Email-Zertifikat / IMAPS - Serverseitig

  • Hallo liebes Netcup-Team und fleißige Helfer,


    ich hoffe ich poste in die richtige Kategorie und das Thema ist vorher noch nicht in der Art aufgekommen. Google und die Forumsuche helfen mir nicht weiter, wahrscheinlich weil mir das Fachvokabular fehlt.


    Konkret geht es darum, dass ich ein Webhosting 2000 de a1 bei Netcup betreibe. Darüber laufen meine Emails mit einer eigenen Domain (nicht die mxf9bd.netcup.net), und eine Nextcloud Instanz mit Rainloop als Webmailer. Nun möchte ich allen Emails, die von meiner Domain DOMAIN.tld (richtig?) versendet werden, ein Zertifikat anhängen lassen. Dies soll serverseitig geschehen und damit nicht clientabhängig sein, da ich und andere Nutzer von verschiedensten Clients auf die Mails zugreifen (mobil per Android-App, mit MS Outlook und per Nextcloud Rainloop). In der Email-Verwaltungs-Umgebung, die ich aus dem CCP heraus erreiche, ist zwar ein Dropdown-Menü für SSL-Zertifikate vorhanden, der einzige Eintrag hier ist jedoch "Zertifikat auswählen" resp. "keines vorhanden".


    Wichtig ist mir auch, dass es sich nicht um eine Verschlüsselung á la S/MIME handelt. Diese Dateien kann ja niemand öffnen, der das nicht auch installiert hat (führt regelmäßig zur Verzweifelung, wenn mein Vater Emails mit S/MIME Verschlüsselung sendet). Mir würde ein einfaches Zertifikat genügen.


    Gern würde ich jedoch auch von IMAPS / SMTPS (habe ich hier im Forum entdeckt) Gebrauch machen. Das scheint ja eine Verschlüsselung á la HTTPS zu sein. Jedoch finde ich keinen Ort, wo ich die für die Mail serverseitig hinterlegten Ports einsehen und ggf. anpassen kann (von SMTP 25 auf z.B. SMTP 4xx).


    Ich würde Euch gern Daten mit an die Hand geben, weiß leider jedoch nicht, was konkret benötigt wird - das reiche ich gern nach. Mit dem Aufsetzen und Betreiben der Emails und der Nextcloud befinde ich mich an den Grenzen meines informatischen Verständnisses.


    Daher bereits vielen Dank für Eure Hilfe, besonders für den Gebrauch von laienverständlichem Vokabular. Wäre toll, wenn es möglich wäre, hier serverseitig selbstständig zu justieren.



    Viele Grüße

    Jörn

  • Hallo Jörn,

    entweder ich verstehe aufgrund meines Mittagstiefs nicht ganz, was du möchtest, oder du wirfst die Themen etwas durcheinander ;)

    Ich fange mal bei IMAPS/SMTPS an: Du hast durchaus Recht damit, dass diese 2 Protokolle dem aus dem Web bekannten HTTPS entsprechen. Sie sind dazu da, dass dein Mailclient Zugangsdaten und Mails verschlüsslelt an den Mailserver sendet und verschlüsselt zurück bekommt (Transportverschlüsselung)

    Du musst dazu aber in der Verwaltungsoberfläche nichts einstellen. Achte einfach darauf, dass dein Mailclient beim IMAP Server SSL/TLS aktiviert hat und Port 993 verwendet. Beim SMTP Server verwendest du Port 465. Dafür, das richtig zu konfigurieren, ist aber jeder einzelne Nutzer bei jedem einzelnen E-Mail Client und jedem Gerät selbst verantwortlich.


