Let´s Encrypt auch für Mailkonten?

  • Hallo :)


    Ich habe mal wieder eine Frage :)


    Ich habe vergangene Woche alle Kunden erfolgreich mit einem LE-Zertifikat ausgestattet. Die Webseiten sind jetzt verschlüsselt / über https aufrufbar. :)


    Nun dachte ich, dass man damit auch die Mailkonten absichern kann, doch hier funktioniert das nicht. Sind die LE-Zertifikate nicht für die eMailkonten nutzbar?


    Das Zertifikat wurde bereits erstellt:
    - Domain: zertifikat.domain.de
    - eMail: zertifikat@domain.de


    Der Mailserver im DNS lautet: mail.kundendomain.de

    Vorgehen bei Einrichtung im Thunderbird:
    - Konto erstellen/ändern mit Name, Mailaddy, Passwort
    - POP3 Einstellungen ändern: auf mail.kundendomain.de (vorher war die Adresse meines Webhosters eingetragen, die ist aber kompliziert und auch unpersönlich)
    - Servertyp: POP
    - Server: mail.kundendomain.de
    - Port: 995
    --- Ab hier bissel gespielt mit:
    - Verbindungsicherheit: SSL/TLS /STARTTLS
    - Authentifizierung: Passwort normal /verschlüsselt / TLS-Zertifikat


    Wenn die Einstellungen wie oben vorgenommen werden, ruft das Konto nichts ab.
    Entweder erfolgt der Hinweis, dass sich eine Seite mit einem falschen oder gefälschten Zertifikat ausweisen möchte, oder aber TB lädt und lädt und lädt, ohne eMails abzurufen, ich denke weil er sich nicht verbinden kann.


    Gibt es einen Trick dabei? :confused:


    Danke schon mal... :)

  • Nun dachte ich, dass man damit auch die Mailkonten absichern kann, doch hier funktioniert das nicht. Sind die LE-Zertifikate nicht für die eMailkonten nutzbar?


    vs


    Zitat

    Das Zertifikat wurde bereits erstellt:
    - Domain: zertifikat.domain.de
    - eMail: zertifikat@domain.de


    Der Mailserver im DNS lautet: mail.kundendomain.de


    Es muss das korrekte Zertifikat hinterlegt werden:


    http://www.liveconfig.com/de/h…tml#tutorial.servers.mail



    Zertifikats-Name (CN) sowie verwendeter Hostname für POP3/IMAP/SMTP im Mailclient müssen identisch sein.



    Klappt 1a.

  • Hallo Anton,


    Danke für Deine Antwort. :)


    In die Serververwaltung komme ich nicht rein, ich hab nur nen VServer beim Hoster. Ich denke da sollte aber alles vom Hoster eingetragen sein.


    Ich hab jetzt noch ein weiteres Zertifikat angelegt. Dabei jetzt alles mit "mail" eingetragen.
    - Domain: mail.kundendomain.de
    - eMail: mail@kundendomain.de
    - Eintrag beim Zertifikat auch -> mail.kundendomain.de (ohne Subdomain)
    - Umstellung in TB vorgenommen


    Aber da tut sich nichts, wie vorher auch. Entweder die Anzeige mit dem "falschen" Zertifikat kommt oder elend lange Ladezeit, bis TB das Abrufen einstellt. (Ladeleiste verschwindet irgendwann), Mails kommen nicht rein und gehen nicht raus.


    Werte, wenn ich die Details aufrufe:
    - RSA Schlüssel 2048bit,
    - CSR ist leer "nicht vorhanden",
    - CRT ist mit allen Daten drin, wie auch bei den anderen Zertifikaten,
    - CA hat den grünen Haken mit der Zeichenkette hinten dran.


    - CN ist überall gleich: mail.kundendomain.de


    Mehr kann ich gerade nicht machen... :(

  • Nochmal: solange dein Mailserver (IMAP/POP3/SMTP) nicht genau das Zertifikat verwendet, dessen Hostname du im Client konfigurierst, kannst du so viele Zertifkate holen, wie du willst: es bringt nichts.


    Zitat

    In die Serververwaltung komme ich nicht rein, ich hab nur nen VServer beim Hoster. Ich denke da sollte aber alles vom Hoster eingetragen sein.


    Dann sag deinem Hoster, er soll das gewünschte Zertifikat beim Mailserver hinterlegen.



    Falls da nicht eh schon ein Zertifikat hinterlegt ist: verwende doch einfach diesen Namen im Mailclient?

  • Hallo Anton,


    Ah jetzt ja *patsch*
    Du meinst, das Zertifikat, was ich beantragt habe, muss mein Hoster in dem Bereich einstellen, den Du mir mit dem Link vom Handbuch angezeigt hast :)


    Da ist die Frage, ob er da für jedes Web ein eigenes Zertifikat hinterlegen kann? :confused:
    Wohl eher nicht, also müsste ich einen eigenen mailserver-Namen einrichten (zb.: mail.meinefirma.de).


