Kann die Mail Domain gleich wie die Host Domain sein?

[reboot]

Hallo,

ist es grundsätzlich problematisch, wenn die Subdomain des Servers auch für imap/smtp verwendet wird?

Ich habe eine VM mit ispconfig aufgesetzt. Die Adresse ist https://isp.domain.tl:8080, mit einem letsencrypt Zertifikat. Damit das funktioniert habe ich die ispconfig Zertifikate durch softlinks auf das letsEncrypt Zertifikat ersetzt. Der Einfachheit wegen habe ich für Postfix ebenfalls die Links auf dasselbe Zertifikat angegeben.
In Thunderbird habe ich bei Imap und SMTP die Subdomain isp.domain.tl angegeben.
Funktioniert soweit. Gibt es einen Grund, wenn eh alles auf einer Maschine läuft, unterschiedliche Subdomains/Zertifikate zu erstellen?

Danke!

 

[Don75]

Genau diese Frage habe ich auch öfters gestellt.
Ich selber weises nicht genau deshalb mal abwarten was die Profis sagen.

Meiner Meinung nach ist es besser, wenn man nur 1 IP hat den Mailserver = den Serverhostname zu verwenden.

Damit IP = rdns = Mailserver = Serverhostname zusammenpassen.
Anonsten hatte ich das Probelm dass ich mich entscheiden musste ob ich die rdns auf den Serverhostname richte oder auf den Mailserver.

Bei 2 verschiedenen Ips macht es sicher Sinn auf einer IP den Mailserver laufen zu lassen und auf der anderen IP den Server und somit auch verschiedene hostnames zu verwenden.

Allerdings habe ich keine Ahnung ob dadurch irgendwelche Komplikationen entstehen können.

Aber genaueres wird uns sicher ein Profi mitteilen ;D.

 

[Joe User]

Ein hostname muss innerhalb der Domain einmalig sein und ausschliesslich einem einzelnen Host zugeordnet sein.
Da auch jede einzelne VM oder jeder einzelne Jail oder jeder einzelne Container einen eigenen Host darstellt, muss somit auch jeder einzelnen dieser Instanzen ein eigener einzigartiger hostname zugeordnet werden.
Der rDNS/PTR sollte (muss aber nicht) immer dem hostname des jeweiligen Hosts entsprechen.

Dienste können jeweils beliebige Subdomains verwenden, sollten nach Möglichkeit aber nicht den hostname verwenden, da dies unter Anderem Migrationen auf andere/neue Hosts unnötig verkomplizieren und dabei dann immer zwingend Zertifikate erneuert und gegebenenfalls Zugriffsbeschränkungen und weitere Konfigurationen angepasst werden müssen.



Pflicht ist also:
*) hostname einzigartig für jeden einzelnen Host innerhalb der Domain

Best practice ist also:
*) rDNS/PTR ist gleich hostname des jeweiligen einzigartigen Hosts
*) Jeder Dienst bekommt eigene Subdomain ungleich hostname
*) Jeder Dienst bekommt eigene Zertifikate

 

[Don75]

Best practice ist also:
*) rDNS/PTR ist gleich hostname des jeweiligen einzigartigen Hosts

Wie soll das funktionieren wenn man pro IP nur eine einzige rDns setzen kann.
Was ist der Nachteil wenn serverhostname und mailserver hostname der selbe ist ? Konnte noch kein Problem erkennen.

 

[danton]

Das wohl naheliegendste Beispiel ist ein Server-Wechsel. Du hast dann beide Server eine Zeit lang parallel laufen, um alles zu migrieren. Wenn du nun z.B. die Mail-Services auf den neuen Server umgestellt hast, brauchst du im DNS nur die IP der dienstspezifischen Subdomain ändern und alle Clients verwenden zukünftig den neuen Server, ohne dass bei ihnen Änderungen vorgenommen werden müssen. So kannst du einen Dienst nach dem anderen umziehen. Verwendest du den Hostnamen, mußt du entweder alle Clients ändern oder alle Dienste auf eine Schlag umstellen.
Zusätzliche Subdomains pro Dienst anzulegen ist kein großer Aufwand und wenn du LetEncrypt verwendest, sind auch die zusätzlichen Zertifikate nicht mit Kosten verbunden.

