Server Support Forum


Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 12.02.2017, 12:28
knollsen knollsen ist offline
Registered User
 
Registriert seit: 01.2016
Beiträge: 38
Fake Domain? für Mailserver

Ich habe bei Strato mir einen 2. vServer zugelegt. in diesen Paket ist endlich ein SingleDomain-Zertifikat dabei! Um alle Kunden/Domains über dieses Zertifikat zu leiten, meinte ein Mitarbeiter, ich sollte eine Fake Domain für den Mailserver einrichten! Lt. mein logischen Verständnis geht das doch gar nicht! Im Moment (Plesk Onyx 17 mit ‪Ubuntu 16.04.2 LTS) ist weder eine Domain noch irgend etwas anderes installiert/registriert.
Wie meint er das?
Ich kann doch nicht irgendwas nehmen? ‬
Mit Zitat antworten

  #2  
Alt 12.02.2017, 13:31
farnox farnox ist offline
verifizierter Anbieter
 
Registriert seit: 08.2013
Beiträge: 15
Hallo,

wahrscheinlich meinten sie, dass du für alle Kunden als Domain für den Mailserver (also SMTP/IMAP und den MX-Record) die gleiche Subdomain nehmen sollst (z.B. mail.deine-domain.de statt mail.kundendomain.de). Für diese Domain kannst du dir dann das SSL-Zertifikat ausstellen lassen.
__________________
Impressum:
EudaHosting UG (haftungsbeschränkt), Parkstraße 27A, 47665 Sonsbeck, Deutschland. Geschäftsführer: Alexander Feld E-Mail: support@farnox.de
Handelsregister: HRB 12198 (Amtsgericht Kleve) Umsatzsteuernummer: DE 290114157
Web: www.farnox.de
Mit Zitat antworten
  #3  
Alt 12.02.2017, 14:51
knollsen knollsen ist offline
Registered User
 
Registriert seit: 01.2016
Beiträge: 38
Na klar, das macht Sinn!
Aber eine Subdomain (mail.mydomain.de) muß ich eigentlich nicht erstellen!
Reicht doch wenn ich beim Provider Strato
Den DNS FQDN auf server.mydomain.de
Hostname Plesk server.mydomain.de
Bei jedem Kunden dann bei Strato
Domain-IPv4 (A-Record) = server.mydomain.de
Domain-IPv6 (AAAA-Record) = server.mydomain.de
Mailserver (MX-Record) = mail.mydomain.de
und auf server.mydomain.de setze ich das Zertifikat! So wäre das für mich sinnvoll! - oder doch auf die Subdomain? Nee, denn Zertifikate gelten für Domain und Subdomains!
Mit Zitat antworten
  #4  
Alt 12.02.2017, 15:20
farnox farnox ist offline
verifizierter Anbieter
 
Registriert seit: 08.2013
Beiträge: 15
Du musst IP-Adressen als A und AAAA-Record setzen, daran musst du aber überhaupt nichts ändern. Setze server.deine-domain.de als MX und konfiguriere Postfix, dass es diese Domain angibt. Änder dazu noch den PTR-Record der IP-Adresse.
__________________
Impressum:
EudaHosting UG (haftungsbeschränkt), Parkstraße 27A, 47665 Sonsbeck, Deutschland. Geschäftsführer: Alexander Feld E-Mail: support@farnox.de
Handelsregister: HRB 12198 (Amtsgericht Kleve) Umsatzsteuernummer: DE 290114157
Web: www.farnox.de
Mit Zitat antworten
  #5  
Alt 12.02.2017, 16:19
knollsen knollsen ist offline
Registered User
 
Registriert seit: 01.2016
Beiträge: 38
Stimmt! standardmäßig ist das schon auf die IP-Adresse! s. Anhang
Den MX kann ich dann auch dort setzen! obwohl ich in der Annahme war das ich dort mail.mydomain.de einfüge.
Link
Zitat:
... und konfiguriere Postfix, dass es diese Domain angibt. Änder dazu noch den PTR-Record der IP-A
OK! Jetzt muss ich fragen! Wo muß ich Postfix noch konfigurieren? Bei meinem 1.Server habe ich, vor 6 Jahren, nix weiter gemacht! Ich finde auch unter Plesk Onyx nix das ich Postfix konfigurieren könnte. Da wird doch bestimmt wieder in der /etc/postfix/master.cf eingetragen!
Den Sinn habe ich aber verstanden! Als Mailserver gibt der Kunde dann server.mydomain.de an damit das Single-Zertifikat greift! Stimmt's?

