Alternative zum Postfix mit SNI-Zertifikaten + Dovecot-Kompatibilität

8

Wie wir wissen, unterstützt Postfix SNI (Server Name Indication) nicht. Wenn Sie also ein Zertifikat definieren, wird es für alle Domänennamen verwendet, die Sie auf diesem Server haben, was für Personen, die dies nicht tun, möglicherweise schlecht ist bereit, viel Geld für den Kauf ausgefallener Zertifikate zu zahlen. Postfix gibt auf seiner Website an, dass sie keine Pläne zur Implementierung von SNI haben.

Ich habe meinen Mailserver mit Dovecot und Postfix konfiguriert. Ich möchte Postfix durch etwas ersetzen, das SNI unterstützt und mit Dovecot kompatibel ist (oder zumindest das gleiche Benutzername / Passwort-Datenbankschema von Dovecot akzeptiert).

Könnten Sie mir bitte sagen, welche Alternativen zu Postfix existieren, die diese Bedingungen erfüllen (vorzugsweise Open Source)?

postfix dovecot Der Quantenphysiker
quelle
Können Sie das Szenario erklären, in dem ein einzelnes Zertifikat für einen einzelnen Namen im Kontext von SMTP nicht ausreichen würde? Ich denke, dieses Szenario ist bestenfalls unklar und ich würde annehmen, dass dies der Grund ist, warum es nicht unterstützt wird.
Håkan Lindqvist
1
Hallo, warum brauchst du SNI-Unterstützung für dein SMTP? Das einzige, was für die SSL-Überprüfung übereinstimmen muss, ist, dass der CN auf dem SSL-Zertifikat mit dem Hostnamen des Banners übereinstimmt. SSL-Zertifikate sind heutzutage so lächerlich billig (<50 USD / Jahr), dass ich finde, dass Ihr Argument schwer zu akzeptieren ist.
Andrew Domaszek
Außerdem muss Ihr Reverse-DNS-PTR für viele Mail-Dienste mit Ihrem Banner-Hostnamen übereinstimmen, damit Sie nicht direkt als Spammer abgelehnt werden.
Andrew Domaszek
2
@TheQuantumPhysicist Für SMTP mit TLS gilt das Zertifikat jedoch für den Mailservernamen , nicht für alle Domänennamen, mit denen sich der Mailserver befasst.
Håkan Lindqvist
1
@ TheQuantumPhysicist serverfault.com/questions/389413/… scheint dieses Thema zu behandeln
Håkan Lindqvist

Antworten:

8

Wenn Sie bereits alle FQDNs kennen, die Sie benötigen, kaufen Sie ein SAN-Zertifikat.

Wenn Sie mit Ihren Zertifikaten flexibel sein müssen, können Sie versuchen, einen Nginx-SMTP-Proxy einzurichten. Ich habe mir die Dokumentation angesehen und aus der Sicht sollte sie SNI unterstützen, aber es wird keine einfache Einrichtung sein, denke ich: http://nginx.org/en/docs/mail/ngx_mail_ssl_module.html

1. Update:
zwei Links, die Ihnen helfen könnten:
http://citrin.ru/nginx:ngx_mail_core_module
http://wiki.nginx.org/MailCoreModule

2. Update:
Ab 2016 können Sie problemlos kostenlos SAN-Zertifikate aus dem Let's Encrypt Project erhalten .

Ich empfehle dringend, dass Sie sich ein SAN-Zertifikat besorgen und alle FQDN, die Sie für Ihren Dienst benötigen, in dieses eine Zertifikat aufnehmen. Derzeit können Sie bis zu 100 alternative Betreffnamen pro Zertifikat angeben.

r_3
quelle
Nginx ist eine gute Idee, aber nicht kostenlos, oder?
Der Quantenphysiker
1
Nginx ist kostenlos, siehe: nginx.org/LICENSE
r_3
Was genau ist der Zweck Ihres Unternehmens? Benötigen Sie mehrere FQDNs, damit Ihre Kunden eine sichere Verbindung zu verschiedenen Hostnamen herstellen können, oder für das SMTPD, das diese bereitstellt?
r_3
Ja! Ich habe mehrere Domains und möchte, dass meine Kunden beim Versenden von E-Mails keine Zertifikatsbeschwerden hören.
Der Quantenphysiker
Müssen Ihre Kunden ihre Domain wirklich verwenden, wenn sie E-Mails an den MTA senden? Meines Wissens gibt es keinen Grund, ein billiges Zertifikat für einen vollqualifizierten Domänennamen zu kaufen, der mit keinem Ihrer Kunden in Zusammenhang steht. Für die Zustellung gibt der RFC an, dass jedes Zertifikat akzeptiert werden sollte, da selbst das Fehlen von STARTTLS nicht dazu führen sollte, dass Ihre E-Mails abprallen. Der einzige verbleibende Grund ist also, dass Ihre Kunden ihre Domain wirklich in den Einstellungen ihres Kunden verwenden möchten. Etwas, das einmal eingerichtet wurde, wird nie wieder angezeigt.
r_3