Public Mailserver mit Self-Signed-Zertifikat

Stefanie Leisestreichler stefanie.leisestreichler at peter-speer.de
Di Jan 22 14:36:13 CET 2019



Am 22.01.19 um 14:01 schrieb Patrick Ben Koetter:
> * Stefanie Leisestreichler <stefanie.leisestreichler at peter-speer.de>:
>>
>>
>> Am 22.01.19 um 11:19 schrieb Katharina Knuth:
>>> Am 22.01.19 um 11:07 schrieb Andreas Reschke:
>>>
>>>> Bei mir ist das relativ einfach: auf dem Rechner läuft auch der
>>>> Webserver mit https. Da wird das mittels certbot erzeugte Zertifikat
>>>> auch für postfix und dovecot mitverwendet.
>>>>
>>>> Gruss
>>>>
>>>> Andreas
>>>>
>>>
>>> und genau das ist das "Problem". Dieses Zertifikat ist leider nicht
>>> explizit auf die jeweilige Domain bezogen. Und da meckert jeder
>>> Mailclient.
>>>
>>
>> Letsencrypt bietet seit einiger Zeit auch Wildcard-Zertifikate. Damit
>> meckern die Clients das Zertifikat ggfs. nicht mehr an, oder sehe ich das
>> falsch?
> 
> Der CN des Zertifikats muss identisch mit dem Hostnamen des MX sein. Dafür
> *kannst* Du auch ein Wildcard-Zertifikat einsetzen. Ich rate davon unbedingt
> ab, denn bei Kompromittierung kannst Du das dann auch auf allen Hosts, auf
> denen das Zertifikat auch noch eingesetzt wird, austauschen. Die
> Angriffsfläche lasse ich mir nicht bieten. Auch Argumente wie "weniger Arbeit"
> lasse ich nicht mehr gelten. Spätestens seitdem man das mit LE und
> $configurationmanagement automatisieren kann, steht bestmögliche Sicherheit
> für mich an erster Stelle.
> 
> Wenn Du Postfix für mehrere Domains einsetzen willst, dann gib ihm eine (1)
> Identität und alle anderen Domains sollen mit ihrem MX auf diesen Host
> verweisen. In jeder Domain einen mail.$domain anzulegen und den dann auf die
> IP des Mailservers verweisen zu lassen ist falsch.
> 
> p at rick
> 

Hallo Patrick.
Danke für die Klarstellung.

Ich lese gerade ein Buch von Dir :-). Das hat mir schon gute Dienste für 
mein Verständnis geleistet, danke dafür. Jetzt bin ich dabei zum ersten 
Mal einen produktiven Mailserver aufzusetzen.

Mein Plan ist es für SASL und als imapd Dovecot zu verwenden sowie 
Dovecot für die Verwaltung von ACLs einzusetzen.

LG
Stefanie


Mehr Informationen über die Mailingliste postfix-users