SSL Zertifikat für QMAIL/Postfix?

L

lakul

New Member
Hallo,

ich nutze auf meinem Server courier und postfix. Empfiehlt es sich ein öffentlich signiertes Zertifikat für courier und postfix einzusetzen, oder reichen die, welche im "Lieferumfang" enthalten sind? Anders gefragt, wenn ich bei mir Port 587 benutze, ist es möglich das bestimmte Anbieter meine Mails ablehnen, weil ich nur selbstsignierte Zertifikate verwende?

Danke und viele Grüße

lakul
 
Wenn du ein selbstsigniertes Zertifikat verwendest, werden auf jedem Fall die Mail-Clients meckern, was zumindest unschön ist. Hol dir einfach ein kostenloses Zertifikat von www.startssl.com, das wird von den meisten Browsern und Mailprogrammen akzeptiert. Das nutze ich auch.
Eine Gefahr bei anderen Mailservern besteht bei Verwendung eines selbstsignierten Zertifikats auf Port 587 nicht, denn diese kontaktieren Port 25. Der submission-Port ist für Clients gedacht.
 
Ein selbstsigniertes Zertifikat untergräbt den ganzen Sinn einer SSL-Verschlüsslung sofern nicht jeder Client entweder den Publickey importiert oder zumindest den Fingerprint kontrolliert.
Ohne diese Kontrolle ist es nämlich einfach möglich sicher zu sein ob du nun mit deinem Server oder einem Man-in-the-middle sprichst, nur das passive Belauschen einer Verbindung ist nicht mehr möglich.

StartSSL-Zertifikate (mit dem "neuen" Root-Zertifikat) hingegen werden nicht von allen Thunderbird-Versionen als korrekt anerkannt, hier muss man selbst Hand mit anlegen, ich zitier mal nen Teil einer Support-Vorlage:
Meine Vorlagen said:
Du kannst das Zertifikat entweder einfach bestätigen, kontrolliere in dem Fall bitte ob der angegebene "Fingerprint" dem folgenden entspricht: (MD5)
[FINGERPRINT-HASH]
Alternativ (empfohlen), lade dir bitte folgende Datei runter: https://www.startssl.com/certs/ca-bundle.crt
Dann in Thunderbird oben unter Tools->Options->Advanced->Certificates->View Certificates, dann auf "Import" klicken und die soeben runter geladene ca-bundle.crt auswählen.
Click to expand...
 
Und spätestens seit dem Diginotar-Hack sollte doch jedem klar sein, dass SSL-Certs von Trusted CAs auch nur eine Form von Snake Oil sind.
Click to expand...
Das ist nicht ganz richtig. Der-nette-Mann-am-Tisch-nebenan bei einem "Free Wifi"-Cafe kann nicht "mal eben so" ein von einem der vertrauten Anbieter ausgestelltes Zertifikat generieren und dir unter jubeln.

Da Regierungen -zB dank des Echelon-Projekts- die Kapazität haben den symmetrischen Key einer SSL-Verschlüsslungen zu knacken und dir sogar schlimmstenfalls das ORIGINAL-Zertifikat präsentieren können wo sie den private-key nach gebaut haben, ist die Möglichkeit SSL-Zertifikate zu verwenden in aller Regel nicht notwendig.
Hingegen kann Hinz und Kunz genau das nicht und das allein ist was SSL für die meisten regulären Zwecke sicher genug macht.
Und welcher Kunde vergleicht schon Fingerprints?
 
danton said:
Wenn du ein selbstsigniertes Zertifikat verwendest, werden auf jedem Fall die Mail-Clients meckern, was zumindest unschön ist. Hol dir einfach ein kostenloses Zertifikat von www.startssl.com, das wird von den meisten Browsern und Mailprogrammen akzeptiert. Das nutze ich auch.
Eine Gefahr bei anderen Mailservern besteht bei Verwendung eines selbstsignierten Zertifikats auf Port 587 nicht, denn diese kontaktieren Port 25. Der submission-Port ist für Clients gedacht.
Click to expand...

Danke, ja, startssl hatte ich auch schon ins Auge gefasst, kam bisher aber noch nicht ganz mit deren Seite klar ;). Ja, das stimmt, vor allem Outlook meckert ständig bei selbst signierten Zertifikaten. Thunderbird ist da bei mir genügsamer.
Eine Verständigkeit habe ich aber dennoch. Ich habe einen Server mit verschiedenen VHosts und deren zugehörigen E-Mails. In den E-Mail Programmen wird dann bspw. als IMAP Adresse imap.domain.de eingetragen und nicht imap.mein-server-name.de. Reicht es wenn ich für Postfix und Courier einmal ein Zertifikat auf meinen Servernamen ausstellen lasse, oder brauche ich dann so ein Multidomain Zertifikat?

Danke und viele Grüße

lakul
 
Da bräuchtest du ein Multidomain-Zertifikat, sonst gibt es eine Warnung, das der FQDN nicht zum Zertifikat paßt.
Ich habe mich für die Variante mail.server-domain.de entschieden und verwende dieses eine Zertifikat für SMTP, POP3 und IMAP.
 
danton said:
Da bräuchtest du ein Multidomain-Zertifikat, sonst gibt es eine Warnung, das der FQDN nicht zum Zertifikat paßt.
Ich habe mich für die Variante mail.server-domain.de entschieden und verwende dieses eine Zertifikat für SMTP, POP3 und IMAP.
Click to expand...

OK, danke, dann mache ich das auch so.

VG lakul
 
You must log in or register to reply here.
Back
Top