5
Plesk - SMTP SSL Zertifizierung per Lets Encrypt auf alle gehosteten Domains ausweiten
Hi,
ich hoste eine kleine Webseite auf einem eigenen Server.
Ich nutze Plesk zur Verwaltung der Domain.
Dort habe ich die "Let's Encrypt" Erweiterung installiert.
Für den server selbst funktioniert die SSL Verschlüsselung - sprich HTTPS://serverdomain.de läuft.
Als Mail Server nutze ich Postfix für SMTP und Dovecot für IMAP.
Wenn ich jetzt Emails über die gehostete Domain an meine Google Email sende, werden diese bei meinem Google Account als "unverifiziert" gekennzeichnet.
Ich habe die Email Adresse der gehosteten Domain mit dem OnlineTool http://www.checktls.com/perl/TestReceiver.pl geprüft und heraus kam , dass die TLS Validierung klappt und alles gut ist, jedoch der CERT Hostname nicht verifiziert werden kann, da " hosteddomain.de != serverdomain.de ".
Wie kann ich die ausgehenden Mails aller gehosteten Domains verifizieren obwohl alles nur über einen Server läuft?
ich hoste eine kleine Webseite auf einem eigenen Server.
Ich nutze Plesk zur Verwaltung der Domain.
Dort habe ich die "Let's Encrypt" Erweiterung installiert.
Für den server selbst funktioniert die SSL Verschlüsselung - sprich HTTPS://serverdomain.de läuft.
Als Mail Server nutze ich Postfix für SMTP und Dovecot für IMAP.
Wenn ich jetzt Emails über die gehostete Domain an meine Google Email sende, werden diese bei meinem Google Account als "unverifiziert" gekennzeichnet.
Ich habe die Email Adresse der gehosteten Domain mit dem OnlineTool http://www.checktls.com/perl/TestReceiver.pl geprüft und heraus kam , dass die TLS Validierung klappt und alles gut ist, jedoch der CERT Hostname nicht verifiziert werden kann, da " hosteddomain.de != serverdomain.de ".
Wie kann ich die ausgehenden Mails aller gehosteten Domains verifizieren obwohl alles nur über einen Server läuft?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 301289
Url: https://administrator.de/contentid/301289
Ausgedruckt am: 26.11.2024 um 18:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Um dieses Problem zu verstehen muss man ein wenig wissen, wie Mail funktioniert. Mails werden über den MX Record der Domain zugestellt. Hierzu hinterlegt man einen FQHN (Full Qualified HostName) im MX-Record. Dieser Hostname muss forward auf eine IP Auflösen (Insbesondere muss es ein A bzw AAAA-Record sein und KEIN CNAME). Aber nicht nur in diese Richtung, nein, auch Reverse muss die IP wiederum auf den FQHN verweisen.
Beispielsweise mail.example.com löst auf die IP 1.2.3.4 auf. Dann muss der Reverse DNS Eintrag für 1.2.3.4 auch wiederum mail.example.com sein.
Soviel zum Grundsetup. Jetzt zu TLS:
Alle Domains, die über deinen Mailserver (mail.example.com) abgehandelt werden, müssen nun als MX Eintrag eben mail.example.com eingetragen haben. und nicht mail.bla.com und mail.blubb.com die vielleicht auch forward auf die IP1.2.3.4 verweisen, aber reverse nicht matchen.
Also brauchst du eigentlich nur für mail.example.com ein gültiges TLS-Zertifikat.
Wie du das von Let's Encrypt bekommst und einbaust, habe ich vor einer Weile hier beschrieben:
https://www.shivering-isles.com/lets-encrypt-free-trusted-certificates-f ...
Viel Spaß beim basteln ;)
Gruß
Chris
Um dieses Problem zu verstehen muss man ein wenig wissen, wie Mail funktioniert. Mails werden über den MX Record der Domain zugestellt. Hierzu hinterlegt man einen FQHN (Full Qualified HostName) im MX-Record. Dieser Hostname muss forward auf eine IP Auflösen (Insbesondere muss es ein A bzw AAAA-Record sein und KEIN CNAME). Aber nicht nur in diese Richtung, nein, auch Reverse muss die IP wiederum auf den FQHN verweisen.
