AW: Namen Postfix-Mailservers ändern

harald.witt at dpfa.de harald.witt at dpfa.de
Do Feb 20 14:51:26 CET 2020


Hallo Gerald,

 

super Idee. Bin ich ehrlich noch nicht drauf gekommen.

 

Danke

Harald

 

Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Gerald Galster
Gesendet: Donnerstag, 20. Februar 2020 13:39
An: Diskussionen und Support rund um Postfix <postfixbuch-users at listen.jpberlin.de>
Betreff: Re: Namen Postfix-Mailservers ändern

 

Hi,

 

Ich möchte den Namen meines Mailservers von  <http://mail.sehr-langer-name.com/> mail.sehr-langer-name.com auf  <http://mail.kurz.de/> mail.kurz.de ändern. Das ist severseitig ja kein Problem. Doch ist mail.  <http://sehr-langer-name.com/> sehr-langer-name.com bei hunderten von Clients eingetragen.
Ich habe es mit einem CNAME-Eintrag versucht. Doch der liefert dem Client bei Abfrage des A-Records ja nicht den neuen Namen, sondern die IP-Adresse. Der Client behält den alten Namen bei. Das wird erst dann zum Problem, wenn man mit SSL arbeitet. Der Server präsentiert dem Client nämlich ein Zertifikat für den neuen Namen, während der Client eins für den alten Namen erwartet.

Gibt es da eine elegante Möglichkeit das per DNS zu lösen? Oder kann Postfix mit sowas wie SNI das richtige Zertifikat auswählen? Oder was ganz anderes?

 

das Problem ist, dass im Mailclient als SMTP-Server mail.sehr-langer-name.com <http://mail.sehr-langer-name.com>  steht. Entsprechend wird beim Verbindungsaufbau überprüft ob der Name im SSL Zertifikat angegeben ist.

 

Eine Lösung für Dein Problem wäre z.B. ein Multi-Domain Zertifikat von letsencrypt, bei dem mehrere FQDNs abgesichert sind.

 

/usr/bin/certbot certonly --no-self-upgrade --webroot -w "/var/www/html/.certbot" --cert-name "mail.sehr-langer-name.com <http://mail.sehr-langer-name.com> " -d "mail.sehr-langer-name.com <http://mail.sehr-langer-name.com> " -d "mail.kurz.de <http://mail.kurz.de> "

 

Mit -d kann man mehrere, auch verschiedene Domainnamen angeben (ich glaube bis zu 100).

 

Da postfix weiterhin nur ein Zertifikat ausliefert, mail.kurz.de <http://mail.kurz.de>  aber zusätzlich enthalten ist, kann der Client das Zertifikat erfolgreich überprüfen.

 

https://en.wikipedia.org/wiki/Subject_Alternative_Name

 

Viele Grüße

Gerald

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200220/63322e38/attachment-0001.html>


Mehr Informationen über die Mailingliste Postfixbuch-users