webmail WCP Einstellungen

  • Ich verstehe das Webmail nicht ganz, das Wiki ist in den mir unklaren Punkten leider extrem kurz und unvollständig:

    https://www.netcup-wiki.de/wik…_Panel_Webhosting#Webmail


    Bei mir sehe ich

    netcup_webmail.PNG


    - In den E-Mail Einstellungen zu der Domain kann ich bei Webmail zwischen 'ohne' und 'Webmailserver01' wählen. Was kann ich da genau einstellen. Denn auch mit 'ohne' kann ich mich auf webmail01.netcup.net einloggen.


    - Wofür ist SSL/TLS Zertifikat für Webmail? Ich kann keines auswählen, obwohl ein Let's Encrypt Zertifikat per WCP installiert ist.


    - Gehe ich richtig in der Annahme, dass webmail.netcupmail.de veraltet ist und stattdessen webmail01.netcup.net genutzt werden sollte, da mehr Funktionen und neuer? Steht das irgendwo? Im Wiki habe ich es nicht gefunden.


    - Ich würde gerne von einer Subdomain auf die Mails zugreifen können. Verstehe ich richtig, dass mail.domain.de bereits belegt ist? Aber ich bspw. webmail.domain.de als A record im DNS eintragen könnte, der dann auf webmail01.netcup.net zeigt?


    - Bzgl. dem mail.subdomain.de: Vorweg: Ich kenne mich damit nicht aus! Ich sehe einen MX Eintrag, der auf mail.subdomain.de mit Priorität 10 zeigt. Ich sehe einen zweiten MX Eintrag, der auf mx2f0b.netcup.net zeigt, mit Prio 50. Ich sehe einen A Record mail der auf 188.68.47.11 zeigt. Hinter mx2f0b.netcup.net steckt aber die selbe IP. Die Frage nun: Warum der Umweg über mail.domain.de auf die IP und nicht gleich auf die IP?

  • Hallo FrankM,


    ich gehe deine Fragen mal der Reihe nach durch und verusche, alle so gut ich kann zu beantworten.


    1. Ich habe es bei mir auf Webmailserver01 gestellt, damit funktioniert alles problemlos, denke aber dass diese Auswahl keine Auswirkungen hat.


    2. Du benötigst kein Zertifikat für den Webmailer. Das ist eine Standardfunktion von Plesk, die du bei Netcup nicht brauchst, da das Zertifikat für den Webmailer von Netcup bereitgestellt wird.


    3. Ja, ich glaube schon, dass webmail.netcupmail.de veraltet ist. Du solltest webmail01.netcup.net nutzen. Ich habe aber noch nicht gesehen, dass das von offizieller Stelle irgendwo angegeben wäre.


    4. Das habe ich wie folgt gelöst: Du legst einen CNAME-Record an für webmail.deinedomain.de und trägst als Ziel deinedomain.de ein. (So zeigt die webmail-Subdomain auf dein Webhosting) Dann legst du in Plesk eine Subdomain webmail.deinedomain.de an und stellst diese auf "Weiterleitung" mit Ziel https://webmail01.netcup.net. Fertig. Eine Weiterleitung nur per DNS funktioniert nicht.


    5. Den MX-Record, der auf mail.deinedomain.de solltest du Löschen (Erklärung unten). Dann solltest du nur noch einen einzigen MX-Record für deine Domain haben der auf mx2f0b.netcup.net zeigt. Den A-Record für mail.deinedomain.de solltest du bestehen lassen, da sonst der Netcup Webmailer nicht funktioniert.


    Erklärung: Netcup legt bei jedem Webhosting einen A-Record mail.deinedomain.de an, welcher auf die gleiche IP zeigt wie der entsprechende ***.netcup.net Eintrag. Dann wird auch ein MX-Eintrag angelegt der auf mail.deinedomain.de zeigt. Dieses Vorgehen ist aber ziemlicher MIST! Der Grund ist, dass dann Mails vom sendenden Mailserver an mail.deinedomain.de gesendet werden (landen also beim Mailserver deines Webhostings) Dieser Server besitzt aber kein TLS Zertifikat für mail.deinedomain.de sondern nur für ***.netcup.net. Damit ist die TLS Verbindung unsicher. Viel besser ist, du trägst nur ***.netcup.net als MX Eintrag ein. Damit landen alle Mails beim gleichen Server wie vorher, dieser kann sich aber mit seinem korrekten Zertifikat ausweisen.