Beispielsweise mail.example.com löst auf die IP 1.2.3.4 auf. Dann muss der Reverse DNS Eintrag für 1.2.3.4 auch wiederum mail.example.com sein.
Soviel zum Grundsetup. Jetzt zu TLS:
Alle Domains, die über deinen Mailserver (mail.example.com) abgehandelt werden, müssen nun als MX Eintrag eben mail.example.com eingetragen haben. und nicht mail.bla.com und mail.blubb.com die vielleicht auch forward auf die IP1.2.3.4 verweisen, aber reverse nicht matchen.
Also brauchst du eigentlich nur für mail.example.com ein gültiges TLS-Zertifikat.
Wie du das von Let's Encrypt bekommst und einbaust, habe ich vor einer Weile hier beschrieben:
https://www.shivering-isles.com/lets-encrypt-free-trusted-certificates-f ...
Viel Spaß beim basteln ;)
Gruß
Chris
Vielen Dank für die Hinweise -
also ich habe die Letsencrypt zertifikate genau so wie in deinem Blogeintrag erwähnt in die postfix und dovecot config files eingetragen - das hat auch geklappt.
Auch habe ich den MX Eintrag der "example.com." auf "mail.serverdomain.de." verwiesen.
Die "mail.serverdomain.de." zeigt auf die feste IP 123.123.123.123 - und wenn ich die IP im Browser eingebe komme ich auf "serverdomain.de" - also das passt soweit - richtig?
Weiters zeigt "mail.example.com." ebenfalls auf die feste IP 123.123.123.123 - ist das richtig so? oder muss mail.example.com auf "mail.serverdomain.de." zeigen?
Werden die Einträge instant übernommen oder dauert das einige Zeit?
Denn selbst nach den Änderungen bekomme ich noch die Meldung bei dem o.g. Test-Tool angezeigt:
(Auch nach einem Serverneustart)
"Cert Hostname DOES NOT VERIFY (example.com != serverdomain.de)"
Wenn ich eine emailadresse von example.com testen möchte.
Muss ich einfach nur nen tag oder zwei warten bis die Änderungen "offiziell" sind?
also ich habe die Letsencrypt zertifikate genau so wie in deinem Blogeintrag erwähnt in die postfix und dovecot config files eingetragen - das hat auch geklappt.
Auch habe ich den MX Eintrag der "example.com." auf "mail.serverdomain.de." verwiesen.
Die "mail.serverdomain.de." zeigt auf die feste IP 123.123.123.123 - und wenn ich die IP im Browser eingebe komme ich auf "serverdomain.de" - also das passt soweit - richtig?
Weiters zeigt "mail.example.com." ebenfalls auf die feste IP 123.123.123.123 - ist das richtig so? oder muss mail.example.com auf "mail.serverdomain.de." zeigen?
Werden die Einträge instant übernommen oder dauert das einige Zeit?
Denn selbst nach den Änderungen bekomme ich noch die Meldung bei dem o.g. Test-Tool angezeigt:
(Auch nach einem Serverneustart)
"Cert Hostname DOES NOT VERIFY (example.com != serverdomain.de)"
Wenn ich eine emailadresse von example.com testen möchte.
Muss ich einfach nur nen tag oder zwei warten bis die Änderungen "offiziell" sind?
Moin,
nicht ganz :D
Reverse DNS hat nichts mit dem Aufruf über ein Webinterface zu tun, sondern, wie der Name schon sagt, mit DNS.
Du musst bei deinem Provider die Eintragung des Reverse-DNS Eintrags anfragen, da das nur der tun kann, der den IP-Space verwaltet.
Davon abgesehen musst du dann bei ALLEN Domains den Servernamen eintragen, der als Reverse-DNS Eintrag hinterlegt ist.
