Was für DNS und FQDN Einträge für Mailserver ( IMSCP )

[motte]

Guten Morgen

Ich bin gerade dabei auf einem V-Server IMSCP einzurichten für meine Domains so das ich die darüber nutzen kann.

Den Server habe ich vorbereitet :

- Debian 8.6
- System ist geupdatet
- Fail2ban eingerichtet
- Root Login geht nur mit Key
- Hostname sowie /etc/Network/interface geändert in Domain Name ( domain.de)
- Feste IPv4 und IPv6 Adresse
- Domainverwaltung :
* IN A IPV4
* IN AAAA IPv6
mail IN A IPv4
IN MX 10 mail
IN TXT v=spf1 a mx ptr ip4:1.2.3.4 ip6:2001:1608:10:3:0:0:x:x:x a:domain.de -all
Reserve Eintrag IPv4 + IPv6 auf domain.de

Frage 1: Der FQDN im Server reicht der als domain.de oder muss der mail.domain.de heißen?

Frage 2: Reserve Eintrag gleiche Frage wie Frage 1 ?

Frage 3: wenn ich IMSCP starte fragt er dann nach ein paar Schritten nach dem FQDN wenn ich da domain.de eingebe sagt er kein gültiger FQDN.

Frage 4: Ich kann über mein Hoster Kostenlose Lets Encrypt Zertifikate erstellen bis zu 10 Stück ist sowas ratsam zu nutzen oder lieber das selbst erstellte was IMSCP macht?

Wenn ihr noch etwas wissen möchtet einfach schreiben

Liebe Grüße Nico

 

[danton]

* IN A IPV4
* IN AAAA IPv6
mail IN A IPv4

Der letzte Eintrag ist eigentlich unnötig, da er über den ersten Wildcard bereits abgedeckt ist. Persönlich halte ich nicht viel von Wildcard-Einträgen und lasse nur die Subdomains auflösen, die ich auch wirklich brauche (dann aber immer sowohl als A-Record für IPv4 als auch AAAA-Record für IPv6) - die Verwendung einer Wildcard-Domain ist aber Geschmacksache.

IN MX 10 mail

Soweit OK. Wenn du weitere Domains auf dem Server hast, sollte er allerdings auf mail.hauptdomain.de lauten (HELO des Mailservers, Domain im TLS-Zertifikat).

IN TXT v=spf1 a mx ptr ip4:1.2.3.4 ip6:2001:1608:10:3:0:0:x:x:x a:domain.de -all

Viel zu umfangreich, da der ip4 und ip6 in deinem Fall alles soweit abdecken dürften. Statt -ll solltest du lieber ~all verwenden (eine - wie ich findet - gute Erklärung dazu hier)

Reserve Eintrag IPv4 + IPv6 auf domain.de

Frage 1: Der FQDN im Server reicht der als domain.de oder muss der mail.domain.de heißen?

Frage 2: Reserve Eintrag gleiche Frage wie Frage 1 ?

Frage 3: wenn ich IMSCP starte fragt er dann nach ein paar Schritten nach dem FQDN wenn ich da domain.de eingebe sagt er kein gültiger FQDN.

Der FQDN muß auf hostname.domain.de lauten, sobei du den Hostnamen ziemlich frei wählen kannst, z.B. sowas wie server1, server2 usw., ein Star Trek Fan nimmt vielleicht spock oder kirk. Der Hostname ist i.d.R. nicht mail. Damit dürfte Frage 3 beantwortet sein und bei den ersten beiden Fragen: Verwende hostname.domain.de - dieser muß per DNS zur IP/IPv6 deines Servers auflösbar sein, was durch den Wildcard-Eintrag gegeben ist.

Frage 4: Ich kann über mein Hoster Kostenlose Lets Encrypt Zertifikate erstellen bis zu 10 Stück ist sowas ratsam zu nutzen oder lieber das selbst erstellte was IMSCP macht?

Weder das eine noch das andere, sondern selbst die Zertifikate bei Lets Encrypt besorgen, dann gibt es die Einschränkung auf 10 Zertifikate nicht. Ich kenne allerdings IMSCP nicht, aber einige Admin-Panels haben mittlerweile Support für Lets Encrypt eingebaut oder als Plugin nachrüstbar.
Lets Encrypt-Zertifikate sind für automatisierte Verlängerung ausgelegt und nur drei Monate gültig - schon alleine daher macht es keinen Sinn, die über den Provider zu holen - müssen dann ja ständig von Hand erneuert werden.

 

[Vengance]

Guten Morgen
[...]
Frage 4: Ich kann über mein Hoster Kostenlose Lets Encrypt Zertifikate erstellen bis zu 10 Stück ist sowas ratsam zu nutzen oder lieber das selbst erstellte was IMSCP macht?
[...]

Hi,

Um Lets Encrypt Zertifikate zu beantragen, kannst du dir entweder das kostenpflichtige I-MSCP Plugin kaufen, oder du nutzt den offiziellen Lets Encrypt Client mit der "Cert Only" Option und fügst die Zertifikate dann manuell ein.
Beachte aber, dass die Zertifikate nur 3 Monate gültig sind und dann erneuert werden müssen, das Plugin macht das automatisch soweit ich weiß.

Grüße

 

[danton]

Ja, Certbot kann die Zertifikate automatisch aktualisieren, wenn es per cron/systemd regelmäßig mit entsprechenden Parametern aufgerufen wird. Bei Debian gibt es z.B. ein entsprechendes Paket in den Backports, welches dies direkt erledigt. Allerdings werden die Dienste, deren Zertifikate erneuert wurden, nicht automatisch neu gestartet - das muß entweder manuell gemacht werden oder läßt sich auch über einen der Hooks von certbot automatisieren.

 

[Vengance]

Ja, Certbot kann die Zertifikate automatisch aktualisieren, wenn es per cron/systemd regelmäßig mit entsprechenden Parametern aufgerufen wird. Bei Debian gibt es z.B. ein entsprechendes Paket in den Backports, welches dies direkt erledigt. Allerdings werden die Dienste, deren Zertifikate erneuert wurden, nicht automatisch neu gestartet - das muß entweder manuell gemacht werden oder läßt sich auch über einen der Hooks von certbot automatisieren.

Das Zertifikat müsste direkt in I-MSCP dann allerdings auch geupdated werden, das I-MSCP meines Wissens nach nicht mit Pfaden zu den Zertifikaten arbeitet, sondern der Inhalt der Zertifikats muss direkt in I-MSCP eingetragen werden und das erstellt dann eine Datei mit dem Zertifikat und schreibt das entsprechend in den vHost.

Es würde sich also empfehlen das Plugin zu nutzen.

 

[danton]

Das sind dann Besonderheiten von I-MSCP, die berücksichtigt werden müssen - aber da ich I-MSCP nicht einsetze (und auch keines seiner Mitbewerber), kann ich zu diesen Besonderheiten wenig sagen.