Hallo, ich habe mir von rpicloud angeschaut wie man mta-sts konfiguriert. Allerdings habe ich meine mailcow-Instanz mit einem Apache Reverse Proxy konfiguriert sodass ich auch eine Homepage hosten kann. Habe viel rumexperimentiert und komme zu fast keinem Ergebniss. Habe als erstes einen V-Host für https://domain.com/.well-known/mta-sts.txt angelegt: Quelle: https://www.digitalocean.com/community/tutorials/how-to-configure-mta-sts-and-tls-reporting-for-your-domain-using-apache-on-ubuntu-18-04 ServerName mta-sts.domain.com DocumentRoot /var/www/mta-sts ErrorDocument 403 "403 Forbidden - This site is used to specify the MTA-STS policy for this domain, please see '/.well-known/mta-sts.txt'. If you were not expecting to see this, please use https://your-domain instead." RewriteEngine On RewriteOptions IgnoreInherit RewriteRule !^/.well-known/mta-sts.txt - [L,R=403] SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key Include /etc/letsencrypt/options-ssl-apache.conf anschließend habe ich certbot --apache ausgeführt und zertifiziert Nun komme ich auf "mail.domain.com" nicht mehr drauf allerdings auf meine Homepage "domain.com" schon Ich verwende die standard config von Mailcow als Reverse Proxy: ServerName mail.domain.com ServerAlias autodiscover.domain.com ServerAlias autoconfig.domain.com RewriteEngine on RewriteCond %{HTTPS} off RewriteRule ^/?(.*) https://%{HTTP_HOST}/$1 [R=301,L] ProxyPass / http://127.0.0.1:8080/ ProxyPassReverse / http://127.0.0.1:8080/ ProxyPreserveHost On ProxyAddHeaders On RequestHeader set X-Forwarded-Proto "http" ServerName mail.domain.com ServerAlias autodiscover.domain.com ServerAlias autoconfig.domain.com #You should proxy to a plain HTTP session to offload SSL processing ProxyPass /Microsoft-Server-ActiveSync http://127.0.0.1:8080/Microsoft-Server-ActiveSync connectiontimeout=4000 ProxyPassReverse /Microsoft-Server-ActiveSync http://127.0.0.1:8080/Microsoft-Server-ActiveSync ProxyPass / http://127.0.0.1:8080/ ProxyPassReverse / http://127.0.0.1:8080/ ProxyPreserveHost On ProxyAddHeaders On RequestHeader set X-Forwarded-Proto "https" SSLCertificateFile /opt/mailcow-dockerized/data/assets/ssl/cert.pem SSLCertificateKeyFile /opt/mailcow-dockerized/data/assets/ssl/key.pem #If you plan to proxy to a HTTPS host: #SSLProxyEngine On #If you plan to proxy to an untrusted HTTPS host: #SSLProxyVerify none #SSLProxyCheckPeerCN off #SSLProxyCheckPeerName off #SSLProxyCheckPeerExpire off Ich hoffe jemand kann mir helfen

mailcow reverse proxy mit mta-sts

Rene

Hallo,
ich habe mir von rpicloud angeschaut wie man mta-sts konfiguriert. Allerdings habe ich meine mailcow-Instanz mit einem Apache Reverse Proxy konfiguriert sodass ich auch eine Homepage hosten kann. Habe viel rumexperimentiert und komme zu fast keinem Ergebniss. Habe als erstes einen V-Host für https://domain.com/.well-known/mta-sts.txt angelegt: Quelle: https://www.digitalocean.com/community/tutorials/how-to-configure-mta-sts-and-tls-reporting-for-your-domain-using-apache-on-ubuntu-18-04

<IfModule mod_ssl.c>
<VirtualHost your-server-ipv4-address:443 [your-server-ipv6-address]:443>
ServerName mta-sts.domain.com
DocumentRoot /var/www/mta-sts

ErrorDocument 403 "403 Forbidden - This site is used to specify the MTA-STS policy for this domain, please see '/.well-known/mta-sts.txt'. If you were not expecting to see this, please use <a href=\"https://your-domain\" rel=\"noopener\">https://your-domain</a> instead."

RewriteEngine On
RewriteOptions IgnoreInherit
RewriteRule !^/.well-known/mta-sts.txt - [L,R=403]

SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
Include /etc/letsencrypt/options-ssl-apache.conf

</VirtualHost>
</IfModule>

anschließend habe ich certbot –apache ausgeführt und zertifiziert

Nun komme ich auf “mail.domain.com” nicht mehr drauf allerdings auf meine Homepage “domain.com” schon

Ich verwende die standard config von Mailcow als Reverse Proxy:

<VirtualHost *:80>
ServerName mail.domain.com
ServerAlias autodiscover.domain.com
ServerAlias autoconfig.domain.com
RewriteEngine on

RewriteCond %{HTTPS} off
RewriteRule ^/?(.*) https://%{HTTP_HOST}/$1 [R=301,L]

ProxyPass / http://127.0.0.1:8080/
ProxyPassReverse / http://127.0.0.1:8080/
ProxyPreserveHost On
ProxyAddHeaders On
RequestHeader set X-Forwarded-Proto “http”
</VirtualHost>
<VirtualHost *:443>
ServerName mail.domain.com
ServerAlias autodiscover.domain.com
ServerAlias autoconfig.domain.com

#You should proxy to a plain HTTP session to offload SSL processing
ProxyPass /Microsoft-Server-ActiveSync http://127.0.0.1:8080/Microsoft-Server-ActiveSync connectiontimeout=4000
ProxyPassReverse /Microsoft-Server-ActiveSync http://127.0.0.1:8080/Microsoft-Server-ActiveSync
ProxyPass / http://127.0.0.1:8080/
ProxyPassReverse / http://127.0.0.1:8080/
ProxyPreserveHost On
ProxyAddHeaders On
RequestHeader set X-Forwarded-Proto “https”

SSLCertificateFile /opt/mailcow-dockerized/data/assets/ssl/cert.pem
SSLCertificateKeyFile /opt/mailcow-dockerized/data/assets/ssl/key.pem

#If you plan to proxy to a HTTPS host:
#SSLProxyEngine On

#If you plan to proxy to an untrusted HTTPS host:
#SSLProxyVerify none
#SSLProxyCheckPeerCN off
#SSLProxyCheckPeerName off
#SSLProxyCheckPeerExpire off
</VirtualHost>

Ich hoffe jemand kann mir helfen

theMooMichel

Das würde mich auch interessieren. Hab zwar keinen Apache sondern Traefik als revProxy, aber da hab ich natürlich das gleiche Problem. Zusätzlich noch die Schwierigkeit, dass die Mailkuh mehrere Domains laufen und auf dem Traefik ein Wildcard LE Cert zu jeder Domain eingerichtet ist.

oetzi

Hi, ich habe mir der Einfachheit halber die passende Policy Datei erst mal unter data/web/.well-known abgelegt und lasse die so über den nginx von mailcow ausliefern.
Je nachdem wie der “Rest” an Infrastruktur herum aussieht, kann man sich noch die passenden mta-sts-Subdomain-Zertifikate direkt durch acme-mailcow mit generieren lassen bzw. diese Subdomains in das LE-Zertifikat mit integrieren (Stichwort Variable ADDITIONAL_SAN in der mailcow.conf um mta-sts.) erweitern. Ich habe auch noch den Wert mta-sts. in der Variablen ADDITIONAL_SERVER_NAMES mit aufgenommen.
Nun scheint es erst mal zu gehen. Habe aber noch keine Langzeiterfahrungen damit und daher kann es gut sein, dass mir das jemand gehörig um die Ohren haut. 😉

theMooMichel

Ich hab es jetzt auch ans Laufen bekommen.
War eigentlich ganz simpel und bisher haben alle Tests funktioniert und mir fast die volle Punktzahl ausgeliefert.

Datei ins Verzeichnis mailcow/data/web/.well-known gespeichert
Den Hostnamen in der docker-compose.override.yml angepasst:


        - "traefik.enable=true"
        - "traefik.http.routers.nginx-mailcow.entrypoints=http"
        - "traefik.http.routers.nginx-mailcow.rule=HostRegexp(`{host:(autodiscover|autoconfig|webmail|mail|email|mta-sts).+}`)"
        - "traefik.http.middlewares.nginx-mailcow-https-redirect.redirectscheme.scheme=https"
        - "traefik.http.routers.nginx-mailcow.middlewares=nginx-mailcow-https-redirect"
        - "traefik.http.routers.nginx-mailcow-secure.entrypoints=https"
        - "traefik.http.routers.nginx-mailcow-secure.rule=HostRegexp(`{host:(autodiscover|autoconfig|webmail|mail|email|mta-sts).+}`)" 
[...usw.]

Seither funktioniert es einwandfrei. MTA-STS funktioniert, DANE usw. Sogar bei Mailbox.org (hab ich bisher immer so als Maßstab genommen. :-D) wird mir ein grünes “DANE ok” bescheinigt, wenn ich mir an die Mailkuh eine Nachricht schicke. :-)

Und, die Mailkuh-Weboberfläche ist jetzt nicht nur über Domain0.tld sondern auch automatisch über Domain1.tld, Domain2.tld usw., für die ich ein Wildcard-Zertifikat habe, erreichbar. Bei einem Mailserver, der zwei Familien und ein Hobbybereich abdeckt, ganz praktisch, so hat jeder seine Domain zum erreichen des “Familiendienstes”. :-)

Bei den Mail-/Card-/CalDAV-Clients Server muss jedoch weiterhin mail.domain0.tld oder imap. bzw. smtp.domain0.tld angegeben werden und bei Cal-/CardDAV wird nur mail.domain0.tld akzeptiert.
Aber das ist erstmal nur Kosmetik. Hauptsache es funktioniert. :-)