mail.domain.de SSL

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von bobbybackblech, 23. Okt. 2014.

  1. Heyho Guten Morgen,

    wo genau kann ich ein SSL für meinen Mailserver ( mail.domain.de ) anlegen, sodass alle Emails über SSL gesendet / empfangen werden ?
     
  2. F4RR3LL

    F4RR3LL Member

    in der /etc/postfix/main.cf

    smtpd_tls_security_level von may auf encrypt ändern, dann nimmt postfix nur noch verschlüsselte Verbindungen an.

    Gruß Sven
     
    bobbybackblech gefällt das.
  3. Okay danke.
    In der main.cf sind schon:

    smtpd_tls_cert_file = /etc/postfix/smtpd.cert
    smtpd_tls_key_file = /etc/postfix/smtpd.key

    Muss ich den CSR neu generieren hierfür, oder ist dieser irgendwo hinterlegt ?
     
  4. F4RR3LL

    F4RR3LL Member

    Ich weiß grade nicht mehr ob das default war oder ob ich das selber so gebaut habe.
    schau mal bitte ob bei dir smtpd.cert und smtpd.key ein Symlink zu
    /usr/local/ispconfig/interface/ssl/ispserver.key und
    /usr/local/ispconfig/interface/ssl/ispserver.crt ist..
    Ich habe für das Interface von Ispconfig ein nicht selfsigned Cert und da der Mailserver bei mir auch über den Hostnamen abgerufen wird nutze ich eben dieses Cert gleich für den Mailserver mit. Im /usr/local/ispconfig/interface/ssl/ wiederum liegt auch die passende CSR. Übrigens nicht vergessen, dass Du natürlich auch alles für Dovecot bzw Courier einrichten musst.

    Gruß Sven
     
  5. ramsys

    ramsys Member

    Wir haben alle Zertifikate an einem neutralen Ort unter "/etc/ssl/private/". In der main.cf muss ggf. noch "smtpd_tls_CAfile" gesetzt werden.
     
  6. F4RR3LL

    F4RR3LL Member

    Neutraler Ort macht ja auch grundsätzlich mehr Sinn. Aber bei meinem ISPConfig Server nutzen ftp/mail/interface alle das gleiche Cert, da wars aus Gründen der Faulheit schneller es so zu legen. Auf reinen konsolenadministrierten Kisten mach ichs auch so wie Du.
     
  7. ramsys

    ramsys Member

    Immer die richtige Konfigurationsdatei zu treffen ohne eine auszulassen (wenn man viele Zertifikate verwaltet die auch noch zu unterschiedlichen Zeitpunkten erneuert werden müssen), ist manchmal gar nicht so einfach :)
     
    F4RR3LL gefällt das.

Diese Seite empfehlen