pop3s und CNAME

classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

pop3s und CNAME

Harald Witt

Hallo Liste,

 

das Thema stand bestimmt schon zur Diskussion. Ich möchte es trotzdem nochmal aufwerfen.

 

Mein Mailserver wird mit Postfix /Courier betrieben. Bei einer SSL-Verbindung wird ein Zertifikat präsentiert, welches von einer selbstsignierten CA stammt. Aus diesem Grunde wird seit über 9 Jahren das Root-Zertifikat der CA bei jedem Client installiert. Letzteres läuft leider nächstes Jahr aus. Dumm gelaufen L

Der Aufwand, auf hunderten von Clients in den nächsten Monaten ein neues Zertifikat zu installieren ist ziemlich hoch und sollte vermieden werden.

Ich reduziere hier erstmal mein Problem auf den POP3-Server (Courier):

 

Als POP3-Server ist bei ALLEN Clients pop.domain.tld eingetragen. Allerdings besitze ich für *.domain-NEU.tld ein gekauftes Wildcard-Zertifikat. Das hat den Charme, dass nicht immer ein Root-Zertifikat installiert werden muss. Dieses würde ich gern in Zukunft ausschließlich nutzen.

 

Ich trage also einen A-Record für pop.domain-NEU.tld ein und lösche den A-Record von pop.domain.tld. Statt dessen erzeuge ich einen CNAME-Record der Art: pop.domain.tls=pop.domain-NEU.tld. Doch leider musste ich feststellen, dass der CNAME-Record nicht bedeutet, den kanonischen Namen aus CNAME zu benutzen, sondern lediglich dessen IP-Adresse. In der Folge bekommen alle Benutzer, die als POP3-Server pop.domain.tld eingetragen haben, für exakt diese Domain das Zertifikat von pop.domain-NEU.tld präsentiert. Das führt dann natürlich zu Fehlermeldungen (Outlook: Falscher Zielprizipalname).

 

Ok, man könnte Courier dazu überreden, mit SNI zu arbeiten (domainabhängige Zertifikate), wenn es gegen GNU-TLS compiliert wird, statt gegen OpenSSL. Man könnte auch auf Dovecot wechseln, wo SNI wohl nativ unterstützt wird.

 

Doch danach habe ich ja immer noch den SMTP-Server Postfix. Dieser unterstützt kein SNI und wird es auch wohl nicht tun. Da bleibt dann wohl nur die Konfiguration mit einer zusätzliche IP-Adresse auf ethX:y, die ich aber leider NICHT habe.

 

Office 365 arbeitet da mit „autodiscover“. Das wirkt aber auch wohl nur bei der Ersteinrichtung?

 

Was ich brauche ist ein Apache mod_rewrite für DNS J

Geht da vielleicht was mit eine SRV-Record?

 

Thats my misery.

Hat jemand eine kluge Idee, wie man das elegant lösen könnte?

Mir fällt da im Moment nur noch Let‘s Encrypt ein.

 

Vielen Dank

Harald

 

Reply | Threaded
Open this post in threaded view
|

AW: pop3s und CNAME

Daniel-4
Wenn der Client nach Hostname A fragt will der auch nen gültiges Cert was für A gilt nicht für B.

Da hilft dir auch kein SRV, CNAME, DNAME oder so weiter.

Nen lets encrypt auf Mailserver für A geht, da darf der Server halt nicht für B ausliefern. Wenn für B auch verwenden möchtest, wirst wohl um mehrere Instanzen nicht herum kommen.

Autoconfig/Autodiscovery ist nur für erste Einrichtung in Outlook, Thunderbird ect.

Sonst müsste man schauen ob nicht nen Script oder so ggf. Server Adresse in Regedit oder ähnliches anpassen lassen kannst.

Gruß Daniel

Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Harald Witt
Gesendet: Donnerstag, 8. Dezember 2016 13:50
An: [hidden email]
Betreff: pop3s und CNAME

Hallo Liste,

das Thema stand bestimmt schon zur Diskussion. Ich möchte es trotzdem nochmal aufwerfen.

