Hallo zusammen,
meine Dockerized Mailcow läuft prinzipiell super.
Ausgeliefert wird sie von Traefik, LE Zertifikate passen, Mails können versendet und empfangen werden über das SoGo.
Möchte ich aber Mail Accounts in Thunderbird und Co einrichten gehts nicht.
Ich hatte den Stack von einem meiner anderen Domains übernommen und alles angepasst was Domains etc angeht. Teste ich das Zertifikat bei einem IMAP Aufruf, erhalte ich weiterhin die Domain der Vorlage.
Nun hatte ich heute morgen alle Volumes gelöscht und somit eine neue saubere Installation (vermute ich), Backups eingespielt, Alles funktioniert bis auf die Zertifikate wieder.

Wie kann ich diese Zertifikate erneuern?
Diese Schritte habe ich ebenfalls versucht: docs.mailcow.email Icon Reset TLS certificates - mailcow: dockerized documentation

docs.mailcow.email Icon docs.mailcow.email
Reset TLS certificates - mailcow: dockerized documentation
None
docs.mailcow.email

Keine Verbesserung.

Welche Infos benötigt ihr um mir ggfs helfen zu können?

Danke vorab

Piet

  • DD4niel

    • Community Hero
    Moolevel 48
  • Post #2
  • This post is in German

Was heißt “geht nicht”? Was genau stimmt denn mit den Zertifikaten nicht? Wer stellt die Zertifikate aus? Der Proxy oder Mailcow selbst?
Da du einen eigenen Reverse Proxy betreibst, muss auch sichergestellt sein, dass damit über Port 80 die Zertifikatsausstellung funktioniert und die Zertifikate an die richtige Stelle kopiert werden (wenn sie nicht durch Mailcow ausgestellt werden): docs.mailcow.email Icon Overview - mailcow: dockerized documentation

docs.mailcow.email Icon docs.mailcow.email
Overview - mailcow: dockerized documentation
None
docs.mailcow.email

Have something to say?

Join the community by quickly registering to participate in this discussion. We'd like to see you joining our great moo-community!

Ich nutze einen certdumper. Hier wäre mal meine docker-compose.override.yml
Die Zertifikate werden von raefik ausgestellt/beantragt.
Unten ist ein Screenshot angehangen von Thunderbird.
Wie gesagt, ich würde gerne die Zertifikate erneuern lassen, die Email Clients benötigen.

Das reguläre SSL ZErtifikat von LE läuft, wenn z.B. das SoGo Webmail aufgerufen wird

`
version: ‘3.7’

services:
nginx-mailcow:
expose:
- “8080”
labels:
- traefik.enable=true
- traefik.http.routers.nginx-mailcow.rule=HostRegexp({host:(autodiscover|autoconfig|webmail|mail|email).+})
- traefik.http.routers.nginx-mailcow.entrypoints=websecure
- traefik.http.routers.nginx-mailcow.rule=Host(${MAILCOW_HOSTNAME})
- traefik.http.routers.nginx-mailcow.tls=true
- traefik.http.routers.nginx-mailcow.tls.certresolver=default
- traefik.http.routers.nginx-mailcow.service=nginx-mailcow
- traefik.http.services.nginx-mailcow.loadbalancer.server.port=8080
- traefik.docker.network=proxy
networks:
- proxy


certdumper:
image: humenius/traefik-certs-dumper
network_mode: none
command: –restart-containers mailcow_postfix-mailcow_1,mailcow_dovecot-mailcow_1,mailcow_nginx-mailcow_1
volumes:
- /opt/traefik/data:/traefik:ro
- /var/run/docker.sock:/var/run/docker.sock:ro
- ./data/assets/ssl:/output:rw
environment:
- DOMAIN=${MAILCOW_HOSTNAME}

networks:
proxy:
external: true
`

  • DD4niel

    • Community Hero
    Moolevel 48
  • Post #4
  • This post is in German

Das Zertifikat von SOGo ist genau das gleiche wie für IMAP oder SMTP. Du musst es nur an die richtige Stelle kopieren, wie in den Docs beschrieben.
Wie kommst du denn auf imap. als Subdomain, wie im Screenshot? Hast du für die Subdomain ein Zertifikat?

