Da ich meinen E-Mail Server demnächst auf Debian Stretch upgraden möchte, beschäftige ich mich gerade mit ein paar (neuen) Einstellungen und Möglichkeiten. Bisher nutzte ich für die TLS <-> TLS Kommunikation zwischen E-Mail-Servern ein selbst ausgestelltes Zertifikat. Das wollte ich nun endlich mal ändern und habe mich kurz mit dem Certbot beschäftigt, der sich unter anderem dazu eignet, auf einem E-Mail Server ein Let’s Encrypt TLS-Zertifikat zu beantragen.

Die Schritte auf Debian Wheezy sind denkbar einfach.

Ordnerstruktur und Download:

mkdir /opt/certbot 
cd /opt/certbot 
wget https://dl.eff.org/certbot-auto 
chmod a+x certbot-auto

Zertifikat für die Domain »mail.kuketz.de« (ohne Webserver) beantragen:

/opt/certbot/certbot-auto certonly --standalone --rsa-key-size 4096 -d mail.kuketz.de

Einbinden in Postfix und Dovecot:

/etc/letsencrypt/live/mail.kuketz.de/fullchain.pem
/etc/letsencrypt/live/mail.kuketz.de/privkey.pem

Cronjob für die automatische Erneuerung:

/opt/certbot/certbot-auto certonly --standalone --force-renewal -d mail.kuketz.de --post-hook "/etc/init.d/dovecot reload; /etc/init.d/postfix reload" | mailx -E'set nonullbody' -s "Let's Encrypt - [Mailserver]" root@localhost

Prüfen:

openssl s_client -connect mail.kuketz.de:25 -starttls smtp
openssl s_client -connect mail.kuketz.de:993

Fertig.

Ich werde das noch etwas optimieren und nach dem Umzug dann auch noch Domain Keys Identified Mail (DKIM) nachziehen – nicht weil man damit Spam bekämpft, sondern weil große Anbieter den eigenen, kleinen E-Mail Server dann als »vertauenswürdiger« einstufen. Die E-Mails landen dann seltener im Spam-Ordner oder werden direkt vom MTA abgewiesen. Gleiches gilt für das Sender Policy Framework (SPF).

Ebenfalls ergänzt habe ich DNSSEC für die E-Mail Domain – das dauert aber offenbar noch mit der Bekanntgabe.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