Umgebung:
aktuellste Version auf debian bookworm, vServer irgendwo da draußen als separater Server mit nix anderem, Standard-Installation
mailcow host (mailcow.domain.xyz), auch tagesaktuell (2024-08a)
mehrere Maildomains (domain1.net, domain2.de, domain3.de), jeweils passende A-Records bei meinem DNS Provider mit mail.{domainname}.
Mailclient: eMClient Windows

Hallo, ich habe sporadisch das Problem, dass mir mein Mailclient meldet, dass das Serverzertifikat des jeweiligen Kontos nicht stimmt. Erwartet wird richtigerweise mail.{domainname}, ausgeliefert wird aber mailcow.domain.xyz. (Sporadisch deshalb, weil ich dann sage, trotzdem verbinden und nicht mehr meckern). In den IMAP/SMTP Einstellungen des Kontos steht jeweils mail.{domainname}.
Ich hatte dann nach suchen im schlauen Internet die Option “ENABLE_SSL_SNI=y” in der mailcow.conf gesetzt und alles neu gestartet. Jetzt gibt es auch separate Zertifikatsverzeichnisse für die verschiedenen Domains (incl. mailcow).
Trotzdem kommt die Fehlermeldung immer noch.
Mir fällt gerade noch ein, dass der Fehler wohl beim IMAP-Aufruf eintritt, also beim Abruf der Postfächer.

Kann mir evtl. jemand einen Tip geben, wo ich weitersuchen könnte? Strukturierte Fehlersuche sozusagen ;-)
Könnte es evtl. am Mailclient liegen, dass der kein SNI kann? Aber wenn mailcow separate Zertifikate angelegt hat, dürfte doch SNI keine Rolle mehr spielen, oder versteh ich da was falsch? Wie kann ich feststellen, welche Zertifikate imap sieht?
Wenn ich Testmails verschicke, taucht übrigens in den Kopfzeilen auch der mailcow Host auf, nicht der Domain-MX. Sollte da nicht der Domain-MX drinstehen? Muss ich noch irgendwo die Config anpassen?

Vielen Fragen :-(
Danke Euch fürs Mitdenken
Frank.

  • DocFraggle

    • Community Hero
    Moolevel 243
  • Post #2
  • Edited
  • This post is in German

Du brauchst dafür die ADDITIONAL_SAN Config.

Wenn Dein Server unter mail.domain1.tld, mail.domain2.tld und mail.domain3.tld erreichbar ist:

ADDITIONAL_SAN=mail.*,smtp.*,imap.*

(Vorausgesetzt natürlich dass deine DNS Config passt für alles)

Siehe auch docs.mailcow.email Icon hier

docs.mailcow.email Icon docs.mailcow.email
Advanced SSL - mailcow: dockerized documentation
None
docs.mailcow.email

[unknown] Wenn ich Testmails verschicke, taucht übrigens in den Kopfzeilen auch der mailcow Host auf, nicht der Domain-MX. Sollte da nicht der Domain-MX drinstehen?

Nein, das ist so richtig

Have something to say?

Join the community by quickly registering to participate in this discussion. We'd like to see you joining our great moo-community!

Hi,
Danke für die Antwort. Verstehe ich aber nicht so recht. Der Client fragt ja nicht smtp.* o. imap.* ab, sondern mail.. Wo habe ich da ein Verständnisproblem?
Habe die Ergänzung jetzt trotzdem hinzugefügt, aber im DNS steht ebend nur mail.
kopf kratz

    • DocFraggle

      • Community Hero
      Moolevel 243
    • Post #4
    • This post is in German

    delphi99 Der Client fragt ja nicht smtp.* o. imap.* ab

    Das war alzles Beispiel gedacht falls Du mehrerer Subdomains benutzt

      • esackbauer

        • Community Hero
        Moolevel 346
      • Post #5
      • This post is in German

      Wenn auf auf ENABLE_SSL_SNI=y stellst musst du alle Zertifikate neu anfordern.
      Hast du das gemacht, bzw ist das passiert?

      Hi,
      ich ging davon aus, dass das nach einem Neustart automatisch passiert. Es existieren ja die domainspezifischen Unterverzeichnisse für die Zertifikate mit den entsprechenden Dateien.
      kopf kratz
      Danke

        • esackbauer

          • Community Hero
          Moolevel 346
        • Post #7
        • This post is in German

        delphi99 Es existieren ja die domainspezifischen Unterverzeichnisse für die Zertifikate mit den entsprechenden Dateien.

        Ok, wenn die existieren und funktionsfähige Zertifikate enthalten, dann hat das funktioniert.

          typische Antwort der IT (ich schließe mich da mit ein…): eigentlich sollte das funktionieren ;-)

          Gibt es noch irgendwelche Möglichkeiten zur erweiterten Fehlersuche? docker ist leider nicht so mein Spezialgebiet :-/

          • esackbauer

            • Community Hero
            Moolevel 346
          • Post #9
          • This post is in German

          Autodiscover und Autoconfig DNS Namen hast du auch für alle Domains angelegt?
          Tritt der Fehler nur mit dem EM Client auf?

          • DocFraggle

            • Community Hero
            Moolevel 243
          • Post #10
          • Edited
          • This post is in German

          Das ENABLE_SSL_SNI=y brauchst Du ja eigentlich nicht unbedingt… zumindest nicht wenn Du weniger als 100 SANs hast.

          Ich selbst habe 12 Domains und o.g. Config ala

          ADDITIONAL_SAN=mail.*,smtp.*,imap.*

          ohne ENABLE_SSL_SNI.

          docs.mailcow.email Icon Die Erneuerung hast Du schon mal erzwungen?

          docs.mailcow.email Icon docs.mailcow.email
          Erweitertes SSL - mailcow: dockerized Dokumentation
          None
          docs.mailcