Hallo Forum,

ich habe mich die letzten Tage mit diversen Einrichtungsfehlern beschäftigt, welche ich jedoch nun lösen konnte. Dies ist leider mit einer Ausnahme bei der ich nicht weiterkomme.

Ich möchte ein Mail-Zertifikat für Postfix und dovecot einrichten. Nach diversen Anleitungen soll dafür eine Domain angelegt werden, welche von LE dann automatisch mit einem Zertifikat versehen wird. Die Dateien werden dann hinterlegt um eine Verbindung herzustellen. Soweit so gut. 

Die Zieldomain soll dann mx.meine-domain.tld lauten. Wie stelle ich jetzt die Konfiguration insbesondere bei Postfix so ein, dass
a) Die Domain meine-domain.tld genutzt werden kann ohne den Fehler von Froxlor, dass eine Mail-Domain nicht gleichzeitig als Kundendomain angelegt werden kann.
b) Sodass eine automatische Zertifikatsaktualisierung mit Acme geschieht (Vorgehen im Forum und in Blogs per Angabe einer Kundendomain in Froxlor)
c) Die Angabe in der main.cf sodass die Domain nicht identisch ist und somit der in den Notizen angegebene Fehler einer virtuellen Domain nicht geschieht.

Da verzweifle ich derzeit, um Hilfe wäre ich dankbar.

Viele Grüße
Lukas

als aller erstes wäre die Info gut, welche Domain du denn für froxlor selbst einsetzt. 

1 hour ago, lukasadr said:

Die Domain meine-domain.tld genutzt werden kann ohne den Fehler von Froxlor, dass eine Mail-Domain nicht gleichzeitig als Kundendomain angelegt werden kann.

Dieses Fehler gibt es nicht in froxlor, ich denke du meinst eher postfix, der sagt mydomain/myhostname darf nicht auch in den virtual-domains sein

Für alles Weitere ist Grundlage, was du als "system hostname" bei der froxlor installation angegeben hast

Für Froxlor wird eine Subdomain genutzt (vie.meine-domain.tld).

Postfix main.cf

mydomain = meine-domain.tld (geändert von vie.meine..., damit keine Überlange Mail-Domain entsteht) (Mail-Server soll mx.meine-domain.tld sein und nicht mx.vie.meine-domain.tld, zudem dort das gleiche Problem bestehen würde mit der Angabe in Froxlor)
myhostname = mx.$mydomain

Um mx.... als Subdomain mit Zertifikat anlegen zu können war es nötig, meine-domain auch in Froxlor anzugeben. 
Eine Angabe in der main.cf mit mx... bei beiden würde ja dazu führen, dass es Lokal wird. E-Mails sollen dort ja auch empfangen werden.

leg doch die mx.meine-domain.tld einfach in den "Froxlor Vhost Settings" Einstellungen als "Alias Domain" an, dann landet die mit im Lets Encrypt Zertifikat für den froxlor vhost und du kannst die in postfix nutzen. Als kundendomain kannst du es zwar auch machen, dann MUSST du allerdings ganz unten "Ist E-Mail Domain" deaktivieren, dann kennt postfix die auch nicht und meckert nicht

So ein wenig verzweifle ich derzeit schon. Nachdem ich den Chronjob hab laufen lassen, wurde mx. als Alias-Domain nicht eingetragen. Da ich jedoch die Domain sowieso zudem als Kundendomain wollte, habe ich das verworfen. 
Jetzt habe ich die entsprechenden Einstellungen gesetzt mit Ist-E-Mail-Domain und mx. als Subdomain mit LE versehen. Die Erkennung eines Zertifikates funktioniert auch soweit, jedoch wurde die Subdomain (im mx.-Zertifikat) nicht eingetragen. In Thunderbird finde ich dazu nur die "Mutterdomain" alleine und mit www., so lehnt der Mail-Client die Verbindung als nicht sicher ab....

smtp_tls_security_level = may
smtp_tls_note_starttls_offer = yes
## TLS for incoming connections (clients or other mail servers)
smtpd_tls_security_level = may
smtpd_tls_cert_file = /etc/ssl/froxlor-custom/mx.xxx.tld.crt
smtpd_tls_key_file = /etc/ssl/froxlor-custom/mx.xxx.tld.key
smtpd_tls_CAfile = /etc/ssl/froxlor-custom/mx.xxx.tld_CA.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes

 

38 minutes ago, lukasadr said:

jedoch wurde die Subdomain (im mx.-Zertifikat) nicht eingetragen.

was genau meinst du damit?

38 minutes ago, lukasadr said:

Nachdem ich den Chronjob hab laufen lassen, wurde mx. als Alias-Domain nicht eingetragen

hast du es denn auch in den einstellungen festgelegt? Hast du mal den cronjob mit --force --debug ausgeführt das du vllt siehst wo evtl ein problem auftritt?

Bisschen mehr detailinfo / logs - dann wirds leichter zu supporten

Ich muss morgen nochmal ein paar Tests laufen lassen,
ich denke aber, dass ich das Problem gelöst bekommen habe, Froxlor (vermeintlich?) aktualisiert das Zertifikat zwar, jedoch nicht mit den alternativen Namen. Ich habe das Zertifikat gelöscht und dann den Chronjob nochmal laufen lassen, dann wurd bei Acme der neue Name mit angefragt. Zudem Einstellungen in Froxlor als No-Email Domain und ohne weitere Subdomain. 

Ich schaue morgen nochmal und schaue, ob sich das damit erledigt hat. 

Danke dir bis hier 😄

Ich verstehe leider nicht was du meinst mit "erstellt das Zertifkat ohne alternativen Namen". du beantwortest halt leider auch meine fragen in keinster weise...ich habe keine glaskugel ich weiss nicht was du da wo wie machst und gemacht hast..ohne mehr info kann ich dir nur schwer helfen.