  • esackbauer

    • Community Hero
    Moolevel 448
  • Post #5
  • This post is in German

ich habe alles auf mail.domain.tld. Wozu imap.domain.tld? Den Service unterscheidet man eh an der Portnummer, da braucht man kein eigenen Hostnamen. Das führt nur zu Fehlern…

    • Mmlcwuser

        Moolevel 47
      • Post #6
      • Edited
      • This post is in German

      esackbauer Dann solltest du dich aber in Thunderbird auch zu mail.deinedomain.de verbinden und nicht zu imap.deinedomain.de.

      EDIT
      Ah, du bist ja gar nicht @derpiet ;-)

      Aber ich würde wetten, (wie auch @D4niel schon angemerkt hat, dass genau das das Problem von @derpiet ist. Er hat ein Zertifikat für mail.seinedomain.de, Thunderbird versucht sich aber zu imap.seinedomain.de zu verbinden, wofür kein Zertifikat existiert.

      Btw. ich habe bei Zertifikate für mail, smtp und imap installiert. Macht das einrichten der Mail Clients einfacher, weil viele Clients diese Subdomains vorausgefüllt haben, so wie Thunderbird hier ja offenbar auch.

          • esackbauer

            • Community Hero
            Moolevel 448
          • Post #7
          • Edited
          • This post is in German

          mlcwuser Macht das einrichten der Mail Clients einfacher, weil viele Clients diese Subdomains vorausgefüllt haben, so wie Thunderbird hier ja offenbar auch.

          Noch einfacher ists die Autoconfig Funktion von Thunderbird zu verwenden 😉
          Die funktioniert ja wenn man nicht zuviel “verbiegt”, weil die zusätzlichen Hostnamen sind nicht default, und auch nicht offiziell supported.

              • Mmlcwuser

                  Moolevel 47
                • Post #8
                • Edited
                • This post is in German

                esackbauer Noch einfacher ists die Autoconfig Funktion von Thunderbird zu verwenden

                esackbauer Jup, und das funktioniert bei mir auch. Ich verwende aber Evolution, welches ich über die GNOME Accounts Settings einrichte, und dort funktioniert die Erkennung nicht, respektive GNOME Accounts hat keine Auto Config Funktion.

                esackbauer wenn man nicht zuviel “verbiegt”, weil die zusätzlichen Hostnamen sind nicht default.

                Ich habe nichts verbogen, was nicht im Config File erwähnt ist / angeboten wird, und bis jetzt auch keine negativen Seiteneffekte feststellen können. Btw. Sogo / Active Sync nutze ich nicht / habe ich deaktiviert, kann also nicht beurteilen ob es dort allenfalls irgendwelche Probleme verursachen könnte.

                esackbauer und auch nicht offiziell supported.

                Damit kann ich leben 😉

                        mlcwuser
                        Ich habe auch in Thunderbird mit mail.<domain> probiert. Klappte ebenfalls nicht.

                          • esackbauer

                            • Community Hero
                            Moolevel 448
                          • Post #10
                          • Edited
                          • This post is in German

                          Was heisst “klappte nicht”? Gehts etwas konkreter??
                          Wenn ein falsches Zertifikat dem Client via https ausgehändigt wird ist Traefik schuld und nicht mailcow.