Mein Mailserver wird mit Postfix /Courier betrieben. Bei einer SSL-Verbindung wird ein Zertifikat präsentiert, welches von einer selbstsignierten CA stammt. Aus diesem Grunde wird seit über 9 Jahren das Root-Zertifikat der CA bei jedem Client installiert. Letzteres läuft leider nächstes Jahr aus. Dumm gelaufen ☹
Der Aufwand, auf hunderten von Clients in den nächsten Monaten ein neues Zertifikat zu installieren ist ziemlich hoch und sollte vermieden werden.
Ich reduziere hier erstmal mein Problem auf den POP3-Server (Courier):

Als POP3-Server ist bei ALLEN Clients pop.domain.tld eingetragen. Allerdings besitze ich für *.domain-NEU.tld ein gekauftes Wildcard-Zertifikat. Das hat den Charme, dass nicht immer ein Root-Zertifikat installiert werden muss. Dieses würde ich gern in Zukunft ausschließlich nutzen.

Ich trage also einen A-Record für pop.domain-NEU.tld ein und lösche den A-Record von pop.domain.tld. Statt dessen erzeuge ich einen CNAME-Record der Art: pop.domain.tls=pop.domain-NEU.tld. Doch leider musste ich feststellen, dass der CNAME-Record nicht bedeutet, den kanonischen Namen aus CNAME zu benutzen, sondern lediglich dessen IP-Adresse. In der Folge bekommen alle Benutzer, die als POP3-Server pop.domain.tld eingetragen haben, für exakt diese Domain das Zertifikat von pop.domain-NEU.tld präsentiert. Das führt dann natürlich zu Fehlermeldungen (Outlook: Falscher Zielprizipalname).

Ok, man könnte Courier dazu überreden, mit SNI zu arbeiten (domainabhängige Zertifikate), wenn es gegen GNU-TLS compiliert wird, statt gegen OpenSSL. Man könnte auch auf Dovecot wechseln, wo SNI wohl nativ unterstützt wird.

Doch danach habe ich ja immer noch den SMTP-Server Postfix. Dieser unterstützt kein SNI und wird es auch wohl nicht tun. Da bleibt dann wohl nur die Konfiguration mit einer zusätzliche IP-Adresse auf ethX:y, die ich aber leider NICHT habe.

Office 365 arbeitet da mit „autodiscover“. Das wirkt aber auch wohl nur bei der Ersteinrichtung?

Was ich brauche ist ein Apache mod_rewrite für DNS ☺
Geht da vielleicht was mit eine SRV-Record?

Thats my misery.
Hat jemand eine kluge Idee, wie man das elegant lösen könnte?
Mir fällt da im Moment nur noch Let‘s Encrypt ein.

Vielen Dank
Harald


smime.p7s (6K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: pop3s und CNAME

Daniel-4
In reply to this post by Harald Witt
Hi Harald,

als Nachtrag evt. könnte über Outlook Tool deine Konfig anpassen lassen zwecks neuer Domain und neuem Cert.
http://www.thurnhofer.net/outlook-e-mail-profil-einstellungen-automatisch-verteilen/
http://www.msxfaq.de/exchange/clients/proftool.htm
https://technet.microsoft.com/de-de/library/cc179062(v=office.14).aspx

Oder haste verschiedene Clients?

Gruß Daniel


smime.p7s (6K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: pop3s und CNAME

Alex JOST
In reply to this post by Harald Witt
Am 08.12.2016 um 13:49 schrieb Harald Witt:

