pop3s und CNAME

Harald Witt harald.witt at dpfa.de
Do Dez 8 13:49:45 CET 2016


Hallo Liste,

 

das Thema stand bestimmt schon zur Diskussion. Ich möchte es trotzdem
nochmal aufwerfen.

 

Mein Mailserver wird mit Postfix /Courier betrieben. Bei einer
SSL-Verbindung wird ein Zertifikat präsentiert, welches von einer
selbstsignierten CA stammt. Aus diesem Grunde wird seit über 9 Jahren das
Root-Zertifikat der CA bei jedem Client installiert. Letzteres läuft leider
nächstes Jahr aus. Dumm gelaufen L

Der Aufwand, auf hunderten von Clients in den nächsten Monaten ein neues
Zertifikat zu installieren ist ziemlich hoch und sollte vermieden werden. 

Ich reduziere hier erstmal mein Problem auf den POP3-Server (Courier):

 

Als POP3-Server ist bei ALLEN Clients pop.domain.tld eingetragen. Allerdings
besitze ich für *.domain-NEU.tld ein gekauftes Wildcard-Zertifikat. Das hat
den Charme, dass nicht immer ein Root-Zertifikat installiert werden muss.
Dieses würde ich gern in Zukunft ausschließlich nutzen.

 

Ich trage also einen A-Record für pop.domain-NEU.tld ein und lösche den
A-Record von pop.domain.tld. Statt dessen erzeuge ich einen CNAME-Record der
Art: pop.domain.tls=pop.domain-NEU.tld. Doch leider musste ich feststellen,
dass der CNAME-Record nicht bedeutet, den kanonischen Namen aus CNAME zu
benutzen, sondern lediglich dessen IP-Adresse. In der Folge bekommen alle
Benutzer, die als POP3-Server pop.domain.tld eingetragen haben, für exakt
diese Domain das Zertifikat von pop.domain-NEU.tld präsentiert. Das führt
dann natürlich zu Fehlermeldungen (Outlook: Falscher Zielprizipalname).

 

Ok, man könnte Courier dazu überreden, mit SNI zu arbeiten (domainabhängige
Zertifikate), wenn es gegen GNU-TLS compiliert wird, statt gegen OpenSSL.
Man könnte auch auf Dovecot wechseln, wo SNI wohl nativ unterstützt wird.

 

Doch danach habe ich ja immer noch den SMTP-Server Postfix. Dieser
unterstützt kein SNI und wird es auch wohl nicht tun. Da bleibt dann wohl
nur die Konfiguration mit einer zusätzliche IP-Adresse auf ethX:y, die ich
aber leider NICHT habe. 

 

Office 365 arbeitet da mit „autodiscover“. Das wirkt aber auch wohl nur bei
der Ersteinrichtung?

 

Was ich brauche ist ein Apache mod_rewrite für DNS J

Geht da vielleicht was mit eine SRV-Record?

 

Thats my misery.

Hat jemand eine kluge Idee, wie man das elegant lösen könnte?

Mir fällt da im Moment nur noch Let‘s Encrypt ein.

 

Vielen Dank 

Harald

 

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20161208/335ec347/attachment.html>


Mehr Informationen über die Mailingliste Postfixbuch-users