<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
{mso-style-name:msonormal;
mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
span.apple-converted-space
{mso-style-name:apple-converted-space;}
span.E-MailFormatvorlage19
{mso-style-type:personal-reply;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=DE link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Hallo Gerald,<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>super Idee. Bin ich ehrlich noch nicht drauf gekommen.<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Danke<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Harald<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b>Von:</b> Postfixbuch-users <postfixbuch-users-bounces@listen.jpberlin.de> <b>Im Auftrag von </b>Gerald Galster<br><b>Gesendet:</b> Donnerstag, 20. Februar 2020 13:39<br><b>An:</b> Diskussionen und Support rund um Postfix <postfixbuch-users@listen.jpberlin.de><br><b>Betreff:</b> Re: Namen Postfix-Mailservers ändern<o:p></o:p></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Hi,<o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p><div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><p class=MsoNormal>Ich möchte den Namen meines Mailservers von<span class=apple-converted-space> </span><a href="http://mail.sehr-langer-name.com/"><span style='color:#954F72'>mail.sehr-langer-name.com</span></a><span class=apple-converted-space> </span>auf<span class=apple-converted-space> </span><a href="http://mail.kurz.de/"><span style='color:#954F72'>mail.kurz.de</span></a><span class=apple-converted-space> </span>ändern. Das ist severseitig ja kein Problem. Doch ist mail.<span class=apple-converted-space> </span><a href="http://sehr-langer-name.com/"><span style='color:#954F72'>sehr-langer-name.com</span></a><span class=apple-converted-space> </span>bei hunderten von Clients eingetragen.<br>Ich habe es mit einem CNAME-Eintrag versucht. Doch der liefert dem Client bei Abfrage des A-Records ja nicht den neuen Namen, sondern die IP-Adresse. Der Client behält den alten Namen bei. Das wird erst dann zum Problem, wenn man mit SSL arbeitet. Der Server präsentiert dem Client nämlich ein Zertifikat für den neuen Namen, während der Client eins für den alten Namen erwartet.<o:p></o:p></p></div><div><p class=MsoNormal>Gibt es da eine elegante Möglichkeit das per DNS zu lösen? Oder kann Postfix mit sowas wie SNI das richtige Zertifikat auswählen? Oder was ganz anderes?<o:p></o:p></p></div></div></blockquote><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>das Problem ist, dass im Mailclient als SMTP-Server <a href="http://mail.sehr-langer-name.com">mail.sehr-langer-name.com</a> steht. Entsprechend wird beim Verbindungsaufbau überprüft ob der Name im SSL Zertifikat angegeben ist.<o:p></o:p></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>Eine Lösung für Dein Problem wäre z.B. ein Multi-Domain Zertifikat von letsencrypt, bei dem mehrere FQDNs abgesichert sind.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>/usr/bin/certbot certonly --no-self-upgrade --webroot -w "/var/www/html/.certbot" --cert-name "<a href="http://mail.sehr-langer-name.com">mail.sehr-langer-name.com</a>" -d "<a href="http://mail.sehr-langer-name.com">mail.sehr-langer-name.com</a>" -d "<a href="http://mail.kurz.de">mail.kurz.de</a>"<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Mit -d kann man mehrere, auch verschiedene Domainnamen angeben (ich glaube bis zu 100).<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Da postfix weiterhin nur ein Zertifikat ausliefert, <a href="http://mail.kurz.de">mail.kurz.de</a> aber zusätzlich enthalten ist, kann der Client das Zertifikat erfolgreich überprüfen.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><a href="https://en.wikipedia.org/wiki/Subject_Alternative_Name">https://en.wikipedia.org/wiki/Subject_Alternative_Name</a><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Viele Grüße<o:p></o:p></p></div><div><p class=MsoNormal>Gerald<o:p></o:p></p></div></div></body></html>