SSL Zertifikate für SMTP und IMAP/POP3

Dieses Thema im Forum "Webserver (Software): Linux, Unix, etc." wurde erstellt von LL0rd, 14. Juli 2010.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. LL0rd

    LL0rd Member

    Registriert seit:
    3. September 2003
    Beiträge:
    114
    Hallo,

    ich nutze auf meinem Mailserver Exim und Dovecot. Der Mailserver unterstützt dabei auch SSL Verschlüsselung. Nun ist die Frage, was man denn für ein Cert nimmt. Bisher habe ich hierfür ein Thawte Cert benutzt, das ich z.B. auch für den Kundenlogin verwende. Das Problem ist hierbei jedoch, dass das Cert eben nur für diese eine (Sub-)Domain gültig ist. Die automatischen Konfiguratoren heutiger Mail Programme legen als Servernamen smtp/imap/pop3.domain.tld als Servernamen fest, damit werden die Zertifikate als ungültig angezeigt.

    Deshalb wollte ich mal nachfragen, wie ihr das macht. Erlaubt ihr "nur" den Zugriff über einen bestimten Hostnamen und dafür holt ihr euch dann das Cert?

    Oder wie macht ihr das?
     
  2. pkambach

    pkambach Eingetragener Provider

    Registriert seit:
    23. Juni 2001
    Beiträge:
    556
    Ort:
    Düsseldorf
    Firmenname:
    ConnectingBytes GmbH...
    Anbieterprofil:
    Klick
    AW: SSL Zertifikate für SMTP und IMAP/POP3

    hi!

    Normalerweise nimmt man ein Zertifikat für einen Server. Kunden, die per SSL Ihre Verbindungen aufbauen wollen, müssen dies halt manuell konfigurieren (zumindest bei Shared-Webhosting). Ansonsten müsste man für jeden Kunden ein Zertifikat bzw. ein MultiDomain-Zertifikat mit allen Kunden-Domains haben, da Exim und Dovecot ja nur ein Zertifikat verwenden können. Also viel zu teuer und nicht wirklich zu handhaben (was macht man z.B. wenn mitten in der Laufzeit des Zertifikats ein neuer Kunde hinzu kommt?).

    Vg
    Patrick Kambach
     
  3. antondollmaier

    antondollmaier Eingetragener Provider

    Registriert seit:
    19. April 2004
    Beiträge:
    902
    Firmenname:
    ADIT Systems
    Anbieterprofil:
    Klick
    AW: SSL Zertifikate für SMTP und IMAP/POP3

    Dovecot unterstützt ab Version 2 auch mehrere SSL-Zertifikate, benötigt dann aber pro Zertifikat entweder mehrere Server-IP-Adressen oder unterschiedliche Client-IP-Ranges, denen dann unterschiedliche Zertifikate präsentiert werden.


    Im Shared-Hosting reicht definitiv ein SSL-Zertifikat. Dass ein Kunde "pop3.example.com" mit seiner eigenen Domain nutzen kann, ist purer Luxus (den ich mir notfalls auch bezahlen lassen würde - immerhin kosten die SSL-Zertifikate einiges).
     
  4. LL0rd

    LL0rd Member

    Registriert seit:
    3. September 2003
    Beiträge:
    114
    AW: SSL Zertifikate für SMTP und IMAP/POP3

    Naja, dass ein Kunde seine Mails direkt über seine Domain abfragen kann, ist bei uns mehr oder weniger historisch bedingt. Früher (vor 8 Jahren) hatten wir nur einen einzigen Server. Als Dann haben wir MySQL und E-Mails vom Webserver getrennt und per DNAT die E-Mail Ports auf den anderen Server geroutet. Heute machen wir es genauso, nur ist jetzt ne Hardware Firewall dazwischen.

    Das könnte die ganze Sache interessant machen. Etwa 1/4 aller Kunden, die wir hosten, hat bereits ein SSL Zert für den Onlineshop o.ä. Da könnte man es da einfach einbinden. Aber das bringt relativ wenig, wenn Exim die gleichen Funktionen nicht unterstützt.
     
  5. ECS-Enders

    ECS-Enders Eingetragener Provider

    Registriert seit:
    4. November 2002
    Beiträge:
    132
    Ort:
    Nürnberg
    Firmenname:
    ECS-Webhosting
    Anbieterprofil:
    Klick
    AW: SSL Zertifikate für SMTP und IMAP/POP3

    Hallo!
    Du hast ja gefragt, wie andere Provider das machen:
    Wir selbst lassen den Zugriff auf Webmail + POP3/SMTP/IMAP nur unverschlüsselt über eigene Domainnamen (pop3.ihredomain.de, smtp.ihredomain.de, ...) zu. Für SSL (Wer benutzt das schon?) schreiben wir unsere neutrale Domain vor. Wir arbeiten bei uns mit Load-Balancing, insofern sind pop3/smtp/imap/webmail alle auf derselben IP, ergo nur 1 "normales" SSL-Zertifikat.

