Re: Namen Postfix-Mailservers ändern

[Gerald Galster]

Hi,

> Ich möchte den Namen meines Mailservers von mail.sehr-langer-name.com <http://mail.sehr-langer-name.com/> auf mail.kurz.de <http://mail.kurz.de/> ändern. Das ist severseitig ja kein Problem. Doch ist mail. sehr-langer-name.com <http://sehr-langer-name.com/> bei hunderten von Clients eingetragen.
> Ich habe es mit einem CNAME-Eintrag versucht. Doch der liefert dem Client bei Abfrage des A-Records ja nicht den neuen Namen, sondern die IP-Adresse. Der Client behält den alten Namen bei. Das wird erst dann zum Problem, wenn man mit SSL arbeitet. Der Server präsentiert dem Client nämlich ein Zertifikat für den neuen Namen, während der Client eins für den alten Namen erwartet.
> Gibt es da eine elegante Möglichkeit das per DNS zu lösen? Oder kann Postfix mit sowas wie SNI das richtige Zertifikat auswählen? Oder was ganz anderes?

das Problem ist, dass im Mailclient als SMTP-Server mail.sehr-langer-name.com steht. Entsprechend wird beim Verbindungsaufbau überprüft ob der Name im SSL Zertifikat angegeben ist.

Eine Lösung für Dein Problem wäre z.B. ein Multi-Domain Zertifikat von letsencrypt, bei dem mehrere FQDNs abgesichert sind.

/usr/bin/certbot certonly --no-self-upgrade --webroot -w "/var/www/html/.certbot" --cert-name "mail.sehr-langer-name.com" -d "mail.sehr-langer-name.com" -d "mail.kurz.de"

Mit -d kann man mehrere, auch verschiedene Domainnamen angeben (ich glaube bis zu 100).

Da postfix weiterhin nur ein Zertifikat ausliefert, mail.kurz.de aber zusätzlich enthalten ist, kann der Client das Zertifikat erfolgreich überprüfen.

https://en.wikipedia.org/wiki/Subject_Alternative_Name

Viele Grüße
Gerald
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200220/6c1f3cdf/attachment.html>