mehrere Domänen und Zertifikat

[matt_cgn]

Hallo Zusammen,

ich teste gerade auf meiner DS1817+ ein wenig mit dem Mailserver Plus.
Ansicht ein feines Teil und ich würde somit auch gern meine Mailadresse und die meiner Partnerin migrieren.

Jeder von uns hat eine eigene Domain (wird derzeit nur für Mail genutzt), somit muss ich beide Domains auch in die DS einbinden. Allerdings habe ich keine Möglichkeit gefunden, ein Zertifikat pro Domaine anzugeben...
Für meine Domain (abc.de) habe ich ein LetsEncrypt Wildcard Zertifikat installiert, womit alles grün sein sollte (noch nicht getestet) .
Allerdings meckern die Clients bei der Einrichtung der 2. Domaine (bca.de), dass das Zertifikat ungültig sei.

Gibt es hierfür eine Lösung?

Vielen Dank und Grüße

 

[mexx81]

Ja, denn Du hast die falsche Vorgehensweise. Für den Betrieb eines eigenen MTA nutzt man eine eigene Hostdomain. Meinetwegen mail.privatermailserver.de. Diese Domain ist deine technische Maildomain die Du im MailPlus Server unter Hostname eintragen musst. Deine MX Records Deiner Nutzdomains verweisen auf diesen Hostname und dessen A-Record auf die feste IP Deines Anschlusses. Diese feste IP brauchst Du für den Versandt, also lass von Deinen ISP den PTR auf diesen Hostname setzten. Und Du brauchst nur ein Zertifikat und zwar das für Deinen Hostname. Im RFC für SMTP/S kannst Du auch nachlesen, dass die TLS Aushandlung mit den Hostnamezertifikat statt findet. Die Nutzdomains für Mails spielen fast keine technische Rolle. Erst wenn Du über SPF, DKIM und DMARC redest. Die Nutzdomains auf den Hostname trägst Du unter Domains ein.

Viel Erfolg!

 

[matt_cgn]

Vielen Dank für deine Hilfe, ein wenig mehr blicke ich (hoffentlich) durch!

Ich habe derzeit keine feste IP und sende die Mails über das SMTP-Relay von Strato.
Die Konfiguration würde für mich also so aussehen:


Strato:

meineDomain.de--> MX --> mail.meineDomain.de
mail.meineDomain.de --> DynDNS von der Synology

123Domain.de --> MX --> mail.meineDomain.de

Auf der Synology:

Wildcard Zertifikat für meineDomain.de verwenden
SMTP-Relay für jede Domaine anlegen


SPF, DKIM und DMARC etc muss ich bei Strato setzen, korrekt? Ein paar Einträge sind dort bereits erstellt, diese muss ich dann nochmals überprüfen (wurden von mir nur copy and past mit angepasster Domaine übernommen).


Ich bin zwar Leiter einer IT-Abteilung, aber selbst technisch eher im Bereich Firewall / Netzwerk / Virtualisierung angesiedelt, daher die dummen Fragen bezüglich dem Mailserver...

 

[mexx81]

Bissel verwirrend Gehen wir mal davon aus, dass Du folgende zwei Domains hast.

herrmustermann.de
fraumusterfrau.de

Dann brauchst/solltest haben eine Hostdomain. Zum Beispiel:

musterfamilienhost.de

Überall, wo Du Deine Synology ansprichst. Sei es für DSM oder Kalender, verwendest Du diese musterfamilienhost.de Domain und erzeugst am besten Subdomains. Musst Du aber nicht zwingend. Für Mail macht es aber Sinn mail.musterfamilienhost.de zu haben.

Dann setzt Du den A-Record von musterfamilienhost.de auf DDNS von Synology.
Dann setzt Du MX-Record von herrmustermann.de & fraumusterfrau.de auf mail.musterfamilienhost.de.
Und machst Du ein Lets Encrypt Zertifikat für mail.musterfamilienhost.de und fertig.

SPF, DKIM und DMARC setzt Du im DNS Deiner herrmustermann.de & fraumusterfrau.de Domains, also ja, bei strato.

Bedenke aber, DDNS kann einen zeitlichen Versatz haben. Aus verschiedenen Gründen. Hauptsächlich wegen der TTL dieses DDNS. Wenn Dir jemand eine Mail schickt, fragt er den A-Record beim DDNS Dienst bei Synology ab. Wenn der eine TTL von 1h hat und innerhalb dieser Stunde änder sich Deine IP Adresse, hat der ursprüngliche Absender noch die alte IP im Cache.

 

[matt_cgn]

Vielen Dank für deine Hilfe mexx81!

Hab es gestern Abend mal auf die schnelle Eingerichtet, den Mailaccount auf den Geräten angepasst (neuer Mailserver) und es scheint so zu funktionieren wie ich es mir vorgestellt habe


Der Problematik mit der dynamischen IP bin ich mir bewusst. Ist auch keine optimale Lösung! Allerdings steht derzeit noch ein Kabelanschluss zur Verfügung, der die IPs ewig behält. Demnächst kommt der Wechsel zur Telekom, dann seh ich weiter

VG
Matthias