    Zum Thema Zertifikat kann ich leider nicht folgen, was geanau du erreichen möchtest. Fakt ist aber: Das Webmail-SSL-Zertifikat in der Weboberfläche brauchst du nicht einstellen, die Funktion wird bei netcup nicht verwendet

  • Hallo Jörn,

    entweder ich verstehe aufgrund meines Mittagstiefs nicht ganz, was du möchtest, oder du wirfst die Themen etwas durcheinander ;)

    Das habe ich befürchtet. Danke Dir jedoch für Deine Ausführungen. Dann kann ich mit IMAPS nun etwas anfangen. Ich hatte gedacht, dass ich die Ports auch serverseitig festlegen kann. Aber es scheint sich ja hierbei weniger um eine Ende-zu-Ende Verschlüsselung zwischen Endbenutzern zu handeln, sondern vielmehr um eine Verschlüsselung zwischen Mailclient und Server. Gut zu wissen.


    Was die Zertifikate angeht, so gibt es doch im Webbroser sog. Zertifikate, welche oben link in der Browserzeile angezeigt werden. Sollten diese fehlerhaft oder nicht bestätigt sein zeigt Firefox mir eine Warnmeldung an. Ein ähnliches Verfahren gibt es doch auch für Emails oder? Dass so ein "kleines Zertifikat-Zeichen" an der Email ist. Das wollte ich serverseitig einrichten.


    Wenn die Emails über die Clients jedoch bereits verschlüsselt raus gehen, so müsste ja alles halbwegs sicher sein. Und wenn ich richtig liege "verschlüsselt" Netcup sicherlich, was vom Netcup-Server hinaus in die Welt geht.


    Ich danke Dir für Deine Hilfe.



    Viele Grüße

    Jörn

  • Bitte trennt doch die mind. 3 Themen ohne Verbindung einzeln auf. So liest sich das total verwirrend, wenn ihr immer wieder von anderen Einsatzwecken von Zertifikaten redet.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Also wenn ich Joern H richtig verstanden habe, geht es hier eigentlich nur um eins: ausgehende Emails sollen unabhängig vom sendenden Client signiert werden. Sieht dann beim Empfänger so aus wie im Screenshot (DHL Packstation).


    Leider kann ich aber zur eigentlichen Lösung nichts beitragen, aber vielleicht ja trotzdem etwas Licht ins Dunkel gebracht..

    Bildschirmfoto 2020-07-09 um 22.17.10.png

    Letztlich sendet doch zumindest beim Webhosting der Mailserver. Und der macht ja keinen Unterschied zwischen den Clients. Der hat (hoffentlich) ein gültiges Zertifikat, dieses lautet allerdings nicht auf die Domain des Users, das geht bei netcup meines Wissens nicht. Aber wenn man darauf verzichtet, den Mailserver mit mail.example.com angeben zu wollen und stattdessen den wirklichen Namen verwendet, dann sollte doch eigentlich das meiste passen, auch RPTR. Wenn ich natürlich mail@example.com verwende, dann wird sich bei Überprüfung schnell herausstellen, dass die IP eigentlich zum Server mxirgendwas@netcup.net gehört.

  • […] Google und die Forumsuche helfen mir nicht weiter, wahrscheinlich weil mir das Fachvokabular fehlt.

    Ich habe im Nachfolgenden mal ein paar weiterführende Links/Stichworte zum Thema aufgeführt. Einführender Linktip: Digitale Signatur (Wikipedia)

    Konkret geht es darum, dass ich ein Webhosting 2000 de a1 bei Netcup betreibe. Darüber laufen meine Emails mit einer eigenen Domain […] und eine Nextcloud Instanz mit Rainloop als Webmailer. Nun möchte ich allen Emails, die von meiner Domain DOMAIN.tld [(richtig!)] versendet werden, ein Zertifikat anhängen lassen. Dies soll serverseitig geschehen und damit nicht clientabhängig sein, da ich und andere Nutzer von verschiedensten Clients auf die Mails zugreifen (mobil per Android-App, mit MS Outlook und per Nextcloud Rainloop).

