[…] Google und die Forumsuche helfen mir nicht weiter, wahrscheinlich weil mir das Fachvokabular fehlt.
Ich habe im Nachfolgenden mal ein paar weiterführende Links/Stichworte zum Thema aufgeführt. Einführender Linktip: Digitale Signatur (Wikipedia)
Konkret geht es darum, dass ich ein Webhosting 2000 de a1 bei Netcup betreibe. Darüber laufen meine Emails mit einer eigenen Domain […] und eine Nextcloud Instanz mit Rainloop als Webmailer. Nun möchte ich allen Emails, die von meiner Domain DOMAIN.tld [(richtig!)] versendet werden, ein Zertifikat anhängen lassen. Dies soll serverseitig geschehen und damit nicht clientabhängig sein, da ich und andere Nutzer von verschiedensten Clients auf die Mails zugreifen (mobil per Android-App, mit MS Outlook und per Nextcloud Rainloop).
Rainloop ist ein Webmailer, den ich selbst nicht verwende, welcher aber laut GitHub-Diskussionen/-Issues offensichtlich einigen Einschränkungen unterworfen ist, was die Signierung von E-Mails (siehe unten) anbelangt. Android-Apps und Outlook (das sind eigenständige Mail-User-Agenten, kurz MUAs) greifen in der Regel nicht auf einen Webmailer (auch nichts anderes als ein MUA!) zu, sondern nutzen direkt die (untengenannten) Protokolle (SMTP(S)/IMAP(S)).
Um eine einheitliche Abdeckung aller dieser Clients zu gewährleisten, ist es erforderlich, einen Proxy – üblicherweise in Form eines Mail-Transfer-Agenten (MTA) wie beispielsweise Postfix – zu betreiben, welcher die Mails über alle verwendeten Protokolle und Ports(!) entgegennimmt und eigenständig signiert, und das kann ein Webhosting in der Regel nicht leisten (selbst wenn man scriptbasiert entsprechende Ports bedienen könnte, ist das unter den Einschränkungen, welchen Webhosting-Angebote bzgl. laufender Prozesse unterliegen, wirklich nicht praktikabel), weswegen – wie unten im dritten Absatz des Ausgangspostings erwähnt – in der Regel eben auch keine Möglichkeiten der Portverwaltung existieren.
In der Email-Verwaltungs-Umgebung, die ich aus dem CCP heraus erreiche, ist zwar ein Dropdown-Menü für SSL-Zertifikate vorhanden, der einzige Eintrag hier ist jedoch "Zertifikat auswählen" resp. "keines vorhanden".
Wichtig ist mir auch, dass es sich nicht um eine Verschlüsselung á la S/MIME handelt. Diese Dateien kann ja niemand öffnen, der das nicht auch installiert hat (führt regelmäßig zur Verzweifelung, wenn mein Vater Emails mit S/MIME Verschlüsselung sendet). Mir würde ein einfaches Zertifikat genügen.
Gern würde ich jedoch auch von IMAPS / SMTPS (habe ich hier im Forum entdeckt) Gebrauch machen. Das scheint ja eine Verschlüsselung á la HTTPS zu sein. Jedoch finde ich keinen Ort, wo ich die für die Mail serverseitig hinterlegten Ports einsehen und ggf. anpassen kann (von SMTP 25 auf z.B. SMTP 4xx).
Bei den für HTTPS verwendeten SSL-Zertifikaten (historische Bezeichnung, eigentlich spricht man heutzutage korrekterweise von TLS-Zertifikaten – Abkürzung für Transport Layer Security) handelt es sich, wie aus dem Akronym ersichtlich – analog zu "durch das S(ecure) in IMAPS/SMTPS ausgewiesen" – um eine Transportverschlüsselung, welche zunächst mit dem gewünschten Ziel, die E-Mail (bzw. genauer: ihren Inhalt) zu signieren, nichts zu tun hat.
Mit S/MIME oder PGP-Zertifikaten (siehe ersten Wikipedia-Link oben) hat man die Wahl, ob man den Inhalt "nur" signieren oder verschlüsseln will, unabhängig davon, ob man diese Mails dann über eine un- oder eine TLS-abgesicherte Verbindung über einen Webmailer/Mail Delivery Agent (MDA) (bspw. Dovecot) an den zuständigen MTA übermittelt.
(Theoretisch ist mit einem Proxy auch "in Rückrichtung" die automatische Validierung/Entschlüsselung machbar, aber dafür verwendet man Proxies "eher selten" wegen der damit verbundenen Aushebelung der "Ende-zu-Ende-Kommunikationsabsicherung".)