<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Hi,<div class=""><br class=""><div><blockquote type="cite" class=""><div class=""><div class="WordSection1" style="page: WordSection1; caret-color: rgb(0, 0, 0); font-family: Menlo-Regular; font-size: 10px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><div style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class="">Ich möchte den Namen meines Mailservers von<span class="Apple-converted-space"> </span><a href="http://mail.sehr-langer-name.com/" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">mail.sehr-langer-name.com</a><span class="Apple-converted-space"> </span>auf<span class="Apple-converted-space"> </span><a href="http://mail.kurz.de/" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">mail.kurz.de</a><span class="Apple-converted-space"> </span>ändern. Das ist severseitig ja kein Problem. Doch ist mail.<span class="Apple-converted-space"> </span><a href="http://sehr-langer-name.com/" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">sehr-langer-name.com</a><span class="Apple-converted-space"> </span>bei hunderten von Clients eingetragen.<br class="">Ich habe es mit einem CNAME-Eintrag versucht. Doch der liefert dem Client bei Abfrage des A-Records ja nicht den neuen Namen, sondern die IP-Adresse. Der Client behält den alten Namen bei. Das wird erst dann zum Problem, wenn man mit SSL arbeitet. Der Server präsentiert dem Client nämlich ein Zertifikat für den neuen Namen, während der Client eins für den alten Namen erwartet.<o:p class=""></o:p></div><div style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class="">Gibt es da eine elegante Möglichkeit das per DNS zu lösen? Oder kann Postfix mit sowas wie SNI das richtige Zertifikat auswählen? Oder was ganz anderes?<o:p class=""></o:p></div></div></div></blockquote><br class=""></div><div>das Problem ist, dass im Mailclient als SMTP-Server <a href="http://mail.sehr-langer-name.com" class="">mail.sehr-langer-name.com</a> steht. Entsprechend wird beim Verbindungsaufbau überprüft ob der Name im SSL Zertifikat angegeben ist.</div></div><br class=""><div class="">Eine Lösung für Dein Problem wäre z.B. ein Multi-Domain Zertifikat von letsencrypt, bei dem mehrere FQDNs abgesichert sind.</div><div class=""><br class=""></div><div class="">/usr/bin/certbot certonly --no-self-upgrade --webroot -w "/var/www/html/.certbot" --cert-name "<a href="http://mail.sehr-langer-name.com" class="">mail.sehr-langer-name.com</a>" -d "<a href="http://mail.sehr-langer-name.com" class="">mail.sehr-langer-name.com</a>" -d "<a href="http://mail.kurz.de" class="">mail.kurz.de</a>"</div><div class=""><br class=""></div><div class="">Mit -d kann man mehrere, auch verschiedene Domainnamen angeben (ich glaube bis zu 100).</div><div class=""><br class=""></div><div class="">Da postfix weiterhin nur ein Zertifikat ausliefert, <a href="http://mail.kurz.de" class="">mail.kurz.de</a> aber zusätzlich enthalten ist, kann der Client das Zertifikat erfolgreich überprüfen.</div><div class=""><br class=""></div><div class=""><a href="https://en.wikipedia.org/wiki/Subject_Alternative_Name" class="">https://en.wikipedia.org/wiki/Subject_Alternative_Name</a></div><div class=""><br class=""></div><div class="">Viele Grüße</div><div class="">Gerald</div></body></html>