Alternatives SSL Zertifikat für SSL/TLS E-Mail Verbindung pro Kunden

[yockl]

Hallo zusammen,

ich wollte mal nachfragen, ob es technisch möglich wäre, alternative SSL Zertifikate für die Absicherung vom Maildienst pro Kunde verwenden könnte. Aktuell wird ja immer der Hostname verwendet, wenn man z.B. einen Kunden auf einen anderen Server umziehen muss, dann müsste man aktuell z.B. auf allen Apple Geräten, Outlook etc. den Mail Host anpassen. Ansonsten funktionieren die E-Mails nicht mehr bzw. erhält man auch permanent einen SSL mismatch Error. Hier wäre es optimal, wenn man z.B. die Domain vom Kunden oder irgendeine welche sich im Besitz vom Kunden befindet und auf dem Server gehostet wird (Domain / Sub- Domain), dann müsste man auf den Endgeräten nie wieder Hand anlegen und könnte so einen perfekten Server Umzug realisieren. In Pl..k funktioniert das z.B. sehr gut (Screenshot angehängt), dass zeigt die Einstellmöglichkeit als Kunde, hier kann man Problemlos ein Let's Encrypt Zertifikat vom Kunden auswählen. Im Anschluss bekommt man keinen SSL-Error mehr wegen SSL missmatch.

Vielen Dank vorab

[Martin]

Hallo,

Postfix nutzt ein Zertifikat, somit kann dort ein Zertifikat eingestellt werden. Dies muss nicht das Let's Encrypt Zertifikat des Hostnamens sein sondern kann auch ein reguläres, manuell hinterlegtes Zertifikat auf eine andere Domain sein. Denkbar wäre dort dann auch ein SAN Zertifikat welches mehrere Domains abdeckt.

[yockl]

Den Vorschlag hatte ich bereits in einem anderen Thread gefunden. Aber hier muss man ja immer daran denken das Zertifikat auch mit zu aktualisieren was auch mit manuellen Aufwand / kosten verbunden ist.

Auf dem Plesk Server wo wir die Einstellung getestet haben, haben wir auch den Postfix Server eingestellt. Wie machen die das, den dort funktioniert es Problemlos Let's Encrypt Zertifikate zu verwenden und das auch komplett individuell pro Kunden Einzustellen? Die Let's Encrypt Zertifikate werden mit dem Standard Auto SSL-Job aktualisiert und man muss hier nichts mehr beachten. Bis auf das SAN Zertifikat gibt es aktuell keine andere Lösung nehme ich an, verstehe ich das richtig?

[nikko]

Bis auf das SAN Zertifikat gibt es aktuell keine andere Lösung nehme ich an, verstehe ich das richtig?

Korrekt.

[Martin]

Hallo,

Grundsätzlich würde Postfix ab Version 3.4 wohl SNI unterstützen, Dovecot kann dies offenbar inzwischen auch, somit wäre darüber nachzudenken hier eine Auswahl von weiteren Zertifikaten zuzulassen. Debian 10 nutzt hier Postfix 3.4.7, alle andere aktuell unterstützten Systeme nutzen aber noch einen älteren Postfix.

Wenn wäre dies also ein Feature für Debian 10 bzw. Ubuntu 20.04 und folgende.

Siehe:
https://wiki.dovecot.org/SSL/DovecotCon ... 29_support
http://www.postfix.org/TLS_README.html

may
Opportunistic TLS. The optional "ciphers", "exclude" and "protocols" attributes (available for opportunistic TLS with Postfix ≥ 2.6) override the "smtp_tls_ciphers", "smtp_tls_exclude_ciphers" and "smtp_tls_protocols" configuration parameters. At this level and higher, the optional "servername" attribute (available with Postfix ≥ 3.4) overrides the global "smtp_tls_servername" parameter, enabling per-destination configuration of the SNI extension sent to the remote SMTP server.

[yockl]

Ich hab jetzt gerade noch mal auf dem Server die aktuelle Config angesehen. Es ist sogar noch ein Ubuntu 16.04.6 LTS welches das auswählen von SSL Zertifikaten erlaubt. Ich hab auch noch mal die Mail Hosting Einstellung überprüft, da ist die Konstellation ebenfalls mit:

Plesk Server mit Ubuntu 16.04.6 LTS
IMAP/POP3 servers: Dovecot (2.3.7.2 (3c910f64b)
SMTP servers: Postfix (mail_version = 3.4.5)

Keyhelp Server mit Ubuntu 18.04 LTS
Dovecot: 2.2.33.2
Postfix: mail_version = 3.3.0

Vielleicht gibt es ja hier doch eine Möglichkeit, dass zu implementieren?

Ich würde mir diese Funktion sehr wünschen, da Sie uns einige Probleme ersparen würde. Vielleicht geht es ja anderen Usern genauso. Vorausgesetzt es ist technisch lösbar und Ihr seht das also Mehrwert für die User.

[Martin]

Hallo,

KeyHelp nutzt hier die Postfix Implementation welche die jeweilige Distribution anpasst. Speziell angepasste Postfix Versionen welche Plesk ggf. ausliefert wird es hier nicht geben.

SNI wäre daher, sofern es umgesetzt wird, eine Funktion für entsprechend aktuelle Distributionen. Wir werden dies dann zunächst aber einmal intern besprechen.

[ADG1]

Hallo,

KeyHelp nutzt hier die Postfix Implementation welche die jeweilige Distribution anpasst. Speziell angepasste Postfix Versionen welche Plesk ggf. ausliefert wird es hier nicht geben.

SNI wäre daher, sofern es umgesetzt wird, eine Funktion für entsprechend aktuelle Distributionen. Wir werden dies dann zunächst aber einmal intern besprechen.

Hi, gibt es da was neues zu berichten?

[Florian]

Hallo,

wir prüfen gerade die Umsetzung. Einen zeitlichen Rahmen kann ich momentan noch nicht mitteilen.

[ShortSnow]

Wow, das wäre super. Ich drück die Daumen.

Gruß Arne

[ADG1]

Hallo,

wir prüfen gerade die Umsetzung. Einen zeitlichen Rahmen kann ich momentan noch nicht mitteilen.

Dann freue ich mich schon mal drauf

[24unix]

Ich hole das Thema mal hoch.
Hat sich da was getan?

Ich überlege, wenn ich die bindAPI fertig habe evtl. ein Tool zu bauen um Domains zwischen Panels zu verschieben.

Essentiell wäre natürlich, dass die User in ihren Setup mail.domain.tld als Mailserver haben und nicht irgendeinen Panelnamen.

[Alexander]

Ich fange voraussichtlich diese Woche mit Dovecot-SNI und Postfix-SNI an. Dann kann man statt des Panel-Namens auch den Domain-Namen als Eingangs/Ausgangsserver verwenden.

[24unix]

Ich fange voraussichtlich diese Woche mit Dovecot-SNI und Postfix-SNI an. Dann kann man statt des Panel-Namens auch den Domain-Namen als Eingangs/Ausgangsserver verwenden.

Klasse, sieht auch gleich viel besser aus, finde ich

[ShortSnow]

Klasse.