Ich versuche, mich kurz zu fassen. Ich möchte, dass beta.example.com meinen Server als Mailserver verwendet. Ich sehe, dass Dovecot und Postfix nur eine Zeile für ein Zertifikat haben. Ich habe also ein Zertifikat für mail.example.com erstellt, das vollkommen gültig ist. Ich habe versucht, Thunderbird zu verwenden, um eine Verbindung zu meinem Mailserver (beta.example.com) herzustellen, und es wurde eine Warnung mit der falschen Domäne angezeigt, dass das Zertifikat zu mail.example.com gehört. Wo habe ich einen Fehler gemacht? Der MX-Eintrag lautet mail.example.com, sollte er also nicht wissen, dass das Zertifikat für mail.example.com ist? Ich habe eine Ausnahme hinzugefügt, aber es schlägt trotzdem fehl (nachdem ich nach meinem Passwort gefragt wurde). Ich habe mir meinen Server angesehen und es scheint, dass Dovecot die Verbindung ablehnt, weil Thunderbird falsche Zertifikatsdaten liefert.
Antwort1
Sie erfahren den eigentlichen Zweck von Zertifikaten: Sie verhindern, dass Sie versehentlich eine Verbindung mit einem anderen Server als dem erwarteten herstellen ( mail.example.comanstatt mit beta.example.com). Sie müssen ein Zertifikat konfigurieren, das für die Domäne ausgestellt wurde, mit der Sie eine Verbindung herstellen. Wenn der E-Mail-Client also eine Verbindung mit herstellt beta.example.com, benötigen Sie ein Zertifikat für beta.example.com.
Besorgen Sie sich entweder ein anderes Zertifikat für beta.example.com(oder schließen Sie es als alternativen Antragstellernamen ein) oder lassen Sie es mail.example.comauf die IP von verweisen beta.example.com.
Antwort2
Der Client ist für die Verbindung mit konfiguriert mail.example.com.
Der Server, mit dem die Verbindung hergestellt wird, gibt (im Zertifikat) an, zu sein beta.example.com.
Da mail.example.comdies nicht dasselbe ist wie beta.example.com, beschwert sich der Kunde über die Nichtübereinstimmung.Dies ist völlig beabsichtigt.
Damit dies funktioniert,Sie müssen Ihren Mailserver so konfigurieren, dass er ein Zertifikat vorlegt, das einen alternativen Antragstellernamen enthält, der mit dem Hostnamen übereinstimmt, auf den der Client verweist.Wie dieser Hostname letztendlich in eine IP-Adresse aufgelöst wird, ist zweitrangig.
Früher wurde der Hostname in das Feld „Common Name“ des Zertifikats eingetragen, aber diese Vorgehensweise wird nicht mehr unterstützt. Sie können den Hostnamen immer noch als CN des Zertifikats angeben, wenn Sie möchten, aber für optimale Kompatibilität müssen SieAuchGeben Sie es als SAN ein. Ich glaube, die meisten Zertifizierungsstellen geben den CN als SAN als Service für Sie ein, wenn Sie dies nicht selbst in Ihrer CSR tun, aber es besteht das Risiko, dass einige dies nicht tun; überprüfen Sie Ihr Zertifikat.
Wenn Sie dengleiches Zertifikatfür Postfix und Dovecot, aber aus irgendeinem Grund möchten Sieverschiedene Hostnamenfür beide (z. B. smtp.example.comund pop.example.com) veröffentlicht wurde, benötigen Sie ein Zertifikat, das für beide beteiligten Hostnamen gültig ist. Dies kann mit einem Zertifikat für mehrere Hostnamen oder einem Wildcard- *.example.comZertifikat () erfolgen.
Auch,MX (Mail Exchanger) DNS RRs sind eigentlich nur für eingehende SMTP-Verbindungen zu einem Mailserver relevant, der E-Mails für eine bestimmte Domäne verarbeitet, wobei der Remote-Mailserver zunächst nur die Empfängerdomäne kennt.Es ist vollkommen in Ordnung, zum Beispiel
example.com. MX 0 mail.example.com.
mail.example.com. CNAME beta.example.com.
beta.example.com. A 192.0.2.123
obwohl dies nicht wirklich empfohlen wird, da das Zeigen eines RR auf einen nichtkanonischen RR einige Resolver zum Absturz bringen kann. Wenn der Resolver des Remote-Systems dies jedoch akzeptiert (was bei den meisten der Fall ist), ist das oben genannte praktisch dasselbe, als ob Sie
example.com. MX 0 mail.example.com.
mail.example.com. A 192.0.2.123
In beiden Fällen stellt der Remote-MTA (Mail Transfer Agent; heutzutage ein Mailserver, der per SMTP mit anderen Mailservern kommuniziert) eine Verbindung zu mail.example.com her (da dies der Hostname des MX ist, der im MX RR angegeben ist) und erwartet daher ein Zertifikat, das für mail.example.com gültig ist.
Ihr MUA wird die MX-Einträge nicht konsultierenAund wird es in beiden Fällen nicht wissen; es wird die Adressdatensätze ( AAAAund in seltenen Fällen vielleicht auch A6; A6-RRs sind veraltet, wurden aber eine Zeit lang für IPv6 verwendet) des Hostnamens konsultieren, den Sie ihm als Posteingangs- (POP/IMAP) oder Postausgangsserver (SMTP) geben.