Namen Postfix-Mailservers ändern

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

Namen Postfix-Mailservers ändern

Harald Witt

Hallo an alle.

Ich möchte den Namen meines Mailservers von mail.sehr-langer-name.com auf mail.kurz.de ändern. Das ist severseitig ja kein Problem. Doch ist mail. sehr-langer-name.com bei hunderten von Clients eingetragen.
Ich habe es mit einem CNAME-Eintrag versucht. Doch der liefert dem Client bei Abfrage des A-Records ja nicht den neuen Namen, sondern die IP-Adresse. Der Client behält den alten Namen bei. Das wird erst dann zum Problem, wenn man mit SSL arbeitet. Der Server präsentiert dem Client nämlich ein Zertifikat für den neuen Namen, während der Client eins für den alten Namen erwartet.

Gibt es da eine elegante Möglichkeit das per DNS zu lösen? Oder kann Postfix mit sowas wie SNI das richtige Zertifikat auswählen? Oder was ganz anderes?

 

Vielen Dank

Harald

Reply | Threaded
Open this post in threaded view
|

Re: Namen Postfix-Mailservers ändern

Gerald Galster-2
Hi,

Ich möchte den Namen meines Mailservers von mail.sehr-langer-name.com auf mail.kurz.de ändern. Das ist severseitig ja kein Problem. Doch ist mail. sehr-langer-name.com bei hunderten von Clients eingetragen.
Ich habe es mit einem CNAME-Eintrag versucht. Doch der liefert dem Client bei Abfrage des A-Records ja nicht den neuen Namen, sondern die IP-Adresse. Der Client behält den alten Namen bei. Das wird erst dann zum Problem, wenn man mit SSL arbeitet. Der Server präsentiert dem Client nämlich ein Zertifikat für den neuen Namen, während der Client eins für den alten Namen erwartet.
Gibt es da eine elegante Möglichkeit das per DNS zu lösen? Oder kann Postfix mit sowas wie SNI das richtige Zertifikat auswählen? Oder was ganz anderes?

das Problem ist, dass im Mailclient als SMTP-Server mail.sehr-langer-name.com steht. Entsprechend wird beim Verbindungsaufbau überprüft ob der Name im SSL Zertifikat angegeben ist.

Eine Lösung für Dein Problem wäre z.B. ein Multi-Domain Zertifikat von letsencrypt, bei dem mehrere FQDNs abgesichert sind.

/usr/bin/certbot certonly --no-self-upgrade --webroot -w "/var/www/html/.certbot" --cert-name "mail.sehr-langer-name.com" -d "mail.sehr-langer-name.com" -d "mail.kurz.de"

Mit -d kann man mehrere, auch verschiedene Domainnamen angeben (ich glaube bis zu 100).

Da postfix weiterhin nur ein Zertifikat ausliefert, mail.kurz.de aber zusätzlich enthalten ist, kann der Client das Zertifikat erfolgreich überprüfen.


Viele Grüße
Gerald
Reply | Threaded
Open this post in threaded view
|

AW: Namen Postfix-Mailservers ändern

Harald Witt

Hallo Gerald,

 

super Idee. Bin ich ehrlich noch nicht drauf gekommen.

 

Danke

Harald

 

Von: Postfixbuch-users <[hidden email]> Im Auftrag von Gerald Galster
Gesendet: Donnerstag, 20. Februar 2020 13:39
An: Diskussionen und Support rund um Postfix <[hidden email]>
Betreff: Re: Namen Postfix-Mailservers ändern

 

Hi,

 

Ich möchte den Namen meines Mailservers von mail.sehr-langer-name.com auf mail.kurz.de ändern. Das ist severseitig ja kein Problem. Doch ist mail. sehr-langer-name.com bei hunderten von Clients eingetragen.
Ich habe es mit einem CNAME-Eintrag versucht. Doch der liefert dem Client bei Abfrage des A-Records ja nicht den neuen Namen, sondern die IP-Adresse. Der Client behält den alten Namen bei. Das wird erst dann zum Problem, wenn man mit SSL arbeitet. Der Server präsentiert dem Client nämlich ein Zertifikat für den neuen Namen, während der Client eins für den alten Namen erwartet.

Gibt es da eine elegante Möglichkeit das per DNS zu lösen? Oder kann Postfix mit sowas wie SNI das richtige Zertifikat auswählen? Oder was ganz anderes?

 

das Problem ist, dass im Mailclient als SMTP-Server mail.sehr-langer-name.com steht. Entsprechend wird beim Verbindungsaufbau überprüft ob der Name im SSL Zertifikat angegeben ist.

 

Eine Lösung für Dein Problem wäre z.B. ein Multi-Domain Zertifikat von letsencrypt, bei dem mehrere FQDNs abgesichert sind.

 

/usr/bin/certbot certonly --no-self-upgrade --webroot -w "/var/www/html/.certbot" --cert-name "mail.sehr-langer-name.com" -d "mail.sehr-langer-name.com" -d "mail.kurz.de"

 

Mit -d kann man mehrere, auch verschiedene Domainnamen angeben (ich glaube bis zu 100).

 

Da postfix weiterhin nur ein Zertifikat ausliefert, mail.kurz.de aber zusätzlich enthalten ist, kann der Client das Zertifikat erfolgreich überprüfen.

 

 

Viele Grüße

Gerald