> Hallo Liste,
>
>
>
> das Thema stand bestimmt schon zur Diskussion. Ich möchte es trotzdem
> nochmal aufwerfen.
>
>
>
> Mein Mailserver wird mit Postfix /Courier betrieben. Bei einer
> SSL-Verbindung wird ein Zertifikat präsentiert, welches von einer
> selbstsignierten CA stammt. Aus diesem Grunde wird seit über 9 Jahren das
> Root-Zertifikat der CA bei jedem Client installiert. Letzteres läuft leider
> nächstes Jahr aus. Dumm gelaufen L
>
> Der Aufwand, auf hunderten von Clients in den nächsten Monaten ein neues
> Zertifikat zu installieren ist ziemlich hoch und sollte vermieden werden.
>
> Ich reduziere hier erstmal mein Problem auf den POP3-Server (Courier):
>
>
>
> Als POP3-Server ist bei ALLEN Clients pop.domain.tld eingetragen. Allerdings
> besitze ich für *.domain-NEU.tld ein gekauftes Wildcard-Zertifikat. Das hat
> den Charme, dass nicht immer ein Root-Zertifikat installiert werden muss.
> Dieses würde ich gern in Zukunft ausschließlich nutzen.
>
>
>
> Ich trage also einen A-Record für pop.domain-NEU.tld ein und lösche den
> A-Record von pop.domain.tld. Statt dessen erzeuge ich einen CNAME-Record der
> Art: pop.domain.tls=pop.domain-NEU.tld. Doch leider musste ich feststellen,
> dass der CNAME-Record nicht bedeutet, den kanonischen Namen aus CNAME zu
> benutzen, sondern lediglich dessen IP-Adresse. In der Folge bekommen alle
> Benutzer, die als POP3-Server pop.domain.tld eingetragen haben, für exakt
> diese Domain das Zertifikat von pop.domain-NEU.tld präsentiert. Das führt
> dann natürlich zu Fehlermeldungen (Outlook: Falscher Zielprizipalname).
>
>
>
> Ok, man könnte Courier dazu überreden, mit SNI zu arbeiten (domainabhängige
> Zertifikate), wenn es gegen GNU-TLS compiliert wird, statt gegen OpenSSL.
> Man könnte auch auf Dovecot wechseln, wo SNI wohl nativ unterstützt wird.
>
>
>
> Doch danach habe ich ja immer noch den SMTP-Server Postfix. Dieser
> unterstützt kein SNI und wird es auch wohl nicht tun. Da bleibt dann wohl
> nur die Konfiguration mit einer zusätzliche IP-Adresse auf ethX:y, die ich
> aber leider NICHT habe.
>
>
>
> Office 365 arbeitet da mit „autodiscover“. Das wirkt aber auch wohl nur bei
> der Ersteinrichtung?
>
>
>
> Was ich brauche ist ein Apache mod_rewrite für DNS J
>
> Geht da vielleicht was mit eine SRV-Record?
>
>
>
> Thats my misery.
>
> Hat jemand eine kluge Idee, wie man das elegant lösen könnte?
>
> Mir fällt da im Moment nur noch Let‘s Encrypt ein.

Vielleicht stehe ich ja gerade auf dem Schlauch, aber was spricht
dagegen ein gekauftes Zertifikat für pop.domain.tld einzusetzen?

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

AW: pop3s und CNAME

Harald Witt
In reply to this post by Daniel-4
Hi Daniel,

danke für die schnelle Antwort.
Immerhin weiß ich jetzt, dass ich nicht auf dem Schlauch stehe.
Es gibt also nur zwei Möglichkeiten:

1. Alle Clients und den Server zeitgleich umstellen.
2. Ein neues Zertifikat für die alte Domain (gekauft oder kostenlos).

Viele Grüße an alle Helfer hier
Harald

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]]
Im Auftrag von Daniel
Gesendet: Donnerstag, 8. Dezember 2016 16:39
An: 'Diskussionen und Support rund um Postfix'
Betreff: AW: pop3s und CNAME

Hi Harald,

als Nachtrag evt. könnte über Outlook Tool deine Konfig anpassen lassen
zwecks neuer Domain und neuem Cert.
http://www.thurnhofer.net/outlook-e-mail-profil-einstellungen-automatisch-ve
rteilen/
http://www.msxfaq.de/exchange/clients/proftool.htm
https://technet.microsoft.com/de-de/library/cc179062(v=office.14).aspx

Oder haste verschiedene Clients?

