Unabhängigkeit mehrere Email-Domains auf einem Server

  • Hallo Forum,

    ich ziehe gerade meinen Mailserver von einem anderen Anbieter auf einen netcup Server um. In dem Zuge aktualisiere ich auch von Debian Stretch (bisher dovecot+postfix) auf Buster. Ich hoste Mails für mehrere Domains, die möglichst unabhängig sein sollen. Am liebsten sollten man auch von außen nicht so einfach sehen, dass die Domains zusammen gehören. Mir ist klar, dass am Ende alles auf der gleichen IPv4 endet und man somit immer herausfindet kann, dass das auf dem gleichen Server gehostet ist.


    Die User der Domain domain1.com können mit Hilfe von SNI imap und submission über mail.domain1.com betreiben. Mit dem neuen SNI fähigen postfix oder mit dem submission-proxy von dovecot sollte das ja gehen. Damit brauche ich kein Zertifikat mehr, in dem alle Domains zusammen enthalten sind. Die Mail-Clients sollten alle SNI beherrschen.


    Aber wie bekomme ich das für die smtp Kommunikation (Port 25, Server zu Server) am besten hin?

    Mein Server sendet Email: Da kommt der Spam-Check vom Empfänger ins Spiel. Ich habe bisher nicht gefunden, dass man den HELO/EHLO in Abhängigkeit der Absender Domain setzten kann. Den Reverse-DNS kann ich auch nur auf einen Wert setzten. Das heißt hier habe ich wenig Chance das domain-spezifisch zu machen und muss einen Namen nehmen, der dann für alle Domains genutzt wird. Auch mit exim, der ja schon lange SNI beherrscht, habe ich da keine Lösung gefunden. Oder kennt dafür jemand eine tolle Lösung?

    Mein Server empfängt Email: Hier könnte ich den MX domain-spezifisch (mail.domain1.com) setzten. Dann muss aber der sendende Server auf jeden Fall SNI beherrschen, sonst antwortet mein Server mit dem falschen Zertifikat. Hat jemand Erfahrungen, ob die TLS-fähigen Server auch SNI beherrschen? Wie reagieren die Server, die das nicht beherrschen, auf das falsche Zertifikat? Rückfall auf unverschlüsselte Kommunikation? Der EHLO und Reverse-DNS sollten hier ja keine Rolle spielen. Oder doch lieber als MX für alle Domains den Namen aus dem Sende-Fall nehmen?


    Ich bin doch sicher nicht der einzige mit dem Anwendungsfall. Habt ihr eine Lösung dazu gefunden (außer eigene IPv4 für die Domains)?

  • Aber wie bekomme ich das für die smtp Kommunikation (Port 25, Server zu Server) am besten hin?

    Gar nicht, zumindest Theoretisch.

    Im Protokoll tauschen die Teilnehmer erst ihre Hostnamen mit EHLO aus. Diese werden dann mit dem rDNS und DNS überprüft.

    Wenn das alles sauber ist, tauschen die Server ihre Fähigkeiten aus und bauen eine TLS Verbindung auf.


    Hier muss der CN oder SAN mit dem FQDN aus EHLO überein stimmen, erst dann erfahre ich für wen die Mail ist.

    Es ist aber durchaus gängige Praxis, dass du als Anbieter hier die Mails über deinen FQDN laufen lässt.


    Wieso soll man von außen gar nicht sehen können, dass die Domains auf einem Mailserver liegen?

    Hier bleibt dir nur mehrere VPS200 oder mehrer IPv4 Adressen.

  • Nimm doch einfach einen neutralen FQDN und verwende diesen, sowohl für Inbound, als auch für Outbound, dann mußt du solche Versuche gar nicht erst beginnen.

    WH 4000 SE | VPS 1000 G8 Plus | VPS Karneval 2020

  • MTA-STS wäre in dem Fall auch einfach zu implementieren; die DNS-Einträge per CNAME und nur ein vHost im Apache, welcher den MTA-STS Host des neutralen FQDN im Subject CN hat und die anderen MTA-STS Hosts in den SANs des SSL-Zertitifkates;

    (so hab ich das gemacht)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Ich bin doch sicher nicht der einzige mit dem Anwendungsfall. Habt ihr eine Lösung dazu gefunden (außer eigene IPv4 für die Domains)?

    Was spricht denn gegen die letztgenannte Alternative (außer ggf. eine zu große Anzahl von Domänen), sofern die von douzer genannte Nutzung eines neutralen FQDN keine Option ist? (Ich verwende genau diese beiden Lösungen.)

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • MTA-STS wäre in dem Fall auch einfach zu implementieren; die DNS-Einträge per CNAME und nur ein vHost im Apache, welcher den MTA-STS Host des neutralen FQDN im Subject CN hat und die anderen MTA-STS Hosts in den SANs des SSL-Zertitifkates;

    (so hab ich das gemacht)

    Muss das ein neutraler FQDN sein, oder kann ich eine der vorhandenen Domains nehmen? Z.B. die derm hostname entspricht?