Let‘s Encrypt nur für Mail-Service -> @ DNS Eintrag auf anderen Server

  • Hallo zusammen,


    ich habe aktuell ein Problem mit der Zertifikatsinstallation via Plesk für eine Domain. Folgende Situation bzgl. DNS:


    - alle DNS Einträge die per Default gesetzt waren sind erhalten

    - A-Record für @ Eintrag auf andere IP von einem Server bei einem anderen Hoster gesetzt, AAAA ipv6 @ Eintrag entfernt.


    Meine Mail-Services für die Domain möchte ich allerdings wie gewohnt von Netcup betreiben lassen - verschlüsselt. Hierzu möchte ich für die Mail-Services ein Let‘s Encrypt Zertifikat über Plesk generieren und installieren lassen. Das Zertifikat für die Domain selbst (@ A Record auf IPv4) wird auf dem Linux Server per certbot bereitgestellt.

    Mein Vorhaben scheint so allerdings nicht zu funktionieren, da der A Record @ auf eine nicht dem Webspace zugewiesenen IP, Probleme bei der ACEM Challenge macht. So weit so logisch. Allerdings will ich ja nur die Mailservices mit dem Zertifikat absichern, nicht die TLD. Ich habe mal den Screenshot der Fehlermeldung angehängt.


    Gibt es hierfür eine Lösung oder einen Workaround, den ich anwenden könnte? Klar könnte ich den @ A Record auf die Netcup IP ändern, das Zertifikat installieren und den Record wieder anpassen. Allerdings müsste ich das dann spätestens alle 90 Tage wiederholen - darauf habe ich wenig Lust. Ich gehe mal davon aus, dass ich nicht der erste bin, der das Problem hat, jedoch habe ich bisher keine Lösung ergooglen können und zähle jetzt auf die berühmte Schwarmintelligenz :)


    Vielen Dank vorab für eure Hilfe! Einen guten Start in die Woche euch allen :)

  • Die ACME Challenge, die auch ohne HTTP Zugriff auf den Host funktionieren würde ist DNS-01 und könnte mit dem certbot unt --preferred-challenges dns genutzt werden. Es gab auf jeden Fall mal ein Plugin, um den Certbot auch direkt per netcup DNS API den Eintrag setzen zu lassen: coldfix/certbot-dns-netcup: netcup DNS Authenticator plugin for Certbot (github.com)

    Ob man aber das Zertifikat dann auch automatisch über Plesk oder was anderes für E-Mails bei netcup verwenden kann, weiss ich nicht. Habe ich bis jetzt nicht genutzt ... aber Interesse wurde geweckt, dass mal zu probieren. ;)

    WH8000 SE 🥚 20 | WH1000 SE OST22 | WH1000 SE OST23 | WH 🥚🧶🥛🐖 | 🦆 VPS 200 🇺🇦🕊️

  • funktioniert das denn überhaupt, die netcup-mailserver mit LE-zertifikaten bestücken lassen?

    mir war so, als wenn das nicht wirklich implementiert ist.

    »Hauptsache BogoMIPS!«

    Fleischfresser

  • Ich stehe gerade etwas auf dem Schlauch.

    Es geht doch um ein Webhosting-Tarif, oder? Und dessen Mailserver sollen verwendet werden, richtig?


    Die verwendeten Mailserver (mx1234.netcup.net) sind doch bereits mit einem Zertifikat (*.netcup.net) versorgt? Will man stattdessen mail.eigenedomain.tld mit eigenem Zertifikat verwenden, wird das glaube ich nichts beim Webhosting.

  • Ich dachte bei Mailserven wird sowieso keine Verifizierung durchgeführt, oder denk ich da gerade komplett falsch?

    faaaalsch 🦆

    bei »protokollen mit s am end« brauchst ja immer irgendwas mit zertifikat. und so kann man natürlich auch auf die LE-certs zurückgreifen.

    »Hauptsache BogoMIPS!«

    Fleischfresser

  • Na klar brauchst du ein Zertifikat, aber afaik ist das default Zertifikat vom Postfix (und das ist nicht verifiziert) doch vollkommen ausreichend.

    Das man ein Zertifikat braucht, klar. Aber ich denke dass muss nicht von einer Zertifikatsausstellungsstelle verifiziert werden weil das im normalen Mailverkehr zwsichen Servern nicht überprüft wird.

  • schon, aber auch der anwender bekommt bei selbstausgestellten einen dialog zum abnicken und eben damit sparst dir die verwirrung bei ersterem.

    Beim Webhosting kann man aber keine eigenen Zertifikate für den Mailserver installieren. Dafür bräuchte es SNI und dessen clientseitige Unterstützung ist bei SMTP/POP3/IMAP sowieso kaum vorhanden.


