AW: pop3s und CNAME

Do Dez 8 19:10:02 CET 2016

Hallo Alex,

auch dir vielen Dank.
Nein, du stehst gar nicht auf dem Schlauch. Die logische Konsequenz ist
natürlich ein neues Zertifikat für pop.domain.tld (ob nun gekauft oder
kostenlos).
Ich wollte nur bei euch nachfragen, ob es einen Weg gibt, den Mailserver
schon mal vorab umzustellen und dann die Clients mit viel Zeit im Rücken
sanft zu migrieren.
Aber da es wohl weder im SMTP-Protokoll noch im POP3-Protokoll ein "Rewrite"
gibt, hat sich das dann erledigt. Und mittels DNS geht's halt auch nicht.

Aber vielen Dank, ich weiß jetzt zumindest, dass ich korrekt gedacht habe
:-)
Harald

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de]
Im Auftrag von Alex JOST
Gesendet: Donnerstag, 8. Dezember 2016 17:21
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: pop3s und CNAME

Am 08.12.2016 um 13:49 schrieb Harald Witt:
> Hallo Liste,
>
>
>
> das Thema stand bestimmt schon zur Diskussion. Ich möchte es trotzdem 
> nochmal aufwerfen.
>
>
>
> Mein Mailserver wird mit Postfix /Courier betrieben. Bei einer 
> SSL-Verbindung wird ein Zertifikat präsentiert, welches von einer 
> selbstsignierten CA stammt. Aus diesem Grunde wird seit über 9 Jahren 
> das Root-Zertifikat der CA bei jedem Client installiert. Letzteres 
> läuft leider nächstes Jahr aus. Dumm gelaufen L
>
> Der Aufwand, auf hunderten von Clients in den nächsten Monaten ein 
> neues Zertifikat zu installieren ist ziemlich hoch und sollte vermieden
werden.
>
> Ich reduziere hier erstmal mein Problem auf den POP3-Server (Courier):
>
>
>
> Als POP3-Server ist bei ALLEN Clients pop.domain.tld eingetragen. 
> Allerdings besitze ich für *.domain-NEU.tld ein gekauftes 
> Wildcard-Zertifikat. Das hat den Charme, dass nicht immer ein
Root-Zertifikat installiert werden muss.
> Dieses würde ich gern in Zukunft ausschließlich nutzen.
>
>
>
> Ich trage also einen A-Record für pop.domain-NEU.tld ein und lösche 
> den A-Record von pop.domain.tld. Statt dessen erzeuge ich einen 
> CNAME-Record der
> Art: pop.domain.tls=pop.domain-NEU.tld. Doch leider musste ich 
> feststellen, dass der CNAME-Record nicht bedeutet, den kanonischen 
> Namen aus CNAME zu benutzen, sondern lediglich dessen IP-Adresse. In 
> der Folge bekommen alle Benutzer, die als POP3-Server pop.domain.tld 
> eingetragen haben, für exakt diese Domain das Zertifikat von 
> pop.domain-NEU.tld präsentiert. Das führt dann natürlich zu
Fehlermeldungen (Outlook: Falscher Zielprizipalname).
>
>
>
> Ok, man könnte Courier dazu überreden, mit SNI zu arbeiten 
> (domainabhängige Zertifikate), wenn es gegen GNU-TLS compiliert wird,
statt gegen OpenSSL.
> Man könnte auch auf Dovecot wechseln, wo SNI wohl nativ unterstützt wird.
>
>
>
> Doch danach habe ich ja immer noch den SMTP-Server Postfix. Dieser 
> unterstützt kein SNI und wird es auch wohl nicht tun. Da bleibt dann 
> wohl nur die Konfiguration mit einer zusätzliche IP-Adresse auf 
> ethX:y, die ich aber leider NICHT habe.
>
>
>
> Office 365 arbeitet da mit „autodiscover“. Das wirkt aber auch wohl 
> nur bei der Ersteinrichtung?
>
>
>
> Was ich brauche ist ein Apache mod_rewrite für DNS J
>
> Geht da vielleicht was mit eine SRV-Record?
>
>
>
> Thats my misery.
>
> Hat jemand eine kluge Idee, wie man das elegant lösen könnte?
>
> Mir fällt da im Moment nur noch Let‘s Encrypt ein.

Vielleicht stehe ich ja gerade auf dem Schlauch, aber was spricht dagegen
ein gekauftes Zertifikat für pop.domain.tld einzusetzen?

--
Alex JOST