    Rainloop ist ein Webmailer, den ich selbst nicht verwende, welcher aber laut GitHub-Diskussionen/-Issues offensichtlich einigen Einschränkungen unterworfen ist, was die Signierung von E-Mails (siehe unten) anbelangt. Android-Apps und Outlook (das sind eigenständige Mail-User-Agenten, kurz MUAs) greifen in der Regel nicht auf einen Webmailer (auch nichts anderes als ein MUA!) zu, sondern nutzen direkt die (untengenannten) Protokolle (SMTP(S)/IMAP(S)).


    Um eine einheitliche Abdeckung aller dieser Clients zu gewährleisten, ist es erforderlich, einen Proxy – üblicherweise in Form eines Mail-Transfer-Agenten (MTA) wie beispielsweise Postfix – zu betreiben, welcher die Mails über alle verwendeten Protokolle und Ports(!) entgegennimmt und eigenständig signiert, und das kann ein Webhosting in der Regel nicht leisten (selbst wenn man scriptbasiert entsprechende Ports bedienen könnte, ist das unter den Einschränkungen, welchen Webhosting-Angebote bzgl. laufender Prozesse unterliegen, wirklich nicht praktikabel), weswegen – wie unten im dritten Absatz des Ausgangspostings erwähnt – in der Regel eben auch keine Möglichkeiten der Portverwaltung existieren.

    In der Email-Verwaltungs-Umgebung, die ich aus dem CCP heraus erreiche, ist zwar ein Dropdown-Menü für SSL-Zertifikate vorhanden, der einzige Eintrag hier ist jedoch "Zertifikat auswählen" resp. "keines vorhanden".


    Wichtig ist mir auch, dass es sich nicht um eine Verschlüsselung á la S/MIME handelt. Diese Dateien kann ja niemand öffnen, der das nicht auch installiert hat (führt regelmäßig zur Verzweifelung, wenn mein Vater Emails mit S/MIME Verschlüsselung sendet). Mir würde ein einfaches Zertifikat genügen.


    Gern würde ich jedoch auch von IMAPS / SMTPS (habe ich hier im Forum entdeckt) Gebrauch machen. Das scheint ja eine Verschlüsselung á la HTTPS zu sein. Jedoch finde ich keinen Ort, wo ich die für die Mail serverseitig hinterlegten Ports einsehen und ggf. anpassen kann (von SMTP 25 auf z.B. SMTP 4xx).

    Bei den für HTTPS verwendeten SSL-Zertifikaten (historische Bezeichnung, eigentlich spricht man heutzutage korrekterweise von TLS-Zertifikaten – Abkürzung für Transport Layer Security) handelt es sich, wie aus dem Akronym ersichtlich – analog zu "durch das S(ecure) in IMAPS/SMTPS ausgewiesen" – um eine Transportverschlüsselung, welche zunächst mit dem gewünschten Ziel, die E-Mail (bzw. genauer: ihren Inhalt) zu signieren, nichts zu tun hat.


    Mit S/MIME oder PGP-Zertifikaten (siehe ersten Wikipedia-Link oben) hat man die Wahl, ob man den Inhalt "nur" signieren oder verschlüsseln will, unabhängig davon, ob man diese Mails dann über eine un- oder eine TLS-abgesicherte Verbindung über einen Webmailer/Mail Delivery Agent (MDA) (bspw. Dovecot) an den zuständigen MTA übermittelt.

    (Theoretisch ist mit einem Proxy auch "in Rückrichtung" die automatische Validierung/Entschlüsselung machbar, aber dafür verwendet man Proxies "eher selten" wegen der damit verbundenen Aushebelung der "Ende-zu-Ende-Kommunikationsabsicherung".)

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Nachtrag: Hier findet sich zusammenfassend ein Überblick über die E-Mail-Infrastruktur mit allen MxA: Email agent (infrastructure).

    (Und wer ein überflüssiges "Plural-S" bei einem Akronym im vorherigen Posting findet, darf es behalten… gn8 ;))

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Wow, vielen Dank für die vielen Rückmeldungen und die sehr aufsührlichen Erklärungen.

    Damit bin ich jetzt einen großen Schritt weiter und habe einiges an Lesestoff. Vielen Dank Euch allen!