    Zum Verbinden sollte somit in den Mailclients immer der xxxxx.netcup.de Hostname verwendet werden. (Und meiner bescheidenen Meinung nach sollte eigentlich auch der MX-Record ausschließlich darauf verweisen und nicht über einen Umweg der mail-Subdomain. Dann stimmt das Zertifikat auch bei Gesprächen zwischen Mailservern.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()

    Gefällt mir 4
  • Beim Webhosting kann man aber keine eigenen Zertifikate für den Mailserver installieren.

    das nahm ich in #3 ja schon an. aber die leute finden immer so buttons, drücken drauf und dann sollte es halt gehen. :S


    Dafür bräuchte es SNI und dessen clientseitige Unterstützung

    Thunderbird ✅

    Fairemail ✅

    :)

    »Hauptsache BogoMIPS!«

    Fleischfresser

    2 Mal editiert, zuletzt von Olivetti ()

  • Beim Webhosting kann man aber keine eigenen Zertifikate für den Mailserver installieren. Dafür bräuchte es SNI und dessen clientseitige Unterstützung ist bei SMTP/POP3/IMAP sowieso kaum vorhanden.


    Zum Verbinden sollte somit in den Mailclients immer der xxxxx.netcup.de Hostname verwendet werden. (Und meiner bescheidenen Meinung nach sollte eigentlich auch der MX-Record ausschließlich darauf verweisen und nicht über einen Umweg der mail-Subdomain. Dann stimmt das Zertifikat auch bei Gesprächen zwischen Mailservern.)

    KB19 hat das so schön zusammengefasst, dass ich es jetzt auch besser verstehe.

    Jetzt müsste der Themenersteller nochmal klarstellen was mit Mail-Service gemeint ist. Ich war auch kurzfristig davon ausgegangen, dass Let's Encrypt vielleicht mittlerweile S/MIME Zertifikate für E-Mail ausstellt - also die Authentizität des Absenders absichert. Dem ist aber nicht so und was abgesichert wird, sind nur die SMTP / IMAP Hosts also die Übertragung der E-Mails. Und da ist man wie schon geschrieben wurde als Webhosting bzw. netcup MX Nutzer raus ... ausser Du möchtest Deine eigenen mail.deinedomain.xyz Aliase mit X-TLS verwenden oder hast eine eigene Webmail Instanz laufen und möchtest diese absichern also https://webmail.deinedomain.xyz. Oder habe ich das richtig verstanden mit SNI fähigen Clients wie Thunderbird oder Fairemail wäre das immer noch möglich Olivetti ?

    WH8000 SE 🥚 20 | WH1000 SE OST22 | WH1000 SE OST23 | WH 🥚🧶🥛🐖 | 🦆 VPS 200 🇺🇦🕊️

  • Meine Mail-Services für die Domain möchte ich allerdings wie gewohnt von Netcup betreiben lassen - verschlüsselt.

    was der TO schreibt, ist halt eindeutig zweideutig. während wir/ich von transportverschlüsselung ausgehen, könnte er natürlich auch mailverschlüsselung gemeint haben.

    im plesk ist mit »E-Mails schützen« aber ebenfalls nur die transportverschlüsselung gemeint.

  • was der TO schreibt, ist halt eindeutig zweideutig. während wir/ich von transportverschlüsselung ausgehen, könnte er natürlich auch mailverschlüsselung gemeint haben.

    im plesk ist mit »E-Mails schützen« aber ebenfalls nur die transportverschlüsselung gemeint.

    Sorry, das ist in der Tat etwas zweideutlich. Es geht mir tatsächlich um die TLS/SSL Transportverschlüsselung. Da in Plesk die entsprechende Option zur Verschlüsselung via Let‘s Encrypt verfügbar ist, bin ich davon ausgegangen, dass das Feature implementiert ist. Ich habe mal ein Bild aus Plesk angehängt. Evtl. ist mein Anliegen damit klarer :)


    Hintergrund ist, dass das einbinden des Postfachs via mxXXX.netcup.net bei mir auf dem Apple Mobile Device nicht funktioniert (Spark, Apple Mail, Outlook). Ich bekomme einen Fehler, dass keine stabile Verbindung zum Server hergestellt werden kann (tolle Fehlermeldung, aber ist man ja gewohnt :D). Tausche ich IMAP und SMTP Server gegen mail.meinedomain.de (welche per mx auf den zuvor eingegebenen mxXXX.netcup.net zeigt) klappt die Verbindung, allerdings bekomme ich einen Zertifikatsfehler. Damit kann man Leben, aber sowas mag ich nur ungern. Daher meine Frage hier im Forum mit der Hoffnung, es gibt dafür einen fix.


    Danke für die rege Beteiligung auf jeden Fall :)

  • Hintergrund ist, dass das einbinden des Postfachs via mxXXX.netcup.net bei mir auf dem Apple Mobile Device nicht funktioniert (Spark, Apple Mail, Outlook).

    da sollte man ansetzen, weshalb das nicht funktioniert.

    ios ist auf aktuellem stand?

    »Hauptsache BogoMIPS!«

    Fleischfresser

  • So, sorry für die verzögerte Antwort. Wenn die leidige Arbeit nicht wäre käme man auch mal privat zu seinen Technikproblemchen :D


    Ich habe diese Woche noch mehrfach versucht die Mailadresse via mxxxxx.netcup.net mit dem Mailclient auf iOS zu verbinden, nach mehreren Tagen immer wieder versuchen hat es letztendlich ohne Zertifikatsfehler geklappt. iOS ist auf dem aktuellsten Stand, daran hat sich nichts geändert. Ich kann aktuell nicht nachvollziehen, woran es gelegen hat, dass es die Tage zuvor nicht geklappt hat.