Certbot: Let’s Encrypt TLS-Zertifikate für Mailserver
Da ich meinen E-Mail Server demnächst auf Debian Stretch upgraden möchte, beschäftige ich mich gerade mit ein paar (neuen) Einstellungen und Möglichkeiten. Bisher nutzte ich für die TLS <-> TLS Kommunikation zwischen E-Mail-Servern ein selbst ausgestelltes Zertifikat. Das wollte ich nun endlich mal ändern und habe mich kurz mit dem Certbot beschäftigt, der sich unter anderem dazu eignet, auf einem E-Mail Server ein Let’s Encrypt TLS-Zertifikat zu beantragen.
Die Schritte auf Debian Wheezy sind denkbar einfach.
Ordnerstruktur und Download:
mkdir /opt/certbot cd /opt/certbot wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto
Zertifikat für die Domain »mail.kuketz.de« (ohne Webserver) beantragen:
/opt/certbot/certbot-auto certonly --standalone --rsa-key-size 4096 -d mail.kuketz.de
Einbinden in Postfix und Dovecot:
/etc/letsencrypt/live/mail.kuketz.de/fullchain.pem /etc/letsencrypt/live/mail.kuketz.de/privkey.pem
Cronjob für die automatische Erneuerung:
/opt/certbot/certbot-auto certonly --standalone --force-renewal -d mail.kuketz.de --post-hook "/etc/init.d/dovecot reload; /etc/init.d/postfix reload" | mailx -E'set nonullbody' -s "Let's Encrypt - [Mailserver]" root@localhost
Prüfen:
openssl s_client -connect mail.kuketz.de:25 -starttls smtp openssl s_client -connect mail.kuketz.de:993
Fertig.
Ich werde das noch etwas optimieren und nach dem Umzug dann auch noch Domain Keys Identified Mail (DKIM) nachziehen – nicht weil man damit Spam bekämpft, sondern weil große Anbieter den eigenen, kleinen E-Mail Server dann als »vertauenswürdiger« einstufen. Die E-Mails landen dann seltener im Spam-Ordner oder werden direkt vom MTA abgewiesen. Gleiches gilt für das Sender Policy Framework (SPF).
Ebenfalls ergänzt habe ich DNSSEC für die E-Mail Domain – das dauert aber offenbar noch mit der Bekanntgabe.