Mail Setup: mx1.example.com, mx2.example.com und mail.example.com

[sleepless]

Hallo Freunde,

zum ersten mal setze ich einen Mailserver mit Postfix, Dovecot und MySQL auf.

Ich habe aber einer Frage bezüglich der Subdomains. Angenommen es gibt zwei MX Records und die pointen auf zwei verschiedene Server.

So, die meisten benutzen ja dann sowas wie mail.example.com oder sogar aufgesplittet in imap.example.com und smtp.example.com, was man in den Mailclient einträgt.

Dazu stellen sich mir zwei fragen:
- Wozu diese Subdomains? Wenn ich einfach example.com nehmen würde und das in den Mailclient eintrage, dann kommt er doch auf dieselben MX-Records, oder? Die Subdomain dürfte den doch gar nicht interessieren.
- Wohin pointen diese Subdomains? Ich mein wie bereits gesagt können ja zwei verschiedene Server für die E-Mail Abwicklung zuständig sein?

Das bereitet mir etwas Kopfzerbrechen, wahrscheinlich ist die Idee dahinter sogar sehr einfach. Bitte erhellt mich

 

[danton]

Die MX-Einträge brauchen andere Mail-Server, damit sie wissen, welche Mail-Server für die jeweilige Domain zuständig sind. Die haben absolut gar nichts mit den Adressen zu tun, die du in deinem Mailclient (z.B. Outlook oder Thunderbird) einträgst. Bei größeren Hostern sind das oft sogar unterschiedliche Server, die die unsterschiedlichen Dienste (SMTP für Kunden, SMTP zur Annahme von andere Mailservern, IMAP und POP3) bereitstellen.

 

[sleepless]

Die MX-Einträge brauchen andere Mail-Server, damit sie wissen, welche Mail-Server für die jeweilige Domain zuständig sind. Die haben absolut gar nichts mit den Adressen zu tun, die du in deinem Mailclient (z.B. Outlook oder Thunderbird) einträgst. Bei größeren Hostern sind das oft sogar unterschiedliche Server, die die unsterschiedlichen Dienste (SMTP für Kunden, SMTP zur Annahme von andere Mailservern, IMAP und POP3) bereitstellen.

Soweit wusste ich das eigentlich. Aber um es mal einfach zu machen, sage ich mal, wie ich gedenke die DNS Records zu setzen:

example.com

A mx.example.com 1.2.3.4
A mail.example.com 1.2.3.4
A smtp.example.com 1.2.3.4
MX example.com mx.example.com

otherexample.com

MX otherexample.com mx.example.com

Wenn ich nur einen Mailserver habe und der sowohl für IMAP als auch SMTP zuständig ist, richtig?

Wobei ich mail.example.com und smtp.example.com nicht explizit angeben muss, aber so kann ich das direkt anpassen wenn ich irgendwann mehrere Mailserver habe.

Wenn das so richtig ist, für welche Third-Level-Domain(s) benötige ich dann ein TLS Zertifikat?

 

[danton]

Bei deinem Beispiel brauchst du drei Zertifikate, nämlich für mx.example.com, mail.example.com und smtp.example.com.
Es spricht aber nix dagegen, für alles die gleiche Subdomain zu verwenden, so mache ich es bei mir. Also:

mail.example.com A 1.2.3.4
example.com MX mail.example.com

otherexample.com MX mail.example.com

Dann benötigst du auch nur ein Zertifikat für mail.example.com
Auch dran denken, einen korrekten PTR zur IP setzen (nicht den vom Hoster verwenden) und der dazu gehörige FQDN muß auch wieder per A-Record zu der gleichen IP auflösen. Ebenso mußt der von Mailserver verwendete HELO auch per A zur IP der Servers auflösen (z.b. indem man den verwendet, den man auch als MX im DNS eingetragen hat)

 

[sleepless]

Wow, vielen Dank.

Benötige ich dann zwei PTR Records? Der FQDN von Server ist ja nicht mail.example.com sondern in meinem Fall server1.example.com und der Hostname demnach server1. Schätze in dem Fall brauche ich auch einen A Record für server1.example.com wie auch schon für mail.server.com, richtig?

Würde ich demnach auch zwei PTRs benötigen? Also einen reverse für mail und einen für server1?

Danke noch mal
__________

Edit: Vergiss es, habe gelesen, dass sowieso nur ein PTR pro IP sinnvoll ist. Damit nehme ich dann server1.example.com und für HELO nehme ich dann logischerweise mail.example.com.
__________

Edit 2: Toll, mein Domain Anbieter (Domain Offensive) lässt mich scheinbar keine PTR Records setzen Oo

 

[sbr2d2]

Also laut deren Wiki schon.

https://www.do.de/wiki/DNS

Es sei denn ich habe da was falsch verstanden.

Bei unseren vServer-Angeboten hat der jeweilige Kunde die Möglichkeit für seine IP-Adresse/n entsprechende PTR-Records festzulegen.

 

[sleepless]

Hey, ich habe da keinen vServer, aber ich habe nun auch festgestellt, dass man das beim Hoster einträgt, was ich nun auch getan habe.

Eine Frage habe ich aber noch:

Alles funktioniert nun zwar, aber auch nur bedingt. Ich kann beim Mail Client nicht sowohl bei IMAP als auch bei SMTP mail.example.com eintragen. Bei IMAP klappt es, aber bei SMTP bekomme ich keine Verbindung. Trage ich bei SMTP hingegen www.example.com, smtp.example.com - oder was auch immer ich will - ein, dann geht's.

Woran könnte das liegen?

Laut @danton dürfte ja nichts dagegen sprechen für alles dieselbe Subdomain zu verwenden.

Edit: Scheint ein Apple Mail Problem zu sein - auf dem iPhone gehts lustigerweise.

Wie kann ich nun aber verhindern, dass smtp.example.com usw. funktioniert? Man sollte nur über mail.example.com E-Mails empfangen und versenden können.

Ich hoffe das ist die letzte Frage

 

[Joe User]

Wie kann ich nun aber verhindern, dass smtp.example.com usw. funktioniert? Man sollte nur über mail.example.com E-Mails empfangen und versenden können.

Zum Einen smtp.example.com nicht im DNS eintragen (natürlich auch keinen Wildcard) und zum Anderen Deinen SMTPd und IMAPd entsprechend konfigurieren.

 

[danton]

Erst einmal, wie Joe User schon schrieb, nur für die Subdomains, die auch benötigt werden, einen A-Record anlegen und keinen Wildcard-Eintrag erstellen.
Wenn Mail- und Webserver auf dem gleichen Server laufen (was bei den meisten privaten Root- und vServer-Besitzern der Fall sein dürfte) zeigen natürlich viele (Sub-)Domains auf die gleiche IP und theoretisch könnten alle verwendet werden (im Gegensatz zu http(s) senden viele andere Protokolle keinen Hostnamen mit). Somit könnten deine User auch www.example.com verwenden, aber sie würden bei TLS ja einen Zertifikatsfehler bekommen. Und spätestens, wenn du den Mail-Server auf einer anderen IP laufen hast (weil du dafür einen weiteren Server anmietest), merken sie, warum es eine gute Idee ist, sich an die Vorgaben des Admins zu halten
Einige Mail-Clients kennen eine Autokonfiguration, wenn dazu passende DNS-Einträge bzw. eine entsprechende Webseite vorhanden ist. Das ist z.B. hier beschrieben: http://dokuwiki.nausch.org/doku.php/centos:mail_c6:autoconfig

 

[sleepless]

Danke euch zweien. War wohl schon ziemlich müde gestern. Ist ja klar wenn ich als A Record *.example.com habe, dass dann alle subdomains gehen.

Wobei es eigentlich egal ist, denn wie du schon sagst, wird man example.com, www.example.com und sonstige als A Record vorhandene Einträge weiterhin nutzen können.