Hallo Forum,
ich ziehe gerade meinen Mailserver von einem anderen Anbieter auf einen netcup Server um. In dem Zuge aktualisiere ich auch von Debian Stretch (bisher dovecot+postfix) auf Buster. Ich hoste Mails für mehrere Domains, die möglichst unabhängig sein sollen. Am liebsten sollten man auch von außen nicht so einfach sehen, dass die Domains zusammen gehören. Mir ist klar, dass am Ende alles auf der gleichen IPv4 endet und man somit immer herausfindet kann, dass das auf dem gleichen Server gehostet ist.
Die User der Domain domain1.com können mit Hilfe von SNI imap und submission über mail.domain1.com betreiben. Mit dem neuen SNI fähigen postfix oder mit dem submission-proxy von dovecot sollte das ja gehen. Damit brauche ich kein Zertifikat mehr, in dem alle Domains zusammen enthalten sind. Die Mail-Clients sollten alle SNI beherrschen.
Aber wie bekomme ich das für die smtp Kommunikation (Port 25, Server zu Server) am besten hin?
Mein Server sendet Email: Da kommt der Spam-Check vom Empfänger ins Spiel. Ich habe bisher nicht gefunden, dass man den HELO/EHLO in Abhängigkeit der Absender Domain setzten kann. Den Reverse-DNS kann ich auch nur auf einen Wert setzten. Das heißt hier habe ich wenig Chance das domain-spezifisch zu machen und muss einen Namen nehmen, der dann für alle Domains genutzt wird. Auch mit exim, der ja schon lange SNI beherrscht, habe ich da keine Lösung gefunden. Oder kennt dafür jemand eine tolle Lösung?
Mein Server empfängt Email: Hier könnte ich den MX domain-spezifisch (mail.domain1.com) setzten. Dann muss aber der sendende Server auf jeden Fall SNI beherrschen, sonst antwortet mein Server mit dem falschen Zertifikat. Hat jemand Erfahrungen, ob die TLS-fähigen Server auch SNI beherrschen? Wie reagieren die Server, die das nicht beherrschen, auf das falsche Zertifikat? Rückfall auf unverschlüsselte Kommunikation? Der EHLO und Reverse-DNS sollten hier ja keine Rolle spielen. Oder doch lieber als MX für alle Domains den Namen aus dem Sende-Fall nehmen?
Ich bin doch sicher nicht der einzige mit dem Anwendungsfall. Habt ihr eine Lösung dazu gefunden (außer eigene IPv4 für die Domains)?