Mailserver und hostname mit eigenem Zertifikat? [GELÖST]

[Mankra]

Betriebssystem: Debian 10.11 (64-bit)
KeyHelp-Version: 21.3 (Build 2344)
Virtualisierung: keine

Problembeschreibung:

Der hostname der KeyHelp-Installation ist key.domain.tld
Die Domain für den Mailserver ist mail.domain.tld

Die Folge daraus ist, dass das automatisch generierte Let's Encrypt-Zertifikat nur für key.domain.tld gilt, weswegen der Mail-Client (Thunderbird) folgende Fehlermeldung herausgibt:

Senden der Nachricht fehlgeschlagen.
Sichere Kommunikation mit der Gegenstelle ist nicht möglich: Angeforderter Domainname stimmt nicht mit dem Zertifikat des Servers überein.

Die Frage an dieser Stelle lautet nun:

Wie kann man KeyHelp beibringen, dass der Mailserver eine andere Domain hat, und für diese ein eigenes Let's Encrypt-Zertifikat anfordern?

Alternativ:

Kann man KeyHelp ein Let's Encrypt-Zertifikat nutzen lassen, dass für domain.tld ausgestellt wurde und alle Subdomains abdeckt?

Beide Wege würden, soweit ich es verstehe, das Problem lösen, aber ich kann nicht erkennen, wie das mit KeyHelp möglich ist. Unter Sicherheit -> SSL/TLS-Zertifikate kann man keine Let's Encrypt-Zertifikate verwalten. Wenn ich auf "Serverdienste absichern" klicke, kann man zwar Let's Encrypt auswählen, allerdings weiß KeyHelp an dieser Stelle ja nicht, dass der Mailserver eine andere Domain hat.

Muss ich dafür wirklich ein neues Zertifikat hochladen?

[24unix]

Dafür gibt es extra Einstellungen.

Security => SSL/TLS-Certificates => Secure Server Services

EDit: Oder habe ich Dich falsch verstanden, ist der Mail-Server auf einem anderen Rechner?

[tab-kh]

Da musst du wohl entweder den Servernamen und auch den RPTR auf mail.domain.tld ändern oder im Thunderbird den SMTP und IMAP-Server als key.domain.tld angeben.

[christian.john]

Hallo,

ich habe es so eingestellt, dass
a) der Mail-Server mail.server.de heißt
b) ein Benutzer keyhelp.server.de als Domain besitzt, dieses ein LE-Zertifikat für keyhelp.server.de hat und die mittels Reverse-Proxy auf mail.server.de zeigt.

Daraus folgt:
Mail-Server für die Einrichtung: mail.server.de
Keyhelp erreichbar unter: https://keyhelp.server.de (und auch über https://mail.server.de)

Christian

[Tobi]

Dazu gibt es auch einen entsprechenden Feature-Request.
viewtopic.php?t=7990

[Informadueppy]

Hallo zusammen!
Wir sind innerhalb von Keyweb von einem alten Server mit Plesk auf einen neuen mit KeyHelpPro umgezogen.
Unter Plesk hatten wir einen eigenen Hostname für alle Postfächer diverser Domains. Hat immer super funktioniert.
Unter KeywebHelpPro scheint das nun nicht mehr möglich zu sein wie hier und im Request zu lesen.
Gibt es einen brauchbaren Workaround oder müssen wir alle kleineren Kunden kontaktieren und bei jedem den Mailserver im Outlook, Thunderbird, etc. manuell abändern, damit keine Zertifikatsfehlermeldung mehr erscheint?
Danke im Voraus!

[Alexander]

Hallo,

Das nächste KeyHelp-Update 22.0 erscheint vorraussichtlich Anfang-Mitte kommender Woche und beinhaltet das Mailserver-SNI Feature.
Damit steht dann der Domainname (Sofern die Domain mit einem TLS Zertifikat gesichert ist) zusätzlich zum Hostnamen des Systems als Mailserver-Name zur Verfügung.

[MLan]

...
Damit steht dann der Domainname (Sofern die Domain mit einem TLS Zertifikat gesichert ist) zusätzlich zum Hostnamen des Systems als Mailserver-Name zur Verfügung.

Hi Alex,
ist es dann auch ohne weiteres möglich sub.domain.de zu nutzen ?
So etwa pop,imap,mail.domain.de ?
Gruß Mlan

[Alexander]

Aktuell sind in 22.0 alle Domains und Subdomains gültig, die im KeyHelp existieren UND als Email-Domain markiert UND ein TLS-Zertifikat besitzen.

[Jolinar]

Aktuell sind in 22.0 alle Domains und Subdomains gültig, die im KeyHelp existieren UND als Email-Domain markiert UND ein TLS-Zertifikat besitzen.

Na da bleiben ja dann wirklich keine Wünsche mehr offen.

[MLan]

Aktuell sind in 22.0 alle Domains und Subdomains gültig, die im KeyHelp existieren UND als Email-Domain markiert UND ein TLS-Zertifikat besitzen.

Na da bleiben ja dann wirklich keine Wünsche mehr offen.

Das wird grossartig.
Hoffe nur dass es keine Komplikationen mit älteren Clients geben wird.

[Jolinar]

Hoffe nur dass es keine Komplikationen mit älteren Clients geben wird.

Da muß man als Serveradmin den Nutzern seiner Dienste klarmachen, daß man sich nicht bis ins Unendliche verbiegt, nur weil manche Nutzer aus Bequemlichkeit oder ähnlichen Gründen nicht willens sind, auf moderne Clienten zu wechseln.

[24unix]

Hoffe nur dass es keine Komplikationen mit älteren Clients geben wird.

Die können ja immer noch über den Panelnamen gehen, ohne SNI.

[Jolinar]

Die können ja immer noch über den Panelnamen gehen, ohne SNI.

Und den Webmailer gibts ja auch noch.

[MLan]

Hallo,

Das nächste KeyHelp-Update 22.0 erscheint vorraussichtlich Anfang-Mitte kommender Woche und beinhaltet das Mailserver-SNI Feature.
Damit steht dann der Domainname (Sofern die Domain mit einem TLS Zertifikat gesichert ist) zusätzlich zum Hostnamen des Systems als Mailserver-Name zur Verfügung.

@Alexander,
das Datum und ich bin soweit. Es kann losgehen.