2. Frage die daraus jetzt entsteht!
Wenn alles über einen Mail-Server läuft muß ich dann nicht unter Plesk Begrenzung von ausgehenden Nachrichten aus schalten? Oder verwaltet das Plesk dann doch wieder separat pro Kunde?
Miniaturansicht angehängter Grafiken
-unbenannt.jpg  
Mit Zitat antworten
  #6  
Alt 12.02.2017, 16:28
farnox farnox ist offline
verifizierter Anbieter
 
Registriert seit: 08.2013
Beiträge: 15
Das ist immer ein Mailserver. Über welche Domain du darauf zugreifst, ist dem Server völlig egal. Postfix muss sich gegenüber andern Mailservern als server.deine-domain.de ausgeben, aber das tut es wahrscheinlich sowieso schon.

Im Zweifel einmal mit Telnet ausprobieren:
Zitat:
MBP:~ root# telnet server.deine-domain.de 25
Connected to server.deine-domain.de.
Escape character is '^]'.
220 server.deine-domain.de ESMTP Postfix
__________________
Impressum:
EudaHosting UG (haftungsbeschränkt), Parkstraße 27A, 47665 Sonsbeck, Deutschland. Geschäftsführer: Alexander Feld E-Mail: support@farnox.de
Handelsregister: HRB 12198 (Amtsgericht Kleve) Umsatzsteuernummer: DE 290114157
Web: www.farnox.de
Mit Zitat antworten
  #7  
Alt 12.02.2017, 16:46
knollsen knollsen ist offline
Registered User
 
Registriert seit: 01.2016
Beiträge: 38
Vielen Vielen Dank! Daumen Hoch!
lt. dem Link habe ich noch keine Erklärung! Ich wollte das bei dem neuen Server endlich mal richtig machen! das mit dem mail.domain.tld verstehe ich nicht so.
So hätte ich ja den Hostnamen und den Record auf server.mydomain.de was ja @JoeUser beschrieb nicht gut sei!
das mit Telnet mache ich sobald meine Domain darauf läuft!
Mit Zitat antworten
  #8  
Alt 13.02.2017, 11:13
Benutzerbild von DeaD_EyE
DeaD_EyE DeaD_EyE ist offline
Registered User
 
Registriert seit: 07.2010
Ort: Hagen
Alter: 34
Beiträge: 1.788
DeaD_EyE eine Nachricht über ICQ schicken
Ich hab mal ein Diagramm gezeichnet. So hab ich Mail+DNS verstanden.

Zuerst löst der MTA den Domainnamen aus der E-Mail Adresse heraus. Dann hat er die zuständige Domain. Nun muss der MTA wissen, mit welchem Mailserver er die Verbindung aufbauen soll. Also fragt er nach dem MX-Record. Die Domain kann auch einen Wildcard Eintrag für MX haben, welches dann jede Subdomain auflöst. Ob das gut ist, weiß ich nicht! Dann muss der MTA die Verbindung zum Ziel-MTA aufbauen. Dafür fragt er nach dem A/AAAA Record des MX-Eintrags ab. Der MX-Eintrag kann auf eine andere Domain zeigen. Nachdem der MTA weiß welcher Mailserver zuständig ist, verbindet sich dieser nun mit dem Ziel-MTA.
Miniaturansicht angehängter Grafiken
-mail_dns.jpg  
__________________
>>> join('white', 'red', 'yellow', 'black')
'freedom'
Mit Zitat antworten
  #9  
Alt 13.02.2017, 12:53
knollsen knollsen ist offline
Registered User
 