Also wenn dein Mailserver mit der IP 123.123.123.123 forward und reverse auf mail.example.com auflöst, dann muss du bei example.com im MX Eintrag mail.example.com eingeben und bei serverdomain.com auch mail.example.com. Ein DNS Masking, wie du es vorhast geht bei Mailservern nicht, ohne dass es zu Fehlern bei der Zustellung führt.
Einfach einmal für einen Namen mit Domain entscheiden und diesen überall setzen.
Gruß
Chris
nicht ganz :D
Reverse DNS hat nichts mit dem Aufruf über ein Webinterface zu tun, sondern, wie der Name schon sagt, mit DNS.
Du musst bei deinem Provider die Eintragung des Reverse-DNS Eintrags anfragen, da das nur der tun kann, der den IP-Space verwaltet.
Davon abgesehen musst du dann bei ALLEN Domains den Servernamen eintragen, der als Reverse-DNS Eintrag hinterlegt ist.
Also wenn dein Mailserver mit der IP 123.123.123.123 forward und reverse auf mail.example.com auflöst, dann muss du bei example.com im MX Eintrag mail.example.com eingeben und bei serverdomain.com auch mail.example.com. Ein DNS Masking, wie du es vorhast geht bei Mailservern nicht, ohne dass es zu Fehlern bei der Zustellung führt.
Einfach einmal für einen Namen mit Domain entscheiden und diesen überall setzen.
Gruß
Chris
Achso ok.
Ja das wäre nicht das Problem, dass alle über meinen server die mails versenden.
Aber konfigurationstechnisch in Plesk wüsste ich da nicht wo ich da ansetzen kann.
Wie lege ich eine email adresse an die "info@example.com" heißt, aber über "smtp.serverdomain.de" emails versendet? Kannst du mir da vielleicht weiterhelfen? Oder suchbegriffe für google nennst die mir weiterhelfen können? Stehe diesbezüglich noch ganz am Anfang
Ja das wäre nicht das Problem, dass alle über meinen server die mails versenden.
Aber konfigurationstechnisch in Plesk wüsste ich da nicht wo ich da ansetzen kann.
Wie lege ich eine email adresse an die "info@example.com" heißt, aber über "smtp.serverdomain.de" emails versendet? Kannst du mir da vielleicht weiterhelfen? Oder suchbegriffe für google nennst die mir weiterhelfen können? Stehe diesbezüglich noch ganz am Anfang
Moin,
Das ist wirklich einfach: Lege den User einfach auf dem entsprechenden Mailserver an. Da du Plesk nutzt, was eine Standalone Solution ist (Soweit ich das gerade richtig im Kopf habe) hast du gar nicht die Wahl einen anderen Mailserver zu nutzen. Du musst nur schauen, dass dein Mailserver den richtigen Namen nutzt.
Das kannst du über den /etc/mailname und die config deines Postfix-Daemon prüfen.
Ansonsten empfehle ich dir wirklich folgenden Guide, unabhängig davon ob du ihn durchführst oder einfach nur liest mal anzuschauen:
https://workaround.org/ispmail/jessie
Einer der besten Guides um zu verstehen wie E-Mail funktioniert.
Viel Erfolg
Gruß
Chris
Wie lege ich eine email adresse an die "info@example.com" heißt, aber über "smtp.serverdomain.de" emails versendet?
Das ist wirklich einfach: Lege den User einfach auf dem entsprechenden Mailserver an. Da du Plesk nutzt, was eine Standalone Solution ist (Soweit ich das gerade richtig im Kopf habe) hast du gar nicht die Wahl einen anderen Mailserver zu nutzen. Du musst nur schauen, dass dein Mailserver den richtigen Namen nutzt.
Das kannst du über den /etc/mailname und die config deines Postfix-Daemon prüfen.
Ansonsten empfehle ich dir wirklich folgenden Guide, unabhängig davon ob du ihn durchführst oder einfach nur liest mal anzuschauen:
https://workaround.org/ispmail/jessie
Einer der besten Guides um zu verstehen wie E-Mail funktioniert.
Viel Erfolg
Gruß
Chris
