Fake Domain? für Mailserver

[knollsen]

Ich habe bei Strato mir einen 2. vServer zugelegt. in diesen Paket ist endlich ein SingleDomain-Zertifikat dabei! Um alle Kunden/Domains über dieses Zertifikat zu leiten, meinte ein Mitarbeiter, ich sollte eine Fake Domain für den Mailserver einrichten! Lt. mein logischen Verständnis geht das doch gar nicht! Im Moment (Plesk Onyx 17 mit ‪Ubuntu 16.04.2 LTS) ist weder eine Domain noch irgend etwas anderes installiert/registriert.
Wie meint er das?
Ich kann doch nicht irgendwas nehmen? ‬

 

[farnox]

Hallo,

wahrscheinlich meinten sie, dass du für alle Kunden als Domain für den Mailserver (also SMTP/IMAP und den MX-Record) die gleiche Subdomain nehmen sollst (z.B. mail.deine-domain.de statt mail.kundendomain.de). Für diese Domain kannst du dir dann das SSL-Zertifikat ausstellen lassen.

 

[knollsen]

Na klar, das macht Sinn!
Aber eine Subdomain (mail.mydomain.de) muß ich eigentlich nicht erstellen!
Reicht doch wenn ich beim Provider Strato
Den DNS FQDN auf server.mydomain.de
Hostname Plesk server.mydomain.de
Bei jedem Kunden dann bei Strato
Domain-IPv4 (A-Record) = server.mydomain.de
Domain-IPv6 (AAAA-Record) = server.mydomain.de
Mailserver (MX-Record) = mail.mydomain.de
und auf server.mydomain.de setze ich das Zertifikat! So wäre das für mich sinnvoll! - oder doch auf die Subdomain? Nee, denn Zertifikate gelten für Domain und Subdomains!

 

[farnox]

Du musst IP-Adressen als A und AAAA-Record setzen, daran musst du aber überhaupt nichts ändern. Setze server.deine-domain.de als MX und konfiguriere Postfix, dass es diese Domain angibt. Änder dazu noch den PTR-Record der IP-Adresse.

 

[knollsen]

Stimmt! standardmäßig ist das schon auf die IP-Adresse! s. Anhang
Den MX kann ich dann auch dort setzen! obwohl ich in der Annahme war das ich dort mail.mydomain.de einfüge.
Link

... und konfiguriere Postfix, dass es diese Domain angibt. Änder dazu noch den PTR-Record der IP-A

OK! Jetzt muss ich fragen! Wo muß ich Postfix noch konfigurieren? Bei meinem 1.Server habe ich, vor 6 Jahren, nix weiter gemacht! Ich finde auch unter Plesk Onyx nix das ich Postfix konfigurieren könnte. Da wird doch bestimmt wieder in der /etc/postfix/master.cf eingetragen!
Den Sinn habe ich aber verstanden! Als Mailserver gibt der Kunde dann server.mydomain.de an damit das Single-Zertifikat greift! Stimmt's?

2. Frage die daraus jetzt entsteht!
Wenn alles über einen Mail-Server läuft muß ich dann nicht unter Plesk Begrenzung von ausgehenden Nachrichten aus schalten? Oder verwaltet das Plesk dann doch wieder separat pro Kunde?

 

[farnox]

Das ist immer ein Mailserver. Über welche Domain du darauf zugreifst, ist dem Server völlig egal. Postfix muss sich gegenüber andern Mailservern als server.deine-domain.de ausgeben, aber das tut es wahrscheinlich sowieso schon.

Im Zweifel einmal mit Telnet ausprobieren:

MBP:~ root# telnet server.deine-domain.de 25
Connected to server.deine-domain.de.
Escape character is '^]'.
220 server.deine-domain.de ESMTP Postfix

 

[knollsen]

Vielen Vielen Dank! Daumen Hoch!
lt. dem Link habe ich noch keine Erklärung! Ich wollte das bei dem neuen Server endlich mal richtig machen! das mit dem mail.domain.tld verstehe ich nicht so.
So hätte ich ja den Hostnamen und den Record auf server.mydomain.de was ja @JoeUser beschrieb nicht gut sei!
das mit Telnet mache ich sobald meine Domain darauf läuft!

