mikrocontroller.net

Forum: PC Hard- und Software SSL-Zertifikat für Mailserver verwenden


Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich denke mal, der Bereich für Webseiten inkludiert auch allgemeinere 
Serverfragen.
Ich habe einen vServer mit eigener IP, aber mehrere Domains, nachfolgend 
example1.de example1.com example2.de example2.com genannt.

example1.de und example2.de sind jeweils eigene Webseiten und haben 
getrennte Rootverzeichnisse.
example1.com und example2.com sind jeweils Aliases der eben genannten 
Seiten.

Das alles ist per ISPConfig konfiguriert und funktioniert auch prima, 
inklusive der SSL-Zertifikate von Letsencrypt. Es wird jeweils ein 
Zertifikat für example1.de+example1.com und eines für 
example2.de+example2.com geholt.

Nun wollte ich meinem Mailserver auch ein SSL-Zertifikat verpassen. Da 
/etc/mailname auf example1.com zeigt, habe ich das entsprechende 
Zertifikat dafür ausgewählt.

Ich verwende jetzt allerdings auch eine Mailadresse @example2.com

Wenn ich das Ganze mit
https://de.ssl-tools.net/mailservers
überprüfe, wird bemängelt, dass example2.com nicht zum Zertifikat des 
Mailservers passt! Ist ja auch klar, denn dem Mailserver kann ich ja nur 
ein einziges Zertifikat verpassen... Das würde allerdings auch erklären, 
warum einige meiner Mails in Spamfiltern landen.

Die Frage ist nun aber, wie man es richtig macht? Kann mir jemand 
folgen?

: Verschoben durch Admin
Autor: A. K. (prx)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
IMHO zertifizieren Zertifikate für verschlüsselten SMTP Transport die 
Identität des Mailservers, nicht der Mailadresse.

Das bedeutet also, dass ein Mailserver in allen Domains, in denen er 
aufkreuzt, den gleichen Namen haben muss. Weshalb ein Mailserver mit 
zertifiziertem Namen mx.domain1.de auch dann so heissen muss, wenn er 
zusätzlich für Mails von und zu domain2.de zuständig ist. Im MX von 
domain2.de muss also mx.domain1.de stehen.

: Bearbeitet durch User
Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Blöde Frage: Wie finde ich denn raus, was im MX drin steht? Diese Option 
habe ich bei meinem Provider nicht.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Peter schrieb:
> Blöde Frage: Wie finde ich denn raus, was im MX drin steht? Diese Option
> habe ich bei meinem Provider nicht.

Windows:

> nslookup -type=mx ix.de
...
Nicht autorisierende Antwort:
ix.de   MX preference = 50, mail exchanger = secondarymx.heise.de
ix.de   MX preference = 10, mail exchanger = relay.heise.de

Linux:

$ dig mikrocontroller.net mx
...
;; ANSWER SECTION:
mikrocontroller.net.    86400   IN      MX      20 mxext3.mailbox.org.
mikrocontroller.net.    86400   IN      MX      10 mxext1.mailbox.org.
mikrocontroller.net.    86400   IN      MX      10 mxext2.mailbox.org.

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich habe die Änderung im MX jetzt schon vor einigen Wochen gemacht. 
Leider gibt es noch immer Probleme.

nslookup zeigt mir abwechselnd den alten und den neuen MX an. Ich 
dachte, dass das höchstens ein paar Tage dauert, bis sich die Änderung 
überall rumgesprochen hat.

Wenn ich hier nachsehe
https://www.heise.de/netze/tools/dns/
sehe ich gar nur den alten Eintrag.

Jemand eine Ahnung, wie lange das normalerweise dauert? Was könnte ich 
noch überprüfen?

Autor: T.roll (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Peter schrieb:
> Jemand eine Ahnung, wie lange das normalerweise dauert?

Solange wie angegeben.

Wie im Beispiel:
A. K. schrieb:
> ;; ANSWER SECTION:
> mikrocontroller.net.    86400   IN      MX      20 mxext3.mailbox.org.

86400 = 1 Tag

Peter schrieb:
> nslookup zeigt mir abwechselnd den alten und den neuen MX an.

Cache löschen.

Irgendwo hast du wohl auch einen Fehler in der Konfiguration.

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Kann man irgendwie rausfinden, wo der Fehler ist? Ich meine, mehr als 
den richtigen Eintrag setzen kann ich bei meinem Provider nicht. Laut 
Anfrage beim Provider wäre auch alles korrekt. Trotzdem habe ich mal den 
neuen, mal den alten MX.

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
TTL ist, glaube ich, 1 Tag. Ich kann es gerade nicht kontrollieren, weil 
das Kundencenter down ist.

Autor: Thomas Z. (thomas_z41)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Du könntest das Problem auch umgehen, in dem du ein Zertifikat für alle 
Domains nimmst.

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich verwende ISPConfig, da geht das nicht.

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Also, das Problem ist nun gelöst. Letztendlich waren die 
Backup-DNS-Server des Providers noch falsch konfiguriert... Als sie es 
korrigiert hatten, ging alles.

Auf die Spur kam ich dem mit

dig +additional +trace example.com mx

Vielen Dank für eure Tipps und einen guten Rutsch!

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.