Ich hatte versucht in Froxlor unter den vHost-Einstellungen einen alternativen Namen anzugeben (hier mx.domain.tld), dies ist leider gescheitert und der SSL-Fehler bestand weiter. Mittels dem Chronjob erhielt ich die Ausgabe, dass das angegebene Zertifikat für den vHost,also meine Hauptdomain aktualisiert wurde. Der frisch angegebene Name mx... wurde nicht übernommen. Diesen Fehler habe ich gelöst bekommen, indem ich das vHost-Zertifikat vollständig gelöscht habe in Froxlor, erneut den Chronjob hab laufen lassen und die Daten entsprechend in der Postfix-Config hinterlegt. 

vor 1 Stunde schrieb d00p:

was genau meinst du damit?

Hier habe ich eine Subdomain unter der Domain domain.tld angelegt mit mx. ..., da habe ich rumprobiert und die Zertifikatsdatei enthielt nur die Daten der Hauptdomain mit Einträgen domain.tld und www.domain.tld jedoch nicht die Subdomain.

Hallo nochmal,

mit dem alternativen Namen im Froxlor vHost gab es keine weiteren Probleme. 
Nun das Problem, wie kann ich mir ein E-Mail Konto erstellen, wenn die Domain meine-domain.tld als "Nicht E-Mail Domain" deklariert ist.
Viele Anbieter wollen die Inhaberschaft des Mailservers überprüfen und senden dann an abuse@meine-domain.tld oder postmaster@meine-domain.tld.

Somit ist das Problem 

Am 15.11.2022 um 15:26 schrieb d00p:

mydomain/myhostname darf nicht auch in den virtual-domains

ja erneut vorhanden, doch muss die Inhaberschaft ja irgendwie bestätigt werden. 

Gibt es da einen Lösungsansatz?

Just now, lukasadr said:

Nun das Problem, wie kann ich mir ein E-Mail Konto erstellen, wenn die Domain meine-domain.tld als "Nicht E-Mail Domain" deklariert ist.

gar nicht, das ist ja sinn dieser Einstellung. Bitte unterscheide auch "Froxlor System Hostname" und "Kunden Domain". Für weitere Hilfe ist notwendig zu wissen, was nun "meine-domain.tld" aus deinen Beispielen ist!

1 minute ago, lukasadr said:

Viele Anbieter wollen die Inhaberschaft des Mailservers überprüfen und senden dann an abuse@meine-domain.tld oder postmaster@meine-domain.tld.

Somit ist das Problem 

On 11/15/2022 at 3:26 PM, d00p said:

mydomain/myhostname darf nicht auch in den virtual-domains

ja erneut vorhanden, doch muss die Inhaberschaft ja irgendwie bestätigt werden. 

Gibt es da einen Lösungsansatz?

ja, recht simpel, sofern "meine-domain.tld" dein System-Hostname ist, editiere die Datei /etc/aliases und ergänze sie um folgende Einträge (sofern nicht vorhanden):
 

abuse: root
postmaster: root

Stelle ebenso sicher, dass der Eintrag root: auf eine gültige, abrufbare E-Mail Adresse zeigt (kann auch extern sein)

 

System-Hostname ist vie.meine-domain.tld
Domain-Aliase für Froxlor Vhost : mx.meine-domain.tld
Kunden-Domain  meine-domain.tld jedoch mit dem Haken entfernt bei E-Mail-Domain Ja

Das angegebene Zertifikat in Postfix ist das, des Hostnamen vie.meine-domain.tld (mit Alias mx...)

Aliases

# /etc/aliases
mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
clamav: root

# change this to a valid e-mail address you can access
root:               root@meine-domain.tld

Jedoch z.B. der SNDS von Microsoft für IPs zeigt als Auswahlmöglichkeit nur ein Postfach mit @meine-domain.tld an, eine externe Aliasdomain wurde nicht angezeigt. 

Aber warum setz du denn dann "meine-domain.tld" nicht einfach als "Ist E-Mail Domain": ja

Genau so ist es doch gedacht...wenn froxlor mittels "vie.meine-domain.tld" eingerichtet ist als system-hostname und für postfix "mx.meine-domain.tld" verwendet wird, hast du doch garkein problem mit "mydomain/myhostname darf nicht auch in den virtual-domains sein". So machen das 99% der froxlor user soweit ich das in den letzten Jahren gesehen habe und auch selbst mache. Null Probleme.

Dachte ich mir ja auch, nun kam dort ein Fehler.

Hab ich jetzt gemacht, ein Konto erstellt. Anmeldung hat geklappt, jedoch kommt im Mail-Log

warning: do not list domain meine-domain.tld in BOTH mydestination and virtual_mailbox_domains

Postfix

myhostname = mx.$mydomain
#myhostname = virtual.domain.tld

# The mydomain parameter specifies the local internet domain name.
# The default is to use $myhostname minus the first component.
# $mydomain is used as a default value for many other configuration
# parameters.
#
# Froxlor Note: We are using a default here but that may or may not make sense,
# depending on your dns configuration, please check yourself.

# FQDN from Froxlor
mydomain = meine-domain.tld

#mydestination = $myhostname, localhost.$mydomain, localhost
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain

Bis auf, dass ich mydomain von vie.meine-domain.tld auf meine-domain.tld geändert habe und oben statt mail mx geschrieben habe, sind alle Einstellungen gleichbleibend wie von Froxlor voreingestellt.

ja ist doch klar, da steht ja auch:

# FQDN from Froxlor
mydomain = meine-domain.tld

Mach doch einfach Folgendes:

myhostname = $mydomain
mydomain = mx.meine-domain.tld

und ab gehts