Registriert seit: 01.2016
Beiträge: 38
Soweit so gut!
Danke für die verständliche Grafik! Das muß man ja verstehen!
So wie ich das sehe stelle ich gar nix in Plesk ein, außer den Hostnamen der auch bei Strato bei FQDN eintrage.
Wenn der aber server.mydomain.de heißt und ich das SSL-Zertifikat auf mydomain.de ausstelle und der MX auf mail.mydomain.de auf den ich alle Kunden setzen muß (inkl. meine) dann sollte es so aussehen wie im Anhang.?? damit mail.mydomain.de auf die IP auflöst.
Jetzt zu mein logischen Verständis:
Also müßte man, um es richtig zu machen zu seiner Domain (mydomain.de) 2 Subdomains doch anlegen, nämlich mail.mydomain.de und server.mydomain.de. Wenns die nämlich nicht gibt, spinnt doch wieder Hotmail und GMX rum.
Aber wie funktionierts denn anders herum. wenn Kunde user@domain.tld eine Mail an gmx blabla sendet? dann muß er als Serveradresse mail.mydomain.de oder server.mydomain.de angeben! Richtig? sonst greift das Zertifikat ja nicht!
Miniaturansicht angehängter Grafiken
-unbenannt.jpg  
Mit Zitat antworten
  #10  
Alt 13.02.2017, 13:56
Benutzerbild von DeaD_EyE
DeaD_EyE DeaD_EyE ist offline
Registered User
 
Registriert seit: 07.2010
Ort: Hagen
Alter: 34
Beiträge: 1.788
DeaD_EyE eine Nachricht über ICQ schicken
Wenn du jetzt das Zertifikat von Strato nutzen willst, dass offensichtlich nur für die Domain gilt und für Subdomains nicht gültig ist (mein Verständnis des Angebots), wirst du den MX-Eintrag des Mailservers auf die Toplevel-Domain ändern müssen, damit das Zertifikat auch gültig ist. Ansonsten wird smtp mit tls nicht funktionieren und das wäre sehr schlecht.

Ich hab mich jetzt die letzten zwei Wochen mit Mailman, Postfix, SSL (TLS), DNS und DNSSEC + DANE usw. beschäftigt. Unter anderem hat es auch meine Meinung zu SSL völlig verändert. Bin zwar immer noch der Auffassung, dass SSL ein böses Geschäftsmodell ist, wir aber derzeitig nichts besseres haben und es immer noch besser ist zu verschlüsseln, als es gar nicht zu tun.

Also wenn ein Mailserver eingesetzt wird, dann nur wenn SSL auch funktioniert. Ich hab mir einfach ein Lets Encrypt Zertifikat dafür besorgt.

Wenn jetzt dein Server mit dem MTA die TLD mein-server.de hat und das Zertifikat für mein-server.de ausgestellt ist, fügst du den MX-Eintrag mein-server.de hinzu. Sollte sich der MTA auf einem anderen Server befinden, wirst wohl oder übel dafür einen zusätzlichen A-Record anlegen müssen, der auf die IP des MTA verweist. Für diesen A-Record benötigst du dann ein gültiges Zertifikat. Der MX-Eintrag muss dann auf den A-Record des MTAs verweisen.

Falls ich mit irgendwas falsch liege, dann korrigiert mich. Ich bin nur ein Mensch!
__________________
>>> join('white', 'red', 'yellow', 'black')
'freedom'
Mit Zitat antworten
  #11  
Alt 13.02.2017, 16:37
knollsen knollsen ist offline
Registered User
 