Gruß Daniel


Reply | Threaded
Open this post in threaded view
|

AW: pop3s und CNAME

Harald Witt
In reply to this post by Alex JOST
Hallo Alex,

auch dir vielen Dank.
Nein, du stehst gar nicht auf dem Schlauch. Die logische Konsequenz ist
natürlich ein neues Zertifikat für pop.domain.tld (ob nun gekauft oder
kostenlos).
Ich wollte nur bei euch nachfragen, ob es einen Weg gibt, den Mailserver
schon mal vorab umzustellen und dann die Clients mit viel Zeit im Rücken
sanft zu migrieren.
Aber da es wohl weder im SMTP-Protokoll noch im POP3-Protokoll ein "Rewrite"
gibt, hat sich das dann erledigt. Und mittels DNS geht's halt auch nicht.

Aber vielen Dank, ich weiß jetzt zumindest, dass ich korrekt gedacht habe
:-)
Harald

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]]
Im Auftrag von Alex JOST
Gesendet: Donnerstag, 8. Dezember 2016 17:21
An: [hidden email]
Betreff: Re: pop3s und CNAME

Am 08.12.2016 um 13:49 schrieb Harald Witt:

> Hallo Liste,
>
>
>
> das Thema stand bestimmt schon zur Diskussion. Ich möchte es trotzdem
> nochmal aufwerfen.
>
>
>
> Mein Mailserver wird mit Postfix /Courier betrieben. Bei einer
> SSL-Verbindung wird ein Zertifikat präsentiert, welches von einer
> selbstsignierten CA stammt. Aus diesem Grunde wird seit über 9 Jahren
> das Root-Zertifikat der CA bei jedem Client installiert. Letzteres
> läuft leider nächstes Jahr aus. Dumm gelaufen L
>
> Der Aufwand, auf hunderten von Clients in den nächsten Monaten ein
> neues Zertifikat zu installieren ist ziemlich hoch und sollte vermieden
werden.
>
> Ich reduziere hier erstmal mein Problem auf den POP3-Server (Courier):
>
>
>
> Als POP3-Server ist bei ALLEN Clients pop.domain.tld eingetragen.
> Allerdings besitze ich für *.domain-NEU.tld ein gekauftes
> Wildcard-Zertifikat. Das hat den Charme, dass nicht immer ein
Root-Zertifikat installiert werden muss.

> Dieses würde ich gern in Zukunft ausschließlich nutzen.
>
>
>
> Ich trage also einen A-Record für pop.domain-NEU.tld ein und lösche
> den A-Record von pop.domain.tld. Statt dessen erzeuge ich einen
> CNAME-Record der
> Art: pop.domain.tls=pop.domain-NEU.tld. Doch leider musste ich
> feststellen, dass der CNAME-Record nicht bedeutet, den kanonischen
> Namen aus CNAME zu benutzen, sondern lediglich dessen IP-Adresse. In
> der Folge bekommen alle Benutzer, die als POP3-Server pop.domain.tld
> eingetragen haben, für exakt diese Domain das Zertifikat von
> pop.domain-NEU.tld präsentiert. Das führt dann natürlich zu
Fehlermeldungen (Outlook: Falscher Zielprizipalname).
>
>
>
> Ok, man könnte Courier dazu überreden, mit SNI zu arbeiten
> (domainabhängige Zertifikate), wenn es gegen GNU-TLS compiliert wird,
statt gegen OpenSSL.

> Man könnte auch auf Dovecot wechseln, wo SNI wohl nativ unterstützt wird.
>
>
>
> Doch danach habe ich ja immer noch den SMTP-Server Postfix. Dieser
> unterstützt kein SNI und wird es auch wohl nicht tun. Da bleibt dann
> wohl nur die Konfiguration mit einer zusätzliche IP-Adresse auf
> ethX:y, die ich aber leider NICHT habe.
>
>
>
> Office 365 arbeitet da mit „autodiscover“. Das wirkt aber auch wohl
> nur bei der Ersteinrichtung?
>
>
>
> Was ich brauche ist ein Apache mod_rewrite für DNS J
>
> Geht da vielleicht was mit eine SRV-Record?
>
>
>
> Thats my misery.
>
> Hat jemand eine kluge Idee, wie man das elegant lösen könnte?
>
> Mir fällt da im Moment nur noch Let‘s Encrypt ein.

Vielleicht stehe ich ja gerade auf dem Schlauch, aber was spricht dagegen
ein gekauftes Zertifikat für pop.domain.tld einzusetzen?

--
Alex JOST