Konzept für Mailserver und SSL

L

LL0rd

New Member
Hallo Leute,

ich habe bei mir folgendes Setup laufen:
Die Mails aller Domains/IPs landen auf einem zentralen Mail-Server. Exim übernimmt da die Aufgabe des Mailservers. Dovecot des imap und pop3 Servers.

Benutzer können bei mir momentan ihre eigene Domain als Ein- und Ausgangsserver angeben. Auch biete ich die Dienste jeweils SSL Verschlüsselt an. Hierbei habe ich für eine Domain ein gekauftes Cert. Das bedeutet, wenn die Benutzer diese eine Domain angeben, ist alles in Ordnung. Wenn sie es nicht tun, dann müssen die das Cert per Hand akzeptieren oder auf eine verschlüsselte Verbindung verzichten.

Jetzt habe ich bei mir einen PCI-Scan durchgeführt. Dabei meckert das Testprogramm an dem SSL Zertifikat rum und sagt "SSL Certificate with Wrong Hostname". Das würde bedeuten, dass ich den verschlüsselten Mail-Service nur für Domains / IPs anbieten kann, für die ich ein SSL Zertifikat habe. Alle anderen müssten dann einen zentralen Mailserver angeben.

Ich frage mich gerade, ob ich auf diesen Komfort (Domainname als Ein-und Ausgangsserver) verzichten sollte oder nicht.
 
. Das würde bedeuten, dass ich den verschlüsselten Mail-Service nur für Domains / IPs anbieten kann, für die ich ein SSL Zertifikat habe. Alle anderen müssten dann einen zentralen Mailserver angeben.
Click to expand...
Du kannst mit dem expliziten STARTSSL oder impliziter direkter SSL-Verschlüsslung auf eigenem Port nur _ein_ Zertifikat je IP verwenden.
Grund ist dass weder implizite noch explizite Verschlüsslung SNI vorsehen und somit nur ein einziges Zertifikat gelten kann.

Üblicherweise wird das umgangen indem du eine (recht kurze) Whitelabel Domain registrierst und zertifierst.

Ich frage mich gerade, ob ich auf diesen Komfort (Domainname als Ein-und Ausgangsserver) verzichten sollte oder nicht.
Click to expand...
Es ist bedeutend einfacher für die Kunden zu verhalten, deshalb würde ich es aktiv lassen.
Allerdings solltest du dann die Zertifikat-Hashes veröffentlichen damit Kunden dein Zertifikat bei Bedarf validieren können wenn sie es als "always accept" annehmen.
 
You must log in or register to reply here.
Back
Top