    ***
    Ich möchte meinen Kunden gern einen einfachen Namen zur Verfügung stellen. Bevor man die Mails verschlüsselt hat, konnte man halt mail.kundendomain.de nutzen. Jetzt hab ich der Verschlüsselung wegen so ´nen Rattenschwanz weiter gegeben... --> "vserver12345_webhosterserverNr12345.com"
    Da kommen dann die Fragen, ob es nicht einfacher ginge... :rolleyes: :eek:


    Daher die Überlegungen und das Testen wie was geht... :)

  • Ich möchte meinen Kunden gern einen einfachen Namen zur Verfügung stellen. Bevor man die Mails verschlüsselt hat, konnte man halt mail.kundendomain.de nutzen. Jetzt hab ich der Verschlüsselung wegen so ´nen Rattenschwanz weiter gegeben... --> "vserver12345_webhosterserverNr12345.com"


    So was die "mail.kundendomain.de" geht (vereinfacht gesagt) nicht.
    Einzige Ausnahme wäre ein Multi-Domain-Zertifikat, das macht mit mehr als 3-4 Kunden dann aber auch keinen Spaß mehr. Zudem sähe da jeder Kunde die Domains der anderen Kunden mit im Zertifikat.


    Sauberste und gängige Lösung ("best practive"): das Ding "mail.anbietername.de" nennen und den Kunden eben diesen Namen mitteilen. Oder "server123.anbietername.de". :D

  • So was die "mail.kundendomain.de" geht (vereinfacht gesagt) nicht.


    *hust* SNI *hust*


    aber ja, im Normalfall ist das natürlich nicht praktikabel.



    Zitat

    Einzige Ausnahme wäre ein Multi-Domain-Zertifikat, das macht mit mehr als 3-4 Kunden dann aber auch keinen Spaß mehr. Zudem sähe da jeder Kunde die Domains der anderen Kunden mit im Zertifikat.


    Zitat

    Sauberste und gängige Lösung ("best practive"): das Ding "mail.anbietername.de" nennen und den Kunden eben diesen Namen mitteilen. Oder "server123.anbietername.de". :D


    Gibt noch was sinnvolleres - aber das sprengt den Rahmen des Forums und ist mit einem Server auch nicht machbar.

  • Tendenziell wollten die Kollegen LC so erweitern, dass Kunden mit individueller IP-Adresse auch am Mailserver mit genau dieser IP erreichbar sind. In diesem Stadium dürfte auch das Zertifikat genau/eindeutig diesem Mail-Host zuordenbar sein.


    Für alle Webspace-Kunden, die die Zentrale Server-IP nutzen und auch mit ihren "Post-Subdomains" auf dieser IP auflaufen, würde ich eine Frage in den Raum stellen. Können die PEMs oder TLS-Dateien im Postfix eine Sammlung von Schlüsseln und Zertifikaten bedienen und verkraften? Praktisch habe ich das noch nicht getestet. Auf die Schnelle spricht die Doku http://wiki.dovecot.org/SSL/DovecotConfiguration auch von diesen Varianten. Nur die Mail-Programme http://wiki.dovecot.org/SSL/SNIClientSupport werden nicht alle damit umgehen können.

  • Tendenziell wollten die Kollegen LC so erweitern, dass Kunden mit individueller IP-Adresse auch am Mailserver mit genau dieser IP erreichbar sind. In diesem Stadium dürfte auch das Zertifikat genau/eindeutig diesem Mail-Host zuordenbar sein.


    das setzt voraus, dass Webserver und Mailserver auf dem gleichen Host liegen. Ist das nicht der Fall, müsste logischerweise auf dem Mailserver erneut eine eigene IP aktiviert und verwaltet werden.


    Zitat

    Für alle Webspace-Kunden, die die Zentrale Server-IP nutzen und auch mit ihren "Post-Subdomains" auf dieser IP auflaufen, würde ich eine Frage in den Raum stellen. Können die PEMs oder TLS-Dateien im Postfix eine Sammlung von Schlüsseln und Zertifikaten bedienen und verkraften?


    Nö:


    Zitat von http://www.postfix.org/TLS_README.html

    There are no plans to implement SNI in the Postfix SMTP server.


    Zitat

    Praktisch habe ich das noch nicht getestet. Auf die Schnelle spricht die Doku http://wiki.dovecot.org/SSL/DovecotConfiguration auch von diesen Varianten. Nur die Mail-Programme http://wiki.dovecot.org/SSL/SNIClientSupport werden nicht alle damit umgehen können.


    Postfix != Dovecot, IMAP != SMTP.



    Letztendlich: genau für diese Fälle wurde Autodiscovery/Autoconfig geschaffen.


    Ein Client schickt eine Anfrage an eine zentrale Stelle und erhält dadurch die tatsächliche Server-Konfiguration zurück.


    Ob da dann "server123.example.com" drinnen steht, oder "mail.example.com", kann dem Endkunden egal sein.


    Microsoft macht es mit Office365 ja auch nicht anders.

  • Mahlzeit... :)


    erstmal Danke für die ausführlichen Infos. :cool:
    Dann werde ich das mal mit meiner "Anbieterdomain" angehen. Scheint dann ja der einzige gangbare Weg zu sein. Aber damit kann ich dann besser leben, als mit dem jetzigen "Rattenschwanz an Zeichenkette"... :)

  • Also wenn du einen Vserver hast dann muss dein Hoster gar nichts. ;)


    Managed VServer :) Dann sollte es so sein, weil ich nicht viel verwalten kann. Im Prinzip nicht mehr als vorher... :D



    Zitat

    Wenn du nur einen Reseller Account hast dann sind dir die Hände gebunden.


    Den Reselleraccount hatte ich vorher, aber zu viele Ausfälle, daher habe ich dann den VServer genommen. :) Läuft stabiler... :)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!