    Oder Du nimmst ein Multidomain SSL-Zertifikat (pop3.domain1.de, pop3.domain2.de, ...). Natürlich kostet so Multidomain Zertifikat in etwa genauso viel, wie x einzelne - teurer Spaß.

    Ansonsten gibt es noch Wildcard SSL-Zertifikate, damit kann man pop3.domain.de, smtp.domain.de etc. mit 1 Zertifikat abbilden. Nachteil bei Wildcard: Das gilt nur für 1 SLD, daher pop3.domain1.de und pop3.domain2.de geht nicht, ergo für die paar Subdomains wie pop3/imap/smtp kommt es vermutlich zu teuer.

    Ich persönlich würde mir ein Multidomain-Zertifikat mit 1 neutralen Domain ausstellen, wenn man pop3/smtp/imap auf verschiedenen IPs hat, ansonsten 1 normales SSL und 1 Domainname z.B. mail.neutral.de
     
  6. antondollmaier

    antondollmaier Eingetragener Provider

    Registriert seit:
    19. April 2004
    Beiträge:
    902
    Firmenname:
    ADIT Systems
    Anbieterprofil:
    Klick
    AW: SSL Zertifikate für SMTP und IMAP/POP3

    Was eben IMHO ein großes Problem ist: wie soll man ein "Sicherheitsbewusstsein" bei den Anwendern entwickeln, um Risiken von mitgesnifften Verbindungsdaten zu minimieren?

    Damit eben nicht jeder, der neben mir mit seinem Laptop am WLAN-Hotspot bei Starbucks sitzt und Wireshark laufen hat, auch meine POP3/IMAP/SMTP-Passwörter mitlesen kann. Das gleiche gilt natürlich, wenn ich mich über eine non-HTTPS-Verbindung in das Webmail einlogge.


    Wer heutzutage noch nicht SSL verwendet, handelt zumindest fahrlässig, falls die Passwörter mitgeschnitten werden.


    Es hat lange gedauert, bis alle beim Surfen im Webshop darauf achten, dass das Schloss-Symbol im Browser steht. Es wäre eigentlich an der Zeit, dieses Bewusstsein auch für andere Protokolle - insbesondere beim Mailverkehr - zu schärfen.
     
  7. ECS-Enders

    ECS-Enders Eingetragener Provider

    Registriert seit:
    4. November 2002
    Beiträge:
    132
    Ort:
    Nürnberg
    Firmenname:
    ECS-Webhosting
    Anbieterprofil:
    Klick
    AW: SSL Zertifikate für SMTP und IMAP/POP3

    Hi Anton!
    Ich sage ja nicht, dass SSL für POP3/IMAP/SMTP nicht sinnvoll ist - wir bei ECS verwenden es ja auch (über https). Nur finde ich es persönlich für gefährlich, wenn man als Provider den Kunden extreme Vorschriften macht, wie

    Mail nur via SSL UND FTP-Kennwort <> Mail-Kennwort UND Kennwort > LÄNGE UND "Kennwort mit Groß- + Kleinbuchstaben + Sonderzeichen"

    Da sind Kunden teilweise überfordert (wie stelle ich meinen Mailclient ein), teilweise unwillig ("Ich bestimmt mein Kennwort immer noch selbst" und der Supportaufwand ungemein höher.

    Wir bieten es Kunden daher lieber optional an. "Wer will, der will." Bei Webmail wird man bei uns zumindest automatisch auf https:// umgeleitet.
     
  8. LL0rd

    LL0rd Member

    Registriert seit:
    3. September 2003
    Beiträge:
    114
    AW: SSL Zertifikate für SMTP und IMAP/POP3

    Das macht aber heute schon die (aktuelle) Software. Mein iPhone / iPad möchte eine verschlüsselte Verbindung herstellen und warnt mich, falls es nicht geht. Mein Mailclient (Postbox) will es per Default auch, sagt allerdings nichts, wenn es nicht geht.

    Also bei einem Webshop finde ich es nicht so schlimm, solange man da keine Zahlungsdaten überträgt. Ob Kontaktformular oder Webshop - es ist doch das gleiche.

    Also wir haben z.B. da etwas höhere Sicherheitsrichtlinien. Wenn ein Kunde einen FTP Zugang haben möchte, dann nur mit TLS und das Kennwort bestimmen wir. Webmail geht auch nur über https (auf Wunsch mit OTP), Mail-Kennwörter können die Kunden selbst ändern, die werden Jedoch gegen eine Wordlist geprüft. Als Alternative bieten wir einigen Kunden / Roadwarriors den Zugang über OpenVPN zu unserem Netz an.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen