Postfix / Dovecot mit letsencrypr

[digidax]

Hallo zusammen,
ich setze mir gerade unter Centos 7 einen neuen Mailserver auf, mit Postfix und Dovecot.
Die Zertifikate habe ich erfolgreich mit Let's Encrypt generiert:

./letsencrypt-auto certonly --standalone -d mx.domain1.de -d domain2.de

Wenn ich nun eine Emailadresse name@domain2.de in Thunderbird anlege, meckert dieser, dass das Zertifikat zu einer anderen Website gehört.
Überprüft man die die Domain "domain2" der Emailadresse bei https://www.checktls.com/TestReceiver
erhält man die Antwort, dass der abgefragte MX "mx.domain1.de" die Information zu domain2.de korrekt ausliefert:

CheckTLS Confidence Factor for "domain2.de": 100

MX Server	Pref	Answer	Connect	HELO	TLS	Cert	Secure	From
mx.domain1.de [10.20.30.40:25]	10	OK (86ms)	OK (171ms)	OK (87ms)	OK (87ms)	OK (494ms)	OK (89ms)	OK (93ms)
Average		100%	100%	100%	100%	100%	100%	100%

Auch der SSL gibt seine korrekte Zuständigkeit an:

Cert Hostname VERIFIED (mx.domain1.de = mx.domain1.de | DNS:mx.domain1.de | DNS:domain2.de)

Der Mailserver mx.domain1.de soll auch für andere Domains abweichend von domain1.de zuständig sein, der DNS MX record von domain2.de verweist auf mx.domain1.de
Alle Domainen sind für Postfix und Dovecot unter der gleichen IPv4 Adresse erreichbar.

Was übersehe ich bzw. habe ich falsch konfiguriert?
Danke für Eure Hilfe,
Frank

 

[mr_brain]

Postfix kann kein SNI.
Dovecot braucht für jede Domain eine eigene Anweisung in der Konfigurationsdatei (und selbst das funktioniert nicht mit jedem Client).

Deshalb bei nur einer IP auf dem Server den Mailserver immer mit dem Hostnamen/FQDN des Servers ansprechen.

 

[m_ueberall]

Aus http://www.postfix.org/announcements/postfix-3.4.0.html: "SNI (server name indication) support in the Postfix SMTP server, the Postfix SMTP client, and in the tlsproxy(8) daemon (both server and client roles)."

 

[mr_brain]

Ah, ok. Erst seit Anfang diesen Jahres.

 

[digidax]

ok, habe postfix 2.10.1 (Centos 7) laufen, da ich eh mit der Konfiguration am Anfang stehe, werde ich 3.4 mal versuchen. Soll ich in diesem Thread darüber berichten oder einen Neuen aufmachen? Denke nicht, dass es ohne Probleme laufen wird.

 

[danton]

Ich würde hier vermuten. dass in Thunderbird einfach ein falscher FQDN für den POP3/IMAP/SMTP-Server eingetragen ist - Thunderbird versucht ja, diesen zu erraten, wenn keine Autoconfig-Daten für die Domain vorhanden sind. Sofern also mail.domain2.de im DNS vorhanden ist und auf die korrekte IP zeigt, funktioniert es zwar korrekt, aber mit der Fehlermeldung, dass das Zertifikat nicht passt.
Lösung: mx.domain1.de in Thunderbird eintragen. Und dann noch die unter vorgenanntem Link beschriebene http://autoconfig.domainX.de anlegen (als für jede Domain, die eMail-Adressen hat) mit einer entsprechenden Konfig-Datei, in der mx.domain1.de drin steht. Für Outlook und einige andere Mail-Programme gibt es ebenfalls Autokonfigurations-Mechanismen.
SNI ist hier also unnötig.

 

[digidax]

Ahhh, ich hatte in Thunderbird bei den Servern nur die lokale, private IPv4 eingetragen, da es nur ein Testsystem mit einer Testdomain ist.
Werde dem gleich mal nachgehen. Vielen Dank für den Hinweis.

 

[digidax]

Danke für den Tipp, hier ging Einiges schief bezüglich der DNS Auflösung im lokalen Netz. Nun funktioniert es.