    Warum netcup die Einträge standardmäßig so anlegt, erschließt sich mir nicht. Vielleicht kann sich netcup ja mal dazu äußern :)


    Hoffe ich konnte dir weiterhelfen.


    Viele Grüße

    MP

  • Danke für deine Antwort, mich würde nur noch die Begründung für die Punkte interessieren. Bspw. bei 1., wozu gibt es die Einstellung dann? Bei 2. Wozu ist es dann da?


    zu 4. Ich habe gestern einen CNAME Record von der Subdomain webmail auf webmail01.netcup.net erstellt, funktioniert heute schon problemlos und in der Adressleiste ist nun durchgängig meine Domain zu sehen.


    zu 5. Danke für die ausführliche Antwort und Erklärung, würde mich auch über eine Äußerung von netcup dazu freuen.

  • Hallo Zusammen,


    ich hoste erst seit vorgestern hier ein paar Probedomains, aber ich aber mich auch schon über den MX-Record auf mail.domain.xxxgewundert.

    Wie marpri schon richtig schrieb, stimmt das TLS-zertifikat des MX logischerweise nicht für die eigene Domain.


    Das erste, dass ich gemacht hatte, ist die Priorität der MX zu tauschen, also bei mx***.netcup.de eine 10 einzutragen und bei mail.domain.xx eine 50, damit primär der richtige MX angesprrungen wird.


    Warum überhaupt ein "Pseudo"-Eintrag mail.domain.xx existiert erklärt sich mir nicht.

    Sinnvoller wäre ein wirklich zweiter MX.


    Nette Grüße

    JohnBoy

  • Guten Tag,


    sobald Sie in Onyx das Webmail aktivieren, können Sie direkt aus Onyx auf das Webmail springen. Einen anderen Effekt hat diese Einstellung nicht.


    Wir benötigen verschiedene MX-Records, da wir bei einigen MTAs verschiedene IPs nutzen, sollte eine IP temporär im Blacklisting sein. Es werden hier demnächst weitere MX-Server folgen, um genau in so einem Fall flexibler reagieren zu können. Vergangenes Wochenende hatten wir ja hier das Problem, dass ein IP-Netz temporär auf einer Blackliste war. Diese neuen SMTP-Server werden dann direkt mit TLS und einem Zeritifikat von uns ausgestattet sein.


    Mit freundlichen Grüßen


    Felix Preuß

  • felix

    Ersteinmal Danke für die schnelle Reaktion!


    Aber ist es bei der Standardeinstellung nicht wirklich so, dass eingehende Mails erst bei mail.domain.xxx eingeliefert werden und dann ein falsches Zertifikat vorfinden und ggfls. die Mails unverschlüsselt übertragen?


    Gibt es einen Grund, weshalb der richtige Eintrag mx***.netcup.de eine niedrige Priorität hat als mail.domain.xxx?


    Nette Grüße

    JohnBoy


  • Ich dachte, dass bei der Kommunikation von Mailservern untereinander auch das Zertifikat zur Verschlüsselung genutzt wird.

    Zur Verschlüsselung nur indirekt, aber zur Authentifizierung der Gegenseite (Zielserver), also wenn ein anderer Mailserver etwas zu Deinem Postfach bei netcup einliefert. Sollte da der MX-Record nicht zum Zertifikat passen, wäre das in der Tat nicht so gut. Und das wäre bei einem MX-Record mit dem Ziel mail.example.net (A-Record) eher ungünstig, da der Mailserver dafür höchstwahrscheinlich kein Zertifikat bereit hält.


    Ob das so gemacht wird, kann ich mangels aktuellem Webhosting Paket leider nicht sagen. Für größtmögliche Kompatibilität sollte der MX-Record direkt und nur auf mxYYY.netcup.net verweisen. Das ist mein allgemeines Verständnis der Technik dahinter.


    Lesestoff z.B. für Postfix: smtp_tls_security_level und smtp_tls_verify_cert_match (aus der Sicht vom Mailserver des Absenders)