 

[Deleted member 11740]

Ich hab mal ein Diagramm gezeichnet. So hab ich Mail+DNS verstanden.

Zuerst löst der MTA den Domainnamen aus der E-Mail Adresse heraus. Dann hat er die zuständige Domain. Nun muss der MTA wissen, mit welchem Mailserver er die Verbindung aufbauen soll. Also fragt er nach dem MX-Record. Die Domain kann auch einen Wildcard Eintrag für MX haben, welches dann jede Subdomain auflöst. Ob das gut ist, weiß ich nicht! Dann muss der MTA die Verbindung zum Ziel-MTA aufbauen. Dafür fragt er nach dem A/AAAA Record des MX-Eintrags ab. Der MX-Eintrag kann auf eine andere Domain zeigen. Nachdem der MTA weiß welcher Mailserver zuständig ist, verbindet sich dieser nun mit dem Ziel-MTA.

 

[knollsen]

Soweit so gut!
Danke für die verständliche Grafik! Das muß man ja verstehen!
So wie ich das sehe stelle ich gar nix in Plesk ein, außer den Hostnamen der auch bei Strato bei FQDN eintrage.
Wenn der aber server.mydomain.de heißt und ich das SSL-Zertifikat auf mydomain.de ausstelle und der MX auf mail.mydomain.de auf den ich alle Kunden setzen muß (inkl. meine) dann sollte es so aussehen wie im Anhang.?? damit mail.mydomain.de auf die IP auflöst.
Jetzt zu mein logischen Verständis:
Also müßte man, um es richtig zu machen zu seiner Domain (mydomain.de) 2 Subdomains doch anlegen, nämlich mail.mydomain.de und server.mydomain.de. Wenns die nämlich nicht gibt, spinnt doch wieder Hotmail und GMX rum.
Aber wie funktionierts denn anders herum. wenn Kunde user@domain.tld eine Mail an gmx blabla sendet? dann muß er als Serveradresse mail.mydomain.de oder server.mydomain.de angeben! Richtig? sonst greift das Zertifikat ja nicht!

 

[Deleted member 11740]

Wenn du jetzt das Zertifikat von Strato nutzen willst, dass offensichtlich nur für die Domain gilt und für Subdomains nicht gültig ist (mein Verständnis des Angebots), wirst du den MX-Eintrag des Mailservers auf die Toplevel-Domain ändern müssen, damit das Zertifikat auch gültig ist. Ansonsten wird smtp mit tls nicht funktionieren und das wäre sehr schlecht.

Ich hab mich jetzt die letzten zwei Wochen mit Mailman, Postfix, SSL (TLS), DNS und DNSSEC + DANE usw. beschäftigt. Unter anderem hat es auch meine Meinung zu SSL völlig verändert. Bin zwar immer noch der Auffassung, dass SSL ein böses Geschäftsmodell ist, wir aber derzeitig nichts besseres haben und es immer noch besser ist zu verschlüsseln, als es gar nicht zu tun.

Also wenn ein Mailserver eingesetzt wird, dann nur wenn SSL auch funktioniert. Ich hab mir einfach ein Lets Encrypt Zertifikat dafür besorgt.

Wenn jetzt dein Server mit dem MTA die TLD mein-server.de hat und das Zertifikat für mein-server.de ausgestellt ist, fügst du den MX-Eintrag mein-server.de hinzu. Sollte sich der MTA auf einem anderen Server befinden, wirst wohl oder übel dafür einen zusätzlichen A-Record anlegen müssen, der auf die IP des MTA verweist. Für diesen A-Record benötigst du dann ein gültiges Zertifikat. Der MX-Eintrag muss dann auf den A-Record des MTAs verweisen.

Falls ich mit irgendwas falsch liege, dann korrigiert mich. Ich bin nur ein Mensch!

