POSTFIX 3.6.3: EIN SSL-Zertifikat als Alternative zu SNI-Maps mit mehreren Domain-Zertifikaten?

testit

Well-Known Member
Hallo!

Ich würde gerne EMail-Accounts der Form username1@Domain#1.tld, username2@Domain#2.tld usw. anlegen und gleichzeitig für diese jeweils

pop3.Domain#1.tld bzw. smtp.Domain#1.tld
und
pop3.Domain#2.tld bzw. smtp.Domain#2.tld
nutzbar machen.

Mir stellt sich nun die Frage, wie ich das mit POSTFIX realisieren kann?

Denn ich müsste ja MEHRERE Zertifikate, d. h. für die o. a. Domain#1.tld, Domain#2.tld usw. einbinden.
Offensichlich gibt es seit POSTFIX 3.4 die Möglichkeit (SNI-MAPS), mehrere Zertifikate einzubinden, was man ja dann wohl auch in Dovecot machen müsste.

Ich frage mich, ob man nicht das gleiche Ziel erreicht, indem man mit „certbot -d …“ für mehrere unterschiedliche Domains EIN einziges Zertifikat für POSTFIX (bzw. Dovecot) erzeugt und dann auch die o. a. smtp.Domain#1.tld und smtp.Domain#2.tld usw. im Mail-Client nutzen kann, ohne dass ein Zertifikats-Fehler angezeigt wird?

Hat das jemand von Euch das in POSTFIX so erfolgreich umgesetzt?


Vielen Dank und freundliche Grüße
testit

EDIT: Wird vermutlich sogar gehen, aber man gibt auf diese Weise dann leider auch Informationen in dem Zertifikat über verschiedene Domains preis, die nicht jeden Dritten etwas angehen. Insofern wird die SNI-Lösung vermutlich die besser sein.
 
Falls das für Dich in Frage kommt: Du kannst den Mailserver auch einfach auf einer ganz anderen Domain betreiben, und dann halt als MX für Domain#1.tld, Domain#2.tld und evtl. noch weitere im DNS eintragen. Dann brauchen Postfix und Dovecot nur ein Zertifikat. Die Anwender müssen dann halt diese Adresse als pop3 und smtp (bzw. submission) Host in Ihren Mailprogrammen eintragen, unabhängig von ihrer Maildomain (dafür gibt's auch mehrere Autokonfigurationsmöglichkeiten, die mehr oder weniger gut funktionieren).
 
Hallo,

vielen Dank für Deinen Hinweis!

Genau SO, wie Du es beschreibst, läuft es ja bei mir aktuell ja in dem aufgesetzten System!

Im Prinzip ist mein Anliegen eher "kosmetischer" Natur, weil es "besser" aussieht, wenn man passend zum MailAccount username@domain.tld auch pop3.domain.tld sowie smtp.domain.tld im MailClient eintragen kann.

Viele Grüße
testit
 
Wenn es nur 2 oder 3 Domains sind sollte sich das glaub ich mit SAN - also Multidomain Zertifikaten lösen lassen oder? Nur ne Idee, kA ob das von Postfix unterstützt wird, aber wär im SSL Standard.
 
Ich denke auch, dass das gehen wird, aber SAN hat leider den Nachteil, dass man den Zertifikaten auch entnehmen kann, welche Domains sonst noch abgedeckt sind (Datenschutz!?).

Viele Grüße
testit
 
Mhmm ja das kann natürlich sein, wobei ob man bei öffentlichen DNS Adressen von Datenschutz sprechen kann? Immerhin sind die Zuordnungen bekannt und stehen in einer Datenbank (nämlich dem DNS), nur einfach Abzufragen ist es halt nur in eine Richtung.
 
Genau SO, wie Du es beschreibst, läuft es ja bei mir aktuell ja in dem aufgesetzten System!
So ist es eigentlich auch die eleganteste und vor allem flexibelste Lösung, weil ohne großes herummachen mit Zertifikaten und Konfigurationen beliebige und beliebig viele Maildomains bedient werden können. Aber verstehe schon (und kenne das selber), wenn man das anders haben will dann will man das halt. :)
 
Mhmm ja das kann natürlich sein, wobei ob man bei öffentlichen DNS Adressen von Datenschutz sprechen kann? Immerhin sind die Zuordnungen bekannt und stehen in einer Datenbank (nämlich dem DNS), nur einfach Abzufragen ist es halt nur in eine Richtung.

Das Problem ist, dass man auf diese Weise bspw. schnell/einfach herausbekommen kann, welche anderen Domains ebenfalls über den betreffenden Mailserver verwaltet werden. Und das ist vermutlich nicht für jedermann akzeptabel.

Es kommt noch hinzu, dass u. U. ein Wissen um die über ein einziges Zertifikat "abgedeckten" Domains es zulässt, auf die NICHT abgesicherten Domains zu schließen, die vom gleichen Mailserver verwaltet werden.

Viele Grüße
testit
 
So ist es eigentlich auch die eleganteste und vor allem flexibelste Lösung, weil ohne großes herummachen mit Zertifikaten und Konfigurationen beliebige und beliebig viele Maildomains bedient werden können. Aber verstehe schon (und kenne das selber), wenn man das anders haben will dann will man das halt. :)
Du hast schon recht: Man muss sich eigentlich keinen weiteren Aufwand einhandeln. :D

Auf der anderen Seite interessiert mich aber schon, wie solch ein Szenario umgesetzt werden kann, zumal es, nach allem was ich auf die Schnelle gefunden habe, wohl seit Postfix 3.4 auch einigermaßen schnell umsetzbar ist.

Viele Grüße
testit
 
Zurück
Oben