AW: pop3s und CNAME

[Daniel]

Wenn der Client nach Hostname A fragt will der auch nen gültiges Cert was für A gilt nicht für B.

Da hilft dir auch kein SRV, CNAME, DNAME oder so weiter.

Nen lets encrypt auf Mailserver für A geht, da darf der Server halt nicht für B ausliefern. Wenn für B auch verwenden möchtest, wirst wohl um mehrere Instanzen nicht herum kommen.

Autoconfig/Autodiscovery ist nur für erste Einrichtung in Outlook, Thunderbird ect.

Sonst müsste man schauen ob nicht nen Script oder so ggf. Server Adresse in Regedit oder ähnliches anpassen lassen kannst.

Gruß Daniel

Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Harald Witt
Gesendet: Donnerstag, 8. Dezember 2016 13:50
An: postfixbuch-users at listen.jpberlin.de
Betreff: pop3s und CNAME

Hallo Liste,

das Thema stand bestimmt schon zur Diskussion. Ich möchte es trotzdem nochmal aufwerfen.

Mein Mailserver wird mit Postfix /Courier betrieben. Bei einer SSL-Verbindung wird ein Zertifikat präsentiert, welches von einer selbstsignierten CA stammt. Aus diesem Grunde wird seit über 9 Jahren das Root-Zertifikat der CA bei jedem Client installiert. Letzteres läuft leider nächstes Jahr aus. Dumm gelaufen ☹
Der Aufwand, auf hunderten von Clients in den nächsten Monaten ein neues Zertifikat zu installieren ist ziemlich hoch und sollte vermieden werden. 
Ich reduziere hier erstmal mein Problem auf den POP3-Server (Courier):

Als POP3-Server ist bei ALLEN Clients pop.domain.tld eingetragen. Allerdings besitze ich für *.domain-NEU.tld ein gekauftes Wildcard-Zertifikat. Das hat den Charme, dass nicht immer ein Root-Zertifikat installiert werden muss. Dieses würde ich gern in Zukunft ausschließlich nutzen.

Ich trage also einen A-Record für pop.domain-NEU.tld ein und lösche den A-Record von pop.domain.tld. Statt dessen erzeuge ich einen CNAME-Record der Art: pop.domain.tls=pop.domain-NEU.tld. Doch leider musste ich feststellen, dass der CNAME-Record nicht bedeutet, den kanonischen Namen aus CNAME zu benutzen, sondern lediglich dessen IP-Adresse. In der Folge bekommen alle Benutzer, die als POP3-Server pop.domain.tld eingetragen haben, für exakt diese Domain das Zertifikat von pop.domain-NEU.tld präsentiert. Das führt dann natürlich zu Fehlermeldungen (Outlook: Falscher Zielprizipalname).

Ok, man könnte Courier dazu überreden, mit SNI zu arbeiten (domainabhängige Zertifikate), wenn es gegen GNU-TLS compiliert wird, statt gegen OpenSSL. Man könnte auch auf Dovecot wechseln, wo SNI wohl nativ unterstützt wird.

Doch danach habe ich ja immer noch den SMTP-Server Postfix. Dieser unterstützt kein SNI und wird es auch wohl nicht tun. Da bleibt dann wohl nur die Konfiguration mit einer zusätzliche IP-Adresse auf ethX:y, die ich aber leider NICHT habe. 

Office 365 arbeitet da mit „autodiscover“. Das wirkt aber auch wohl nur bei der Ersteinrichtung?

Was ich brauche ist ein Apache mod_rewrite für DNS ☺
Geht da vielleicht was mit eine SRV-Record?

Thats my misery.
Hat jemand eine kluge Idee, wie man das elegant lösen könnte?
Mir fällt da im Moment nur noch Let‘s Encrypt ein.

Vielen Dank 
Harald

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4867 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20161208/c9ae6a03/attachment.p7s>