Erweiterung - Bind Panel MX bei externen NS und SNI Host Eintrag
Posted: Wed 26. Feb 2025, 15:42
Bei der Verwendung von externen NS wäre es schön wenn folgendes noch ergänzt (erweitert) werden könnte ...
Ist hier als Beispiel gedacht und ich bin mir nicht sicher ob das alles so korrekt ist!
Panel > Konfiguration > Email: "Verwende den Hostnamen des Servers und Benutzerdefinierte Domain"
Hierbei könnte der Bind MX für das Panel (hostname -f) entsprechend geändert werden in der "/etc/bind/keyhelp_domain.conf"
Ergänzend dazu noch der fehlende Entry in der "/etc/postfix/postfix-sni.conf" für hostname -f (my.hostname.tld) mit cert pfad.
Die Logs werden geflutet mit "TLS SNI my.hostname.tld from ex.other.tld[xx.xxx.xxx.xx] not matched, using default chain" und der fail lookup & switch würden wegfallen.
Bei "Benutzerdefinierte Domain" würde es nur Sinn machen wenn ein cert lokal vorhanden ist zum einbinden, aber der Eintrag vom Panel (hostname -f) könnte bedenkenlos immer mit rein.
# /etc/postfix/postfix-sni.conf:
Nach meinem Test tauchen keine internen TLS SNI Fehler für diesen Host mehr auf:
Diese beiden Erweiterungen wären mit relativ wening Zeitaufwand in das Script für "Konfiguration > Email" zu integrieren, vorrausgesetzt es ist so korrekt 
Ist hier als Beispiel gedacht und ich bin mir nicht sicher ob das alles so korrekt ist!
Panel > Konfiguration > Email: "Verwende den Hostnamen des Servers und Benutzerdefinierte Domain"
Hierbei könnte der Bind MX für das Panel (hostname -f) entsprechend geändert werden in der "/etc/bind/keyhelp_domain.conf"
Code: Select all
# /etc/bind/keyhelp_domain.conf
; Mail
@ IN MX 10 my.hostname.tld.
Die Logs werden geflutet mit "TLS SNI my.hostname.tld from ex.other.tld[xx.xxx.xxx.xx] not matched, using default chain" und der fail lookup & switch würden wegfallen.
Bei "Benutzerdefinierte Domain" würde es nur Sinn machen wenn ein cert lokal vorhanden ist zum einbinden, aber der Eintrag vom Panel (hostname -f) könnte bedenkenlos immer mit rein.
# /etc/postfix/postfix-sni.conf:
Code: Select all
my.hostname.tld /etc/ssl/keyhelp/letsencrypt/keyhelp/my.hostname.tld/private.pem /etc/ssl/keyhelp/letsencrypt/keyhelp/my.hostname.tld/fullchain.pem
Nach meinem Test tauchen keine internen TLS SNI Fehler für diesen Host mehr auf:
Code: Select all
nano /etc/postfix/postfix-sni.conf
# add
my.hostname.tld /etc/ssl/keyhelp/letsencrypt/keyhelp/my.hostname.tld/private.pem /etc/ssl/keyhelp/letsencrypt/keyhelp/my.hostname.tld/fullchain.pem
# map
postmap -F hash:/etc/postfix/postfix-sni.conf
systemctl restart postfix
journalctl -n 5000 -u postfix@-.service | grep "TLS SNI"