Qmail mit SSL und Plesk

J

Jovan

New Member
Hallo

ich habe mir vor kurzem ein Zertifikat zugelegt und habe es auch auf dem Server installiert alles klappt wunderbar bis auf eine kleinigkeit.

Ich habe die Zertifikat datei auch auf dem Serveraugespielt so das ich auch diesen Zertifikat für den E-Mailserver verwenden kann. Jetzt wollte ich meinen E-Mailclient dafür einstellen und dem sagen das der die E-Mails über den port 465 versendet und nicht mehr über 587 und dann musste ich feststellen das dies nicht funktioniert. Jetzt die Frage warum geht das nicht?

Suse 11.1 mit Plesk 10.1.1

mein E-Mailclient nimmt das Zertifikat an jedoch beim senden klappt das nicht?

Muss ich die Firewall umstellen irgend etwas im Qmail freigeben?

Bitte um Hilfe! Zertifikate sind was ganz neues für mich.

Danke schon mal im voraus!
 
Jovan said:
das der die E-Mails über den port 465 versendet und nicht mehr über 587
Click to expand...
Warum willst Du plötzlich den SMTPS-Port einstellen?
Qmail/Plesk unterstützt - soweit ich weiß - kein SMTPS.
Das Zertifikat kannst Du auch über die bisherigen Port 25 (SMTP) und 587 (Ausweich-Port) nutzten. Dazu musst Du Deinen Client nur auf "SSL/TLS" stellen. Dann wird dem SMTP-Auth ein "starttls" vorangestellt und schon läuft alles Verschlüsselt über die Leitung.

huschi.
 
Ahso ich dachte die verschüsselte Verbindung geht nur über den Port 465....
Also ist eine Umstellung mit Plesk nicht möglich.

Danke!
 
Nur noch als Hinweis, wenn Du das Zertifikat an den Webserver / Apache gebunden hast, hat dasnoch nichts mit dem Zertifikat für SMTP /IMAP / POP3 zu zun.

Dazu musst Du Dein Zertifikat noch in:

/usr/share/courier-imap

pop3d.pem
imapd.pem

&

/var/qmail/control

servercert.pem


hinterlegen.

Dann IMAP/POP3 & QMAIL neu starten.

SMTP (verschlüsselt) kannst Du über 465 betreiben.
 
Das habe ich bereits gemacht und es hat gut funktioniert. Mit dem zertifikat für den E-Mailversand. Nur das mit dem Port klappt nicht wirklich. Ist jedoch nicht so wichtig wenn mein Server auch auf dem 587 Port verschlüsselt komuniziert.
 
Hallo ich muß mal hier mich einhaken.

Ich schon im Plesk Forum geschrieben http://www.plesk-forum.de/mail-ssl-zertifikate-fuer-unterschiedliche-domain-outlook-zielprinzipalname-falsch-2693.html#post10628

Hallo,
habe jetzt schon einiges probiert, gesucht und gelesen, jedoch führt nichts zum Erfolg.
Es geht um die SSL Verschlüsselung beim E-Mail Transfer.
Problem ist nervig bei Outlook, ich verwende IMAP Postfächer und muß bei jedem Start die Zertifikate bestätigen. Import / Speichern der Zertifikate habe ich schon auf verschiedenste Weise probiert.
Thunderbird kann ja bekanntlich besser mit Zertifikaten umgehen.
Zertifikate erstellen und ändern ist klar.
Nur:
Outlook meldet "Zielprinzipalname ist falsch...."
So der Zielprinzipalname ist soweit ich verstehe, der des Postein, -ausgangsserver.
Also für jede Domain ein Zertifikat.
Jedoch kann man doch nur ein Zertifikat mit dem Hostname erstellen.........
Hat jemand eine klasse Literatur bzw. Idee für mich.
Click to expand...


liege ich damit richtig?
Oder was muß ich ändern?


DANKE AN ALLE
 
vampsm said:
Jedoch kann man doch nur ein Zertifikat mit dem Hostname erstellen
Click to expand...
Fast richtig. Korrekt: Ein Zertifikat pro IP.
Einfach Logik dahinter: der Client baut die Verbindung auf, sagt als erstes "STARTTLS" und dann wird das Zertifikat übertragen. Hier vergleicht der Client die Domain im Zertifikat mit der Domain die er angewählt hat. Wenn das übereinstimmt und das Zertifikat auch sonst gültig ist (CA bekannt, nicht abgelaufen, etc.) ist alles ok.
Alles andere wirft einen Fehler.

Konkret heißt dies: wenn der Hostname serverX.hoster.de lautet, muss das Zertifikat genau darauf ausgestellt sein. Dies stellt man dann für SMTP, Imap und POP3 ein.
Nachteil: jeder Domain-Kunde der das Zertifikat nutzten möchte sollte auch diesen Hostnamen im Email-Client benutzten.

Ausnahme: Wildcard- oder Multidomain-Zertifikate.

huschi.
 
Hallo Huschi und wie immer vielen DANK.

Das ist natürlich doof...

Kann man ein Multidomain-Zertifikat selbst erstellen?

Kann man das auch anders lösen?


DANKE
 
Erstellen kannst Du vieles. Nur wenn Du möchtest, dass beim Client keine Warnung aufpoppt, dann musst Du eins kaufen.

huschi.
 
You must log in or register to reply here.
Back
Top