                          Hier kannst du testen welches Zertifikat via IMAP vom Mailcow hergezeigt wird:
                          https://support.plesk.com/hc/en-us/articles/12377663714711-How-to-verify-that-SSL-for-IMAP-POP3-SMTP-works-and-a-proper-SSL-certificate-is-in-use

                          support.plesk.com
                          https://support.plesk.com/hc/en-us/articles/12377663714711-How-to-verify-that-SSL-for-IMAP-POP3-SMTP-works-and-a-proper-SSL-certificate-is-in-use
                          No preview could be generated for this link

                            esackbauer
                            Die zertifikate sehen gut aus, da gibt es laut meines Wissens keine probleme.
                            Ich vermute nicht, dass Traefik schuld ist.
                            Der Server liegt bei Hetzner, ich hab die Ports in der Firewall geöffnet, die benötigt werden.
                            Nur Thunderbird kann sich nie verbinden. Nun bin ich mit meinem Latein wirklich am Ende.
                            Oder ist etwas bekannt, dass es seitens Traefik beim Routing Probleme gibt?

                              6 months later

                              Ich habe das selbe Problem und ich glaube es liegt nicht an traefik!
                              Bei openssl s_client -showcerts -connect mail.domain.de:993 -servername mail.domain.de bekomme ich:
                              depth=0 C = DE, ST = NRW, L = Willich, O = mailcow, OU = mailcow, CN = mail.domain.de

                              obwohl in mailcow.conf eingestellt:

                              SKIP_LETS_ENCRYPT=y
                              ENABLE_SSL_SNI=n
                              SKIP_IP_CHECK=y
                              SKIP_HTTP_VERIFICATION=y
                              SKIP_UNBOUND_HEALTHCHECK=y

                              Dies ist nicht das Zertifikat was in traefik konfiguriert!

                              • DocFraggle

                                • Community Hero
                                Moolevel 329
                              • Post #13
                              • Edited
                              • This post is in German

                              Hast Du denn Traefik für IMAPS (Port 993) konfiguriert?

                              Das oben ist das Default Self-Signed Zert von Mailcow wenn man Letsencrypt deaktiviert, so wie in Deinem Fall. Da ich mal davon ausgehe dass Du die Mail-Services wie IMAP und POP nicht via Traefik routest musst Du natürlich das in Traefik hinterlegte Zertifikat auch der Mailcow zur Verfügung stellen!

                              • esackbauer

                                • Community Hero
                                Moolevel 448
                              • Post #14
                              • Edited
                              • This post is in German

                              @MadMacher
                              Ich hab das bereits am 2.10.23 hier im Thread geschrieben, aber nochmal zur Klarstellung:
                              Mailcow verwendet die Zertifikate an mehreren Stellen, im Postfix (SMTP), im Dovecot (IMAP) und im Nginx (https).
                              der eingebaute Lets Encrypt in mailcow kümmert sich um alle 3 Stellen.
                              Wird eine externe Lösung wie Traefik nur für https verwendet, müssen die Zertifikate gemäß der Anleitung zum Mailcow kopiert werden.
                              docs.mailcow.email Icon Erweitertes SSL - mailcow: dockerized Dokumentation

                              docs.mailcow.email Icon docs.mailcow.email
                              Erweitertes SSL - mailcow: dockerized Dokumentation
                              None
                              docs.mailcow.email

                              Ich habe mein Zertifikat dorthin kopiert, nach einem Update von mailcow steht aber das falsche Zertifikat wieder drin!
                              Außerdem habe ich schon ein Jahr eine andere Installation mit der gleichen Konfiguration (andere Domain) zu laufen, ohne dieses Problem! Irgend etwas wurde also verändert.

                              • esackbauer

                                • Community Hero
                                Moolevel 448
                              • Post #16
                              • Edited
                              • This post is in German

                              @MadMacher
                              Irgendwas muss sich geändert haben, weil ich meine Zertifikate genauso nicht am mailcow erstelle, sondern am reverse proxy. dann kopiere ich sie hin, und dann restarte ich die 3 Docker Container. Ein Update hat bei mir auch nie die eingebauten Zertifikate wieder aktiviert, sondern beliess immer das von Lets Encypt das ich dorthin kopiert habe.
                              Hast du die Container eh restartet so wie es da steht?
                              Decken die Zertifikate alle Namen die Mailcow braucht ab?

                              No one is typing