 

[knollsen]

Zur Zeit hat mich die Grippe total erwischt und mein Kopf brodelt eh und die nerven gehen durch. Ich kann nicht beurteilen ob du falsch liegst.
Am liebsten hilft mir einer mal virtuell durch TeamViewer oder sowas. Ich bin jetzt bissel durch einander.
Das RapidSSL-Zertifikat besteht auf Single-Domains - klar, aber das muß doch aber auch auf Subdomains gelten - sonst wird das zu einer echten Geldschleuder.
Im Moment läuft meine Domain auf einem anderen Server, ich kann die aber nicht umziehen, sonst sind gleich paar Daten pfutsch inkl meine Kunden können Probleme mit den Mails bekommen! Das ist ja worüber die am meisten sauer wären. Also muß ich mir ne neue Domain erst einmal bestellen, damit ich den Neuen Server in Ruhe konfigurieren kann und wenn Zeit ist, nach und nach alle Kunden darauf umziehen kann. Dann kann ich den alten Kündigen! Meinen alten Server könnte ich zwar von Plesk 11 auf 12.5 Upgraden damit hatte ich aber nicht mehr Cores bzw. Speicherplatz.
So wie ich das bei dem RapidSSL sehe geht das auf die Alias Email und die sollte man auch erstellen als Alias. Das bedeutet das auch Subdomains mit dem Zertifikat versehen werden. Man kann ja bei einer Subdomain keine Email mit blabla@subdomain.domain.de erstellen, somit sollte das Zertifikat auch greifen! Den Support kannst Du nicht anrufen, der eine erzählt es so der andere so.
Plesk 17 hat so viele Einstellmöglichkeiten das ich vor lauter Bäume nix mehr sehe im Moment.

Sollte sich der MTA auf einem anderen Server befinden, wirst wohl oder übel dafür einen zusätzlichen A-Record anlegen müssen

Nee will ich ja nicht! Meine neue Domain soll ja auch darauf laufen. Richte nur dann eine Weiterl. zu der richtigen Domain auf den alten Server um. So hab ich ja Zeit!
Vom Prinzip her gebe ich Dir recht das ich Hostnamen und den FQND auf topleveldomain einstelle - wenn das geht?
Kann mich einer Begleiten bei dem
@farnox meinte ja auch das Domain den Server ja völlig egal ist. Postfix muß es nur wissen. Und Postfix weiß es durch die DNS-Zonen, mail.<domain>. AAAA <ipv6> und mail.<domain>.A<ip>
So könnte ich das deuten. (hatte ich in Plesk 11 net)

 

[farnox]

Also ich komme langsam nicht mehr ganz mit, was du vor hast. Bin davon ausgegangen, dass wir von einem Single Server Setup sprechen und du einfach mehrere Domains auf die gleichen IP-Adressen zeigen lässt und deine Kunden sich aktuell mit ihrer eigenen Domain (z.B. mail.kunden-domain.de) auf den Mailserver verbinden und du das auf eine gemeinsame Domain (z.b. server.deine-domain.de) umstellen willst, damit darüber SSL möglich ist.

Das SSL-Zertifikat gilt nur für eine einzelne Domain also für deine-domain.de aber NICHT für test.deine-domain.de. Du kannst es aber problemlos für eine Subdomain ausstellen lassen, dann gilt es aber eben NUR für diese Subdomain.

Wenn das Zertifikat alle Subdomains und die Hauptdomain abdecken soll, brauchst du ein Wildcard-Zertifikat.

 

[knollsen]

@farnox
Schitt, wenn ich in meinen Wirrwar was anderes rüber kommen lassen habe.
Natürlich hat der neueServer mit Plesk17 nur eine IP - mein alter hatte 2 - grrr
Schöner hätte ich es nicht erklären können

Das SSL-Zertifikat gilt nur für eine einzelne Domain also für deine-domain.de aber NICHT für test.deine-domain.de. Du kannst es aber problemlos für eine Subdomain ausstellen lassen, dann gilt es aber eben NUR für diese Subdomain.