Registriert seit: 01.2016
Beiträge: 38
Zur Zeit hat mich die Grippe total erwischt und mein Kopf brodelt eh und die nerven gehen durch. Ich kann nicht beurteilen ob du falsch liegst.
Am liebsten hilft mir einer mal virtuell durch TeamViewer oder sowas. Ich bin jetzt bissel durch einander.
Das RapidSSL-Zertifikat besteht auf Single-Domains - klar, aber das muß doch aber auch auf Subdomains gelten - sonst wird das zu einer echten Geldschleuder.
Im Moment läuft meine Domain auf einem anderen Server, ich kann die aber nicht umziehen, sonst sind gleich paar Daten pfutsch inkl meine Kunden können Probleme mit den Mails bekommen! Das ist ja worüber die am meisten sauer wären. Also muß ich mir ne neue Domain erst einmal bestellen, damit ich den Neuen Server in Ruhe konfigurieren kann und wenn Zeit ist, nach und nach alle Kunden darauf umziehen kann. Dann kann ich den alten Kündigen! Meinen alten Server könnte ich zwar von Plesk 11 auf 12.5 Upgraden damit hatte ich aber nicht mehr Cores bzw. Speicherplatz.
So wie ich das bei dem RapidSSL sehe geht das auf die Alias Email und die sollte man auch erstellen als Alias. Das bedeutet das auch Subdomains mit dem Zertifikat versehen werden. Man kann ja bei einer Subdomain keine Email mit blabla@subdomain.domain.de erstellen, somit sollte das Zertifikat auch greifen! Den Support kannst Du nicht anrufen, der eine erzählt es so der andere so.
Plesk 17 hat so viele Einstellmöglichkeiten das ich vor lauter Bäume nix mehr sehe im Moment.
Zitat:
Sollte sich der MTA auf einem anderen Server befinden, wirst wohl oder übel dafür einen zusätzlichen A-Record anlegen müssen
Nee will ich ja nicht! Meine neue Domain soll ja auch darauf laufen. Richte nur dann eine Weiterl. zu der richtigen Domain auf den alten Server um. So hab ich ja Zeit!
Vom Prinzip her gebe ich Dir recht das ich Hostnamen und den FQND auf topleveldomain einstelle - wenn das geht?
Kann mich einer Begleiten bei dem
@farnox meinte ja auch das Domain den Server ja völlig egal ist. Postfix muß es nur wissen. Und Postfix weiß es durch die DNS-Zonen, mail.<domain>. AAAA <ipv6> und mail.<domain>.A<ip>
So könnte ich das deuten. (hatte ich in Plesk 11 net)
Miniaturansicht angehängter Grafiken
-unbenannt1.jpg  
Mit Zitat antworten
  #12  
Alt 13.02.2017, 17:41
farnox farnox ist offline
verifizierter Anbieter
 
Registriert seit: 08.2013
Beiträge: 15
Also ich komme langsam nicht mehr ganz mit, was du vor hast. Bin davon ausgegangen, dass wir von einem Single Server Setup sprechen und du einfach mehrere Domains auf die gleichen IP-Adressen zeigen lässt und deine Kunden sich aktuell mit ihrer eigenen Domain (z.B. mail.kunden-domain.de) auf den Mailserver verbinden und du das auf eine gemeinsame Domain (z.b. server.deine-domain.de) umstellen willst, damit darüber SSL möglich ist.

Das SSL-Zertifikat gilt nur für eine einzelne Domain also für deine-domain.de aber NICHT für test.deine-domain.de. Du kannst es aber problemlos für eine Subdomain ausstellen lassen, dann gilt es aber eben NUR für diese Subdomain.

Wenn das Zertifikat alle Subdomains und die Hauptdomain abdecken soll, brauchst du ein Wildcard-Zertifikat.
__________________
Impressum:
EudaHosting UG (haftungsbeschränkt), Parkstraße 27A, 47665 Sonsbeck, Deutschland. Geschäftsführer: Alexander Feld E-Mail: support@farnox.de
Handelsregister: HRB 12198 (Amtsgericht Kleve) Umsatzsteuernummer: DE 290114157
Web: www.farnox.de
Mit Zitat antworten
  #13  
Alt 13.02.2017, 18:21
knollsen knollsen ist offline
Registered User
 
