pop3s und CNAME

Alex JOST jost+lists at dimejo.at
Do Dez 8 17:20:33 CET 2016 

Am 08.12.2016 um 13:49 schrieb Harald Witt:
> Hallo Liste,
>
>
>
> das Thema stand bestimmt schon zur Diskussion. Ich möchte es trotzdem
> nochmal aufwerfen.
>
>
>
> Mein Mailserver wird mit Postfix /Courier betrieben. Bei einer
> SSL-Verbindung wird ein Zertifikat präsentiert, welches von einer
> selbstsignierten CA stammt. Aus diesem Grunde wird seit über 9 Jahren das
> Root-Zertifikat der CA bei jedem Client installiert. Letzteres läuft leider
> nächstes Jahr aus. Dumm gelaufen L
>
> Der Aufwand, auf hunderten von Clients in den nächsten Monaten ein neues
> Zertifikat zu installieren ist ziemlich hoch und sollte vermieden werden.
>
> Ich reduziere hier erstmal mein Problem auf den POP3-Server (Courier):
>
>
>
> Als POP3-Server ist bei ALLEN Clients pop.domain.tld eingetragen. Allerdings
> besitze ich für *.domain-NEU.tld ein gekauftes Wildcard-Zertifikat. Das hat
> den Charme, dass nicht immer ein Root-Zertifikat installiert werden muss.
> Dieses würde ich gern in Zukunft ausschließlich nutzen.
>
>
>
> Ich trage also einen A-Record für pop.domain-NEU.tld ein und lösche den
> A-Record von pop.domain.tld. Statt dessen erzeuge ich einen CNAME-Record der
> Art: pop.domain.tls=pop.domain-NEU.tld. Doch leider musste ich feststellen,
> dass der CNAME-Record nicht bedeutet, den kanonischen Namen aus CNAME zu
> benutzen, sondern lediglich dessen IP-Adresse. In der Folge bekommen alle
> Benutzer, die als POP3-Server pop.domain.tld eingetragen haben, für exakt
> diese Domain das Zertifikat von pop.domain-NEU.tld präsentiert. Das führt
> dann natürlich zu Fehlermeldungen (Outlook: Falscher Zielprizipalname).
>
>
>
> Ok, man könnte Courier dazu überreden, mit SNI zu arbeiten (domainabhängige
> Zertifikate), wenn es gegen GNU-TLS compiliert wird, statt gegen OpenSSL.
> Man könnte auch auf Dovecot wechseln, wo SNI wohl nativ unterstützt wird.
>
>
>
> Doch danach habe ich ja immer noch den SMTP-Server Postfix. Dieser
> unterstützt kein SNI und wird es auch wohl nicht tun. Da bleibt dann wohl
> nur die Konfiguration mit einer zusätzliche IP-Adresse auf ethX:y, die ich
> aber leider NICHT habe.
>
>
>
> Office 365 arbeitet da mit „autodiscover“. Das wirkt aber auch wohl nur bei
> der Ersteinrichtung?
>
>
>
> Was ich brauche ist ein Apache mod_rewrite für DNS J
>
> Geht da vielleicht was mit eine SRV-Record?
>
>
>
> Thats my misery.
>
> Hat jemand eine kluge Idee, wie man das elegant lösen könnte?
>
> Mir fällt da im Moment nur noch Let‘s Encrypt ein.

Vielleicht stehe ich ja gerade auf dem Schlauch, aber was spricht 
dagegen ein gekauftes Zertifikat für pop.domain.tld einzusetzen?

-- 
Alex JOST

Mehr Informationen über die Mailingliste Postfixbuch-users