Problem mit Plesk und SSL-Zertifikaten mit mehreren Domains

buschgespenst

New Member
Hallo!

Ich habe ein Problem mit Plesk und diesen SSL-Zertifikaten. Ich habe mehrere Domains auf einer IP-Adresse gehostet. Jede Domain hat ihr eigenes SSL-Zertifikat. Dann habe ich Plesk ebenfalls mit einem eigenen SSL-Zertifikat „gesichert“. Ich hatte gedacht, dieses SSL-Problem mit der Umstellung auf Plesk endlich von der Backe zu haben. Aber da habe ich die Rechnung ohne die Technik gemacht.

Wenn ich Outlook oder ein anderes Gerät mit einem Mailaccount verknüpfen möchte, dann meckert das jeweilige Programm, dass das SSL-Zertifikat nicht zur Domain passt. Ich habe die Domain xyz.net als Eingangs- bzw. Ausgangsserver angegeben. Allerdings meldet dann Outlook oder die Gmail-App das Zertifikat meines Webservers srv1.abc.de zurück – was dann natürlich nicht passt, da es eine andere Domain ist. Ich habe nun bei Outlook und Gmail als Server die Domain des Webservers genommen, um diesem Problem aus dem Weg zu gehen. Richtig ist es aber eigentlich trotzdem nicht.

Da ich ziemlich oft unterwegs bin, versende ich sehr oft Mails aus dem Webmail. Ich logge mich auf webmail.xyz.net ein. Nun kommen Mails (leider oft erst nach vielen Tagen) zurück, die ich an bestimmte Anbieter wie web.de oder t-online.de gesendet habe. Der empfangende Mailserver möchte sich mit meinem Mailserver nicht unterhalten, weil ich unter webmail.xyz.net versende, das SSL-Zertifikat was zurückgemeldet wird aber srv1.abc.de gehört. Das nervt mich ziemlich.

Ich habe wohl irgendetwas falsch gemacht - komme aber schon seit Wochen nicht drauf und habe auch schon ziemlich jede Anleitung ausprobiert. Wahrscheinlich sehe ich auch schon den Wald vor lauter Bäumen nicht mehr.

Die SSL-Zertifikate die ich benutze sind von Let’s Encrypt. Das finde ich übrigens auch blöd, dass man die nach drei Monaten immer wieder aktualisieren muss. Gibt es dann da nicht eine andere Lösung?

Mein Plesk (aktuelle Obsidian-Version) läuft unter CentOS7. Postfix ist der Mailserver.

Wäre echt super, wenn mir Jemand weiterhelfen könnte.

Vielen herzlichen Dank schon einmal im Voraus!

Viele Grüße

Dominik
 

mr_brain

Registered User
Das Let´s Encrypt SSL läuft zwar nach 3 Monaten ab, wird aber von Plesk automatisch erneuert.

Um Problem zu vermeiden, sollten folgende Einstellungen konsistent den gleichen FQDN haben:
- RDNS/PTR der IP des Mailserver
- Mailname (myhostname) (FQDN mit dem sich der Mailserver meldet)
- SSL des Mailservers sollte dem Mailname entsprechen

Der Zugriff via Emailprogramm, z.B. Outlook, sollte über den FQDN laufen, welcher für das SSL/Mailname verwendet wurde.
 

danton

Debian User
Um unterschiedliche Zertifikate auf der gleichen IP und dem gleichen Port zu verwenden, ist SNI erforderlich. Damit teilt der Client dem Serverdienst vor der Aushandlung des SSL-Protokolls mit, welchen FQDN er verwendet und der Serverdienst sendet das passende Zertifikat. Während sich bei Webservern und Browsern SNI mittlerweile weitgehend durchgesetzt hat, gilt das für viele andere Dienste nicht, darunter auch eMail-Clients, und Server. Dort ist es ziemlich egal, ob die Domain vom Mailserver und der eMail-Adresse identisch ist - und einige gängige Mailclients kennen ja Autokonfigurations-Möglichkeiten, so dass mal sich mit der Server-Adresse ohnehin nicht rumschlagen muss.
Daher ist für Mail-Server immer noch die sinnvollste Empfehlung: Eine Domain auswählen, dort eine Subdomain mail anlegen und diese für den kompletten Mail-Kram aller Domains auf dem Server verwenden - die Verwendung der Subdomains smtp, imap und pop3 ist in den meisten Fällen nicht nötig (wenn man ein größeres Mailsetup hat und diese Dienste auf unterschiedlichen Servern laufen, macht es Sinn).
 
Top