Registriert seit: 01.2016
Beiträge: 38
@farnox
Schitt, wenn ich in meinen Wirrwar was anderes rüber kommen lassen habe.
Natürlich hat der neueServer mit Plesk17 nur eine IP - mein alter hatte 2 - grrr
Schöner hätte ich es nicht erklären können
Zitat:
Das SSL-Zertifikat gilt nur für eine einzelne Domain also für deine-domain.de aber NICHT für test.deine-domain.de. Du kannst es aber problemlos für eine Subdomain ausstellen lassen, dann gilt es aber eben NUR für diese Subdomain.
Da ist ja der Knackpunkt! Hast du mal den Screenshot gesehen? Da kann ich keine Domain für das Zertifikat auswählen, nur ne mailadresse.
Ich hab sowas halt noch nie gemacht bei Strato. Ihre SSL Software auf Other(*) gestellt - keine Ahnung wird schon richtig sein und bei Domain Check E-Mail -> meine neue Domain email
Und mein logisches Verständnis sagt, das dies dann auch für die Subdomains gelten müßte! (s.Post 11)
Angenommen Du hast Recht, dann muß ich den FQND und den Hostnamen genau auf die ToplevelDomain einstellen, so wie das @DeaD_EyE gemeint hat.
Also wenn ich da jetzt ein Fehler mache, kann ich den nicht mehr Rückgängig machen!
Mit Zitat antworten
  #14  
Alt 14.02.2017, 08:42
Benutzerbild von DeaD_EyE
DeaD_EyE DeaD_EyE ist offline
Registered User
 
Registriert seit: 07.2010
Ort: Hagen
Alter: 34
Beiträge: 1.788
DeaD_EyE eine Nachricht über ICQ schicken
Alternativer Lösungsvorschlag: Protonmail

Der kostenpflichte Account kann mit deiner Domain registriert werden. Dazu musst du dann gewisse Einträge beim Nameserver machen, die aber nur den Mailserver von Protonmail betreffen. Was du für Einträge hinzufügen musst, wird bei denen genau beschrieben. Dann kannst du dir eine E-Mail Adresse für deine Domain aussuchen.

Das wäre dann nur eine Übergangslösung.
__________________
>>> join('white', 'red', 'yellow', 'black')
'freedom'
Mit Zitat antworten
  #15  
Alt 14.02.2017, 12:51
knollsen knollsen ist offline
Registered User
 
Registriert seit: 01.2016
Beiträge: 38
Weiter hat mich das aber nicht gebracht!
Ich hab jetzt meine 2.Domain jetzt gehostet ist zwar keine de aber identisch.
GMX und Co wird sich freuen.
So wie ich es mir überlegt habe und auch angesprochen habe, werde ich es erst einmal versuchen.
FQND ist mail.mydomain.tld , Hostname mail.mydomain.tld
Dann mache ich eine Pseudo-Subdomain mit mail.mydomain.tld
den MX beim OberGuru auf mail.mydomain.tld

und bei weitern Kunden (kundendomain.tld) den MX ebenfalls mail.mydomain.tld
Und das Zertifikat geht dann auf die Subdomaine (mail.mydomain.tld)
Und das schöne ist daran das ich die MyDomain nicht als Kunden anlege, sondern im Root lasse und den Benutzer (Plesk17) auf Administrator noch setze. Somit sollte doch das Zertifikat für die Subdomain von mydomain.tld für alle Mailsachen greifen?
Mit Zitat antworten
Antwort

Lesezeichen


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Postfix 554 5.7.1 firemaster1985 Mail 7 17.08.2009 14:38
Mailserver: SSL Zertifikat für Domain installieren Stylewriter Security 3 23.05.2009 15:14
Ausgehende Mailserver Domain? Brainjourney Plesk 6 14.05.2009 22:30
Mailserver nutzen ohne Domain heinetz Plesk 1 14.02.2008 14:20





Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2017 DragonByte Technologies Ltd.