 

[Lord Gurke]

Oder wenn später doch mal die Mail-Dienste doch auf einem anderen Server laufen sollen. Oder die Webseite auf einen anderen Server wechselt.

 

[Joe User]

Wie soll das funktionieren wenn man pro IP nur eine einzige rDns setzen kann.

Mehrere IP-Adressen können problemlos den Gleichen rDNS/PTR verwenden, lediglich ein hostname hat individuell pro Host zu sein.

 

[Don75]

Wenn man nun hat:
server1.example.com (als serverhostname)
und
mail.example.com (als mailserverhostname)

und man nur 1 IP hat.
Kann man die rDns der Ip nur entweder auf server1.example.com oder mail.example.com setzen.
Man kann sie nicht für beide setzen. Wenn man den rDns auf server1.example.com setzt dann passt der HELO nicht mehr mit der rDns zusammen was eventuell problematisch für einige Anbieter ist aufgrund von Spam detection.

Und ich denke es ist auch nicht sinnvoll die rDns auf den mailserver hostname mail.example.com zu setzen.

Hingegen wenn man 2 Ip Adressen hat, kann man den Server hostname auf einer lassen, über rDns verknüpfen und auf der anderen Ip Adresse den Mailserver hostname und auch diesen über rDns (anderen IP) verknüpfen.

 

[danton]

Nein, in den PTR der IP gehört hostname.domain.de rein, der HELO muß nur per A-Record verifizierbar sein - also mail.domain.de zur IP des Servers auflösen. Bei mehrere IPs sollte man die ausgehende IP in der Mailserver-Konfig entsprechend festnageln, damit diese Verifikation auch klappt. Es kann aber sinnvoll sein, dass sowohl der Hostname unter der gleichen Domain liegen, also hostname.domain.de und mail.domain.de, nicht aber mail.domain2.de

 

[Don75]

Laut Beschreibung einiger Tools und Anbieter reicht es scheinbar nicht aus nur einen A Eintrag zu erstellen oder spf1 mit +a +mx +a:serverhostname.
Dort heißt es immer rDns muss = HELO sein.
Sozusagen IP -> Hostname vom Mailserver

Aber nun gut wenn das hier alle behaupten werden diese Warnungen schon überflüssig sein ;D.

 

[Firewire2002]

Es gibt technisch keine Voraussetzung, dass PTR = HELO sein muss. Einige Anti-Spam-Konfigurationen setzen es aber voraus.

Manche wollen auch einfach nur, dass der HELO auf eine IP auflöst, diese einen PTR hat, der wiederrum auf einen Namen auflöst, der auf die gleiche IP auflöst. letzter Name muss nicht zwingend HELO sein.
Gleiches gilt für die Quell-IP für eingehende SMTP Verbindungen.

Anti-Spam-Konfigurationen unterliegen keinem internationalem Standard. Da hat jeder Admin die Weißheit mit Löffeln gefressen und denkt sich permanent neuen kranken Blödsinn aus.

Der HELO sollte dem Hostname des Servers entsprechen und damit greift Joe's Erklärung vollständig.
Die Clients sollten Service-Namen wie mail.domain.tld ansprechen. Es macht im HELO keinen Sinn, generische Namen wie mail.domain.tld zuverwenden. Was soll das werden, wenn es plötzlich 2 Mailserver für die gleiche Domain gibt?

Selbst die großen wie Google und Microsoft verwenden individuelle Hostnamen/HELOs für ihre einzelnen Mailserver.

 

[Don75]

Ok ;D.

Wenn du dann aber den Serverhostname für den HELO benutzt müsste man diesen dann nicht auch in der Postfix config für myhostname verwenden ?

