ubuntuusers.de

Postfix - Unterschiedliche Zertifikate für unterschiedliche Domains

Status: Gelöst | Ubuntu-Version: Ubuntu 14.04 (Trusty Tahr)
Antworten |

VolkerRaschek

Avatar von VolkerRaschek

Anmeldungsdatum:
19. August 2014

Beiträge: 358

Wohnort: Eifel

Hallo zusammen, ich habe folgende Frage/Problem.

Ich betreibe eine Ubuntu-Testmaschine auf dem Postfix und Dovecot läuft. Dieser Mail-Server hostet mehrere Domains.

  • example.local

  • example2.local

  • example3.local

In Dovecot habe ich in /etv/dovecot/conf.d/10-ssl.conf folgende Zeilen ergänzt damit dovecot das richtige Zertifikat für die Domains anbietet.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
# Zertifikate für die Domain - example.local
local_name mail.example.local {
        ssl_cert                = </etc/ssl/public/example/mail/mail.crt
        ssl_key                 = </etc/ssl/private/ca.key
        ssl_client_ca_file      = </etc/ssl/public/example/mail/root.crt
}

# Zertifikate für die Domain - example2.local
local_name mail.example2.local {
        ssl_cert                = </etc/ssl/public/example2/mail/mail.crt
        ssl_key                 = </etc/ssl/private/ca.key
        ssl_client_ca_file      = </etc/ssl/public/example2/mail/root.crt
}

# Zertifikate für die Domain - example3.local
local_name mail.example3.local {
        ssl_cert                = </etc/ssl/public/example3/mail/mail.crt
        ssl_key                 = </etc/ssl/private/ca.key
        ssl_client_ca_file      = </etc/ssl/public/example3/mail/root.crt
}

Wie kann ich nun Postfix so konfigurieren, dass er für die richtige Domain das richtige Zertifikat ausgibt bzw anbietet?

Gruß Volker

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

VolkerRaschek schrieb:

Wie kann ich nun Postfix so konfigurieren, dass er für die richtige Domain das richtige Zertifikat ausgibt bzw anbietet?

Das geht nicht. Entweder du nutzt ein Multi-Domain-Zertifikat (SAN-Zertifikat), oder du nutzt pro Domain eine eigene IP inklusive entsprechendem SMTP-Server.

Letzteres kannst du in der master.cf implementieren, beispielsweise so:

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
# Das sind 2 exemplarische Definitionen:
smtpd-dom1 unix  -       n       n       -       -       smtpd
    -o inet_interfaces=1.1.1.1
    -o smtpd_tls_cert_file=<cert_dom1>
    -o smtpd_tls_key_file=<key_dom1>
smtpd-dom2 unix  -       n       n       -       -       smtpd
    -o inet_interfaces=2.2.2.2
    -o smtpd_tls_cert_file=<cert_dom2>
    -o smtpd_tls_key_file=<key_dom2>

Beachte: Dieses Beispiel betrachtet erstmal nur Postfix als SMTP-Server. Konsequenter Weise müsste man natürlich Postfix als SMTP-Client (für die Kommunikation mit anderen Server) analog konfigurieren.

Hier gibt es ein umfangreicheres Beispiel. Tipp: Um das umzusetzen solltest du den Aufbau der master.cf unbedingt kennen und verstanden haben 😉

VolkerRaschek

(Themenstarter)
Avatar von VolkerRaschek

Anmeldungsdatum:
19. August 2014

Beiträge: 358

Wohnort: Eifel

Okay, ich muss zugeben ich bin was Postfix angeht kein Experte.

Ich habe mir für Dovecot letztes Jahr ein Buch gekauft und das hat mir schon sehr sehr gut geholfen. In letzter Zeit stoße ich aber immer wieder an Postfix an und muss mich wahrscheinlich echt mal einer neuen Lektüre unterziehen ☺

Falls du oder jemand anderes der hier heimlich mit liest einen guten Tipp für eine Lektüre hat, wäre ich dankbar.

Zurück zum Thema, ich ging davon aus, dass Postfix die Möglichkeit besitzt über SNI die Virtual-Domains zu unterscheiden so wie bei Dovecot und ich so nicht IP-Adressen abhängig bin. Ich bin am überlegen irgendwann mal die Testmaschine wirklich an das Netz zu hängen und da diese zu Hause laufen soll habe ich nur eine (feste) IP-Adresse.

Das gibt allerdings dann ein Problem so wie ich das verstehe mit mehreren Zertifikaten (1x pro Domain) an einer (festen) IP-Adresse.

Gruß Volker

verdooft

Anmeldungsdatum:
15. September 2012

Beiträge: 4436

Ich habs einfach so gelöst, dass für:

  • domain1.de

  • domain2.de

  • domain3.de

die domain1.de zum Mailen verwendet wird, die Empfänger sehen dann trotzdem Mails von irgendwas@domain2.de etc. als Absender und das Zertifikat stimmt immer, weils ja für domain1.de ausgestellt wurde.

sebix Team-Icon

Ehemalige

Anmeldungsdatum:
14. April 2009

Beiträge: 5584

verdooft schrieb:

Ich habs einfach so gelöst, dass für:

  • domain1.de

  • domain2.de

  • domain3.de

die domain1.de zum Mailen verwendet wird, die Empfänger sehen dann trotzdem Mails von irgendwas@domain2.de etc. als Absender und das Zertifikat stimmt immer, weils ja für domain1.de ausgestellt wurde.

So wird das ueblichweise ueberall gemacht ☺

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

VolkerRaschek schrieb:

Ich habe mir für Dovecot letztes Jahr ein Buch gekauft und das hat mir schon sehr sehr gut geholfen. In letzter Zeit stoße ich aber immer wieder an Postfix an und muss mich wahrscheinlich echt mal einer neuen Lektüre unterziehen ☺ Falls du oder jemand anderes der hier heimlich mit liest einen guten Tipp für eine Lektüre hat, wäre ich dankbar.

Also altuelle Lektüre zu Postfix kenne ich nicht – dennoch: dieses Buch hier ist zwar etwas älter, aber sehr zu empfehlen. Ralf Hildebrandt und Patrick Koetter sind ausgewiesene Experten in Postfix und auch in der deutschsprachigen Mailing-Liste aktiv. Die behandelte Postfix-Version ist 2.5 (teilweise Verweise auf 2.6) aber grundlegende Konzepte haben sich bisher nicht geändert. Es gibt auch eine Website zum Buch. Für Neupreis würde ich es heute nicht mehr kaufen, aber vielleicht findest du ja ein günstiges gebrauchtes Exemplar.

ich ging davon aus, dass Postfix die Möglichkeit besitzt über SNI die Virtual-Domains zu unterscheiden so wie bei Dovecot und ich so nicht IP-Adressen abhängig bin.

SNI geht bei Postfix nicht. Auch die meisten Mail-Clients unterstützen das nicht.

VolkerRaschek

(Themenstarter)
Avatar von VolkerRaschek

Anmeldungsdatum:
19. August 2014

Beiträge: 358

Wohnort: Eifel

Okay, dann werde ich mal schauen, wann ich mich da mal richtig dran setze (:

Vielen Dank (:

Antworten |