[Eisfair] [e64] mail extern

[Detlef Paschke]

Am 10.01.2022 um 13:42 schrieb Juergen Edner:
> Hallo Detlef,

Hallo Juergen,

>> ich versuche mal zusammenzufassen.
>> Also Ja, ich habe ein letsencrypt-Zertifikat für schabau.eu.
>> Einen Link auf exim.pem hatte ich bewusst noch nicht gemacht, weil ich
>> bisher mein eigenes selbstsigniertes Zertifikat (eisfair64.home.lan.pem)
>> dafür verwendet habe. Das funktioniert von außen natürlich nicht, genau
>> wie das schabau.eu.pem nicht funktioniert wenn ich von innen aus
>> eisfeir64.home.lan den Server aufrufe.
> 
> ich habe das Problem bei mir gelöst, indem ich in meinem lokalen DNS
> einen DNS-Auflösung für die externe Domain machen lasse. D.h. wenn ein
> DNS aus dem Internet die Namensauflösung macht, dann wird die externe
> IP-Adresse zugewiesen, im LAN hingegen wird eine lokale IP-Adresse
> aufgelöst. Auf diese Weise kann ich für den Serverzugriff den gleichen
> Domainnamen und das gleiche Zertifikat sowohl über das Internet als auch
> das LAN nutzen.

da muss ich mich erst mal einlesen, wich ich das machen müsste.

>> checking pop3/imap/smtp tls certificates ...
>> - imap: /var/certs/ssl/certs/eisfair64.home.lan.pem
>> - smtp: /var/certs/ssl/certs/eisfair64.home.lan.pem
>> ....
>>
>> Wie so wird nun doch das eisfair64.home.lan.pem und nicht wie in der
>> Config angegeben, das schabau.eu.pem verwendet?
> 
> Entweder hast Du über die Parameter POP3IMAP_TLS_CERT_NAME und
> SMTP_SERVER_TLS_CERT_NAME Zertifikate konfiguriert, oder aber es
> existieren symbolische Links namens imapd.pem und exim.pem die
> auf dieses Zertifikat verweisen.

Die Symlinks imapd.pem und exim.pem liegen unverändert auf
eisfair64.home.lan.pem. Das habe ich bewusst zunächst so gelassen.
Ich habe unter SMTP_SERVER_TLS_CERT_NAME testweise das Zertifikat
'schabau.eu' angegeben. Das sollte doch heißen, dass damit eben dicht
exim.pem sondern eben das unter SMTP_SERVER_TLS_CERT_NAME angegebene
Zertifikat verwendet wird. Sonst macht doch die ganze Option
SMTP_SERVER_TLS_CERT_NAME keinen Sinn.

Jetzt habe ich das in der Config erst mal wieder raus genommen und
dementsprechend wird exim.pem also eisfair64.home.lan verwendet.
Der Grund ist, und ich weiß nicht ob es einen Zusammenhang gibt, ich
habe gerade eine Mail gesendet, reiner Text, und eine dieser tollen
"Nichtzustellbarkeitsmeldungen" von T-Online bekommen "Message
considered as spam or virus, rejected". Danach ging die Nachricht raus.

> 
>> Das ließe sich schon erledigen, wenn man SMTP_QUALIFY_DOMAIN und
>> SMTP_HOSTNAME entsprechen abändert, oder?
> 
> ja, der Parameter SMTP_HOSTNAME sollte hierfür verantwortlich sein.
> 
> Das Problem ist, dass Du nicht zwei verschiedene Zertifikate für den
> gleichen Server verwenden kannst, es sei denn das Zertifikat würde
> diesen alternativen DNS Namen abdecken. Let's Encrypt Zertifikate
> erlauben jedoch keine Verwendung von lokalen Domainnamen und/oder
> IP-Adressen, sodass Du hier ein ein Problem laufen wirst, wenn Du
> bei den konfigurierten Klienten die zwingende Verwendung von TLS
> konfiguriert hast. Falls nein, sollte Exim auf eine unverschlüsselte
> Verbindung zur Übertragung umschalten.

Naja, bei Apache klappt das über VHOST, mache ich ja schon eine ganze weile.
Die Sache ist, ich will nicht in etlichen Diensten, Geräten und weiß der
Geier wo noch nachschauen, ob da 'eisfair64.home.lan' als Mailserver
eingetragen ist. Überall wo das möglich war, ist auch das
'home.lan_Root_CA' hinterlegt um das 'eisfair64.home.lan.pem' zu
verifizieren. Das klappt problemlos.

Im Grunde müsste es doch nur so etwas wie Alias geben, damit man sowohl
über die externe wie auch interne Adresse zugreifen kann.

> Gruß Jürgen

Viele Grüße
Detlef Paschke

-- 
Das "Zitat des Augenblicks" gibt es nur auf
http://schabau.eu
Meine "Merkzettel"
http://helpdesk.schabau.eu