Man kann auch keine 2 mail hostnames angeben.

Wäre das der Fall verwendet man praktisch mail.example.com gar nicht mehr und verlinkt diesen nur in den DNS Einträgen.

Macht es dann überhaupt Sinn mail.example.com als mx anzugeben wenn man doch server.example.com verwendet.

Edit: oder von welchen mailserver sprecht ihr. Ich meinte die ganze Zeit den hostname für den postfix (mailserver).

Das Thema macht mich echt fertig. Auf jeder Seite/forum steht was anderes. Mir scheint langsam so als wäre es scheiß egal was man tut. Ich habe auch über einer Woche mit verschiedenen Konfigurationen herumgespielt. Hat selten einen Unterschied ergeben.
Hier und da landen die Mails im Spam, bei andere ist alles ok, bei einigen kommt die Mail gar nicht durch. Immer das selbe.
Dreck. =)

 

[Firewire2002]

Vielleicht solltest du mal ein und ausgehende Verbindungen unterscheiden.

Servicenamen wie mail.domain.tld nutzt man für gewöhnlich für eingehende Verbindungen. Dazu zählen Mail Clients, MX Records, usw.

Der individuelle Hostname wird für ausgehende Verbindungen verwendet. Denn diese will man beim Ziel für gewöhnlich auch einem konkretem Quellsystem zuordnen. Der HELO ist nur für ausgehende Verbindungen relevant. Bei eingehenden SMTP Verbindungen wird dir die Gegenstelle einen HELO senden und nicht andersrum.
Einzige Verbindung in der Postfix Standardkonfiguration ist der SMTP Banner. Dort wird standardmäßig auch myhostname verwendet. Spielt aber überhaupt keine Rolle. Wenn man es der Kosmetik wegen sauber haben möchte, kann man den SMTP Banner auch entsprechend anpassen.

In der Praxis gibt es Sonderfälle bei denen man mehrere Mailserver hinter dem gleichen Namen/IP "verstecken" möchte. Erst dann würde man die Servicenamen auch für ausgehende Verbindungen verwenden.
Das ist für dich aber aktuell völlig irrelevant und mit zu wenig Wissen auch fehleranfälliger.

 

[Don75]

Servicenamen wie mail.domain.tld nutzt man für gewöhnlich für eingehende Verbindungen. Dazu zählen Mail Clients, MX Records, usw.

Der individuelle Hostname wird für ausgehende Verbindungen verwendet. Denn diese will man beim Ziel für gewöhnlich auch einem konkretem Quellsystem zuordnen. Der HELO ist nur für ausgehende Verbindungen relevant. Bei eingehenden SMTP Verbindungen wird dir die Gegenstelle einen HELO senden und nicht andersrum.
Einzige Verbindung in der Postfix Standardkonfiguration ist der SMTP Banner. Dort wird standardmäßig auch myhostname verwendet. Spielt aber überhaupt keine Rolle. Wenn man es der Kosmetik wegen sauber haben möchte, kann man den SMTP Banner auch entsprechend anpassen.

Also verwendet man für ausgehende Mails den Serverhostname und für eingehende den Mailhostname ?

EDIT: Dann hätte man im Thunderbird 2 verschiedene Server einzutragen, server.example.com für ausgang und mail.example.com für Eingang, aber man kann nur einen von beiden in Plesk absichern.

 

[Firewire2002]

Es macht die Kommunikation einfacher, wenn du keine neuen Begriffe erfindest.
Hostnamen gibt es nur einen. Der vom jeweiligen Server/System - unabhängig von irgendeinem Dienst.

Du kannst auch eingehend den Hostname verwenden. Man braucht diese Servicenamen wie mail.domain.tld eigentlich überhaupt nicht. Diese werden erst in Kombination mit anderen Faktoren sinnvoll. Bspw. Endbenutzerpflege (keine Namensanpassungen bei Umzügen), Loadbalancing, Zertifikatsthematiken (in welcher Konstellation auch immer), usw.