warbyrd
Apr 08, 2016
view8865
view5
0
Goto Top

Plesk - SMTP SSL Zertifizierung per Lets Encrypt auf alle gehosteten Domains ausweiten

GermansolvedQuestionEncryption, CertificatesSecurity
Hi,

ich hoste eine kleine Webseite auf einem eigenen Server.
Ich nutze Plesk zur Verwaltung der Domain.
Dort habe ich die "Let's Encrypt" Erweiterung installiert.
Für den server selbst funktioniert die SSL Verschlüsselung - sprich HTTPS://serverdomain.de läuft.

Als Mail Server nutze ich Postfix für SMTP und Dovecot für IMAP.

Wenn ich jetzt Emails über die gehostete Domain an meine Google Email sende, werden diese bei meinem Google Account als "unverifiziert" gekennzeichnet.
Ich habe die Email Adresse der gehosteten Domain mit dem OnlineTool http://www.checktls.com/perl/TestReceiver.pl geprüft und heraus kam , dass die TLS Validierung klappt und alles gut ist, jedoch der CERT Hostname nicht verifiziert werden kann, da " hosteddomain.de != serverdomain.de ".

Wie kann ich die ausgehenden Mails aller gehosteten Domains verifizieren obwohl alles nur über einen Server läuft?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 301289

Url: https://administrator.de/contentid/301289

Printed on: April 26, 2024 at 14:04 o'clock

5 Comments
Latest comment
Goto Top
Member: Sheogorath
Sheogorath Apr 08, 2016 at 16:36:14 (UTC)
Goto Top
Moin,

Um dieses Problem zu verstehen muss man ein wenig wissen, wie Mail funktioniert. Mails werden über den MX Record der Domain zugestellt. Hierzu hinterlegt man einen FQHN (Full Qualified HostName) im MX-Record. Dieser Hostname muss forward auf eine IP Auflösen (Insbesondere muss es ein A bzw AAAA-Record sein und KEIN CNAME). Aber nicht nur in diese Richtung, nein, auch Reverse muss die IP wiederum auf den FQHN verweisen.

Beispielsweise mail.example.com löst auf die IP 1.2.3.4 auf. Dann muss der Reverse DNS Eintrag für 1.2.3.4 auch wiederum mail.example.com sein.

Soviel zum Grundsetup. Jetzt zu TLS:

Alle Domains, die über deinen Mailserver (mail.example.com) abgehandelt werden, müssen nun als MX Eintrag eben mail.example.com eingetragen haben. und nicht mail.bla.com und mail.blubb.com die vielleicht auch forward auf die IP1.2.3.4 verweisen, aber reverse nicht matchen.

Also brauchst du eigentlich nur für mail.example.com ein gültiges TLS-Zertifikat.

Wie du das von Let's Encrypt bekommst und einbaust, habe ich vor einer Weile hier beschrieben:
https://www.shivering-isles.com/lets-encrypt-free-trusted-certificates-f ...

Viel Spaß beim basteln ;)

Gruß
Chris
Member: warbyrd
warbyrd Apr 08, 2016 at 18:21:56 (UTC)
Goto Top
Vielen Dank für die Hinweise -

also ich habe die Letsencrypt zertifikate genau so wie in deinem Blogeintrag erwähnt in die postfix und dovecot config files eingetragen - das hat auch geklappt.

Auch habe ich den MX Eintrag der "example.com." auf "mail.serverdomain.de." verwiesen.

Die "mail.serverdomain.de." zeigt auf die feste IP 123.123.123.123 - und wenn ich die IP im Browser eingebe komme ich auf "serverdomain.de" - also das passt soweit - richtig?

Weiters zeigt "mail.example.com." ebenfalls auf die feste IP 123.123.123.123 - ist das richtig so? oder muss mail.example.com auf "mail.serverdomain.de." zeigen?

Werden die Einträge instant übernommen oder dauert das einige Zeit?

Denn selbst nach den Änderungen bekomme ich noch die Meldung bei dem o.g. Test-Tool angezeigt:
(Auch nach einem Serverneustart)

"Cert Hostname DOES NOT VERIFY (example.com != serverdomain.de)"

Wenn ich eine emailadresse von example.com testen möchte.

Muss ich einfach nur nen tag oder zwei warten bis die Änderungen "offiziell" sind?
Member: Sheogorath
Solution Sheogorath Apr 08, 2016 at 18:32:39 (UTC)
Goto Top
Moin,

nicht ganz :D

Reverse DNS hat nichts mit dem Aufruf über ein Webinterface zu tun, sondern, wie der Name schon sagt, mit DNS.

Du musst bei deinem Provider die Eintragung des Reverse-DNS Eintrags anfragen, da das nur der tun kann, der den IP-Space verwaltet.

Davon abgesehen musst du dann bei ALLEN Domains den Servernamen eintragen, der als Reverse-DNS Eintrag hinterlegt ist.

Also wenn dein Mailserver mit der IP 123.123.123.123 forward und reverse auf mail.example.com auflöst, dann muss du bei example.com im MX Eintrag mail.example.com eingeben und bei serverdomain.com auch mail.example.com. Ein DNS Masking, wie du es vorhast geht bei Mailservern nicht, ohne dass es zu Fehlern bei der Zustellung führt.

Einfach einmal für einen Namen mit Domain entscheiden und diesen überall setzen.

Gruß
Chris
Member: warbyrd
warbyrd Apr 08, 2016 at 19:11:26 (UTC)
Goto Top
Achso ok.
Ja das wäre nicht das Problem, dass alle über meinen server die mails versenden.
Aber konfigurationstechnisch in Plesk wüsste ich da nicht wo ich da ansetzen kann.

Wie lege ich eine email adresse an die "info@example.com" heißt, aber über "smtp.serverdomain.de" emails versendet? Kannst du mir da vielleicht weiterhelfen? Oder suchbegriffe für google nennst die mir weiterhelfen können? Stehe diesbezüglich noch ganz am Anfang face-smile
Member: Sheogorath
Solution Sheogorath Apr 08, 2016 at 19:55:05 (UTC)
Goto Top
Moin,

Wie lege ich eine email adresse an die "info@example.com" heißt, aber über "smtp.serverdomain.de" emails versendet?

Das ist wirklich einfach: Lege den User einfach auf dem entsprechenden Mailserver an. Da du Plesk nutzt, was eine Standalone Solution ist (Soweit ich das gerade richtig im Kopf habe) hast du gar nicht die Wahl einen anderen Mailserver zu nutzen. Du musst nur schauen, dass dein Mailserver den richtigen Namen nutzt.

Das kannst du über den /etc/mailname und die config deines Postfix-Daemon prüfen.

Ansonsten empfehle ich dir wirklich folgenden Guide, unabhängig davon ob du ihn durchführst oder einfach nur liest mal anzuschauen:
https://workaround.org/ispmail/jessie

Einer der besten Guides um zu verstehen wie E-Mail funktioniert.

Viel Erfolg

Gruß
Chris
GermansolvedQuestionEncryption, CertificatesSecurity