ja was solche dinge angeht sehr pingelig reagiert.

Also das wäre schon TOP wenn man das hinbekommen würde...



Grüsse aus Berlin
Locked