Da ist ja der Knackpunkt! Hast du mal den Screenshot gesehen? Da kann ich keine Domain für das Zertifikat auswählen, nur ne mailadresse.
Ich hab sowas halt noch nie gemacht bei Strato. Ihre SSL Software auf Other(*) gestellt - keine Ahnung wird schon richtig sein und bei Domain Check E-Mail -> meine neue Domain email
Und mein logisches Verständnis sagt, das dies dann auch für die Subdomains gelten müßte! (s.Post 11)
Angenommen Du hast Recht, dann muß ich den FQND und den Hostnamen genau auf die ToplevelDomain einstellen, so wie das @DeaD_EyE gemeint hat.
Also wenn ich da jetzt ein Fehler mache, kann ich den nicht mehr Rückgängig machen!

 

[Deleted member 11740]

Alternativer Lösungsvorschlag: Protonmail

Der kostenpflichte Account kann mit deiner Domain registriert werden. Dazu musst du dann gewisse Einträge beim Nameserver machen, die aber nur den Mailserver von Protonmail betreffen. Was du für Einträge hinzufügen musst, wird bei denen genau beschrieben. Dann kannst du dir eine E-Mail Adresse für deine Domain aussuchen.

Das wäre dann nur eine Übergangslösung.

 

[knollsen]

Weiter hat mich das aber nicht gebracht!
Ich hab jetzt meine 2.Domain jetzt gehostet ist zwar keine de aber identisch.
GMX und Co wird sich freuen.
So wie ich es mir überlegt habe und auch angesprochen habe, werde ich es erst einmal versuchen.
FQND ist mail.mydomain.tld , Hostname mail.mydomain.tld
Dann mache ich eine Pseudo-Subdomain mit mail.mydomain.tld
den MX beim OberGuru auf mail.mydomain.tld

und bei weitern Kunden (kundendomain.tld) den MX ebenfalls mail.mydomain.tld
Und das Zertifikat geht dann auf die Subdomaine (mail.mydomain.tld)
Und das schöne ist daran das ich die MyDomain nicht als Kunden anlege, sondern im Root lasse und den Benutzer (Plesk17) auf Administrator noch setze. Somit sollte doch das Zertifikat für die Subdomain von mydomain.tld für alle Mailsachen greifen?

 

[Deleted member 11740]

Ich weiß wie du dich fühlst.

Eine schnelle Lösung, die vielleicht funktioniert:
Ich würde der zweiten Domain einen MX-Record anlegen, der auf den A/AAAA-Record von domain-eins.tld zeigt. Wenn dein Mailserver bereits läuft, sollte das funktionieren. Sollte. Bei DNS kann man viel falsch machen. Wenn du bei der zweiten Domain die Einstellungen "verkackst" dürfte nichts passieren. Die erste Domain lässt du so wie sie ist.


Hier mal ein Beispiel wie ich das machen würde:
Das Zertifikat für den Webserver ist auf domain-eins.tld ausgestellt. Ein zweites Zertifikat für den Mailserver ist auf mail.domain-eins.tld ausgestellt (commonName).

Der A-Record zeigt auf Web-/Mailserver. Angenommen dein Mailserver hat die IP 192.168.0.1. IPv6 möchte ich mal vernachlässigen. Wir legen jetzt mail.domain-eins.tld als A-Record für deinen Mailserver an.

Für domain-eins.tld ist dann weiter unten der MX mail.domain-eins.tld eingetragen:

user@domain-eins.tld -> MX-Record: mail.domain-eins.tld -> A/AAAA-Record für mail.domain-eins.tld > IPv(4|6)-Adresse des Mailservers.

domain-eins.tld

domain-eins.tld.       A      192.168.0.1
mail.domain-eins.tld.  A      192.168.0.1
domain-eins.tld.       MX     mail.domain-eins.tld.

Die domain-zwei.tld wird etwas einfacher. Dort wird lediglich ein MX-Record angelegt, der auf den A/AAAA-Record des Mailservers zeigt. Also in diesem Beispiel mail.domain-eins.de.

domain-zwei.tld

domain-zwei.tld.       A      192.168.10.1
domain-zwei.tld.       MX     mail.domain-eins.tld.

Sollte der Mailserver mal eine andere IP bekommen, weil du diesen z.B. getrennt hosten möchtest, musst du nur den A/AAAA-Record für mail.domain-eins.tld ändern.

Wenn der MX-Eintrag lediglich auf die Domain zeigt, ist es z.B. nicht möglich den Mailserver auf einem anderen Host in Betrieb zu nehmen.

Also du schränkst dich mit der Konfiguration selbst ein. Hier mal ein paar MX-Einträge zu anderen Domains mit einem Mailserver auf einem anderen Host als der Webserver:

Domain: heise.de -> 193.99.144.80, MX: relay.heise.de -> MX-IP: 193.99.145.50
Domain: golem.de -> 109.68.230.138, MX: kms.syseleven.de -> MX-IP: 176.74.58.26
Domain: gmx.de -> 82.165.229.87, MX: mx00.emig.gmx.net -> MX-IP: 212.227.15.9
Domain: hetzner.de -> 213.133.107.227, MX: mail.hetzner.company -> MX-IP: 213.133.106.242
Domain: ovh.net -> 213.186.33.6, MX: mx2.ovh.net -> MX-IP: 137.74.125.139
Domain: strato.de -> 192.67.198.33, MX: post12.in.strato.de -> MX-IP: 192.166.201.40

Serversupportforum hostet z.B. den Mailserver auf der gleichen IP wie den Webserver, hat aber den MX-Record mail.serversupportforum.de.
Der A-Record löst die gleiche IP auf, wie der A-Record von serversupportforum.de.

Am besten versteht man das, in dem man sich mal mit nslookup ein paar Domains selbst ansieht und die Schritte, die ein Mailserver bei der Namensauflösung macht, manuell nachvollzieht.

nslookup -query=MX heise.de:
Server:		192.168.178.1
Address:	192.168.178.1#53

Non-authoritative answer:
heise.de	mail exchanger = 10 relay.heise.de.

MX = relay.heise.de

nslookup -query=A relay.heise.de.
Server:		192.168.178.1
Address:	192.168.178.1#53

Non-authoritative answer:
Name:	relay.heise.de
Address: 193.99.145.50

IP des Mailservers: 193.99.145.50
commonName = CN = relay.heise.de

Zertifikat

!openssl s_client -connect relay.heise.de:25 -starttls smtp
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = relay.heise.de
verify return:1
---
Certificate chain
 0 s:/CN=relay.heise.de
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
=ENTFERNT=
-----END CERTIFICATE-----
subject=/CN=relay.heise.de
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3170 bytes and written 466 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: BBCBBE9F212E03927A4A2AFC66FEE2B3C0FAC7D2A6273338608676B4493D73FD
    Session-ID-ctx: 
    Master-Key: AD87C11C1B5C783BB1DC6C11EE2E4A0517324D7871D1E3AB026FAD0006E7898D600A0CF703E56BE4B8F0F6B6A70FBB22
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1487157866
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
250 HELP
quit
221 relay.heise.de closing connection
closed

Wie man erkennen kann, stimmt der CN (commonName) mit dem MX-Eintrag überein. Stimmt er nicht überein, beendet die Gegenstelle hoffentlich die Verbindung. Es wird auch geprüft ob das Zertifikat gültig ist, ob es durch einen bekannten CA ausgestellt worden ist und ob es innerhalb des gültigen Zeitraums ist. (Stell die Uhr mal um 2 Jahre zurück und schau dann mal welche Internetseiten noch funktionieren)

Schau dir ein paar gute Tutorials über SSL + Postfix + DNS an. Dort wirst du überall das gleiche Muster sehen. Das ist wichtig, dass du das verstehst.

Du musst auch acht geben, dass deine Zertifikate erneuert werden. Bei Let's Encrypt sind die nur für 3 Monate gültig und können nur für eine Domain ausgestellt werden.

 

[nexus]

Bei Let's Encrypt sind die nur für 3 Monate gültig und können nur für eine Domain ausgestellt werden.

Ich bin jetzt grad zu faul zum Nachschauen...Aber wenn ich mich recht erinnere, dann kann man bei LE-Certs bis zu 10 (Sub-)Domains angeben.

 

[Deleted member 11740]

https://community.letsencrypt.org/t/can-i-use-letsencrypt-in-more-than-one-subdomain/16588

Scheint etwas komplizierter zu sein. Man kann Zertifikate für eine Domain anlegen oder viele Domains zusammenfassen (keine Ahnung wie). Dazu kommt noch, dass die ein Rate Limit haben: https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769

 

[nexus]

Scheint etwas komplizierter zu sein. Man kann Zertifikate für eine Domain anlegen oder viele Domains zusammenfassen (keine Ahnung wie). Dazu kommt noch, dass die ein Rate Limit haben

Ich bin mit LE im Moment auch nur theoretisch vertraut, da ich überall noch gültige Certs habe und mir der Wechsel auf LE noch bevorsteht, aber wenn man sich die Rate-Limits anschaut, ist das sehr großzügig bemessen:

The main limit is Certificates per Registered Domain (20 per week). A registered domain is, generally speaking, the part of the domain you purchased from your domain name registrar.

...

If you have a lot of subdomains, you may want to combine them into a single certificate, up to a limit of 100 Names per Certificate. Combined with the above limit, that means you can issue certificates containing up to 2,000 unique subdomains per week.

20 Domains bzw. max. 2000 Sub-Domains pro Woche möchte man erstmal schaffen...

 

[knollsen]

Oh Leute ich dachte schon hier läuft nix mehr!
Das ist ja der Wahnsinn! Das hätte ich nicht erwartet - dieser Beitrag sollte mal ganz oben stehen bleiben!
Auch wenn mir zur Zeit der Kopf raucht und ich eigentlich ins Bett gehöre,
kann ichs nicht lassen den Server fertig zu bekommen.
Zertifikat habe ich gestern schon auf mydomain.tdl registriert (@DeaD_EyE) das war auch mein Gedanke. Die ersten Positionen waren mir logisch und nach 500 Seiten hier im Forum, (auch wenn einiges nicht stimmte) auch für mein Verständnis nachvollziehbar! Das andere muß ich noch 2 x lesen. Ich lerne ehr wenn ich das selber mache und testen kann. Doch nirgendswo wird ein das mal erklärt, wo man diese Einstellungen trifft (Bild, TeamViewer etc.). Bei den Stratoleuten und Hilfe/Bilder/ sind teilweise so alte Sachen noch drin, das das gar nicht funktionieren kann.
Ich habe gestern einige Test mal mit Mails gemacht und mir den Header angeschaut und dies auch über z.Bsp MxToolbox geprüft. vielleicht 100 verschiedene Einstellungen gemacht, das was ich halt herausfand das FQND DNS-Reverse und der Hostname in Plesk gleich sein sollten, aber niemals auf Domain sondern als Sub (hase.mydomain.tld /de,com was weis ich)
Den ARecord / MX einzustellen bei Strato - grauenvoll. Dann jedesmal warten und man weis es nicht ob's nun funktioniert. - TAGE RUM - KOPFWEH - NERVEN am ENDE
Das kann man doch bestimmt jetzt alles in Plesk17 im DNS-Template einstellen?
Auf jeden Fall habe ich das nächste Problem:
Zertifikat geht nicht was Strato oder Trust mir zur Verfügung stellt. - ging mit Hotline der ganze Tag drauf. Ob mit openSSL oder in Plesk der key + crs erstellt. (alles IO auch online geprüft), Das Zeug kommt zurück und nix steht mehr drin. (land, Adresse, Untern...) - das kann nicht gehen.
BIN KO - kurz davor, um den neuen vServer wieder zu kündigen und für meine Kunden Hostingpakete zu bestellen. Aber Dumm will ich aber auch nicht sterben!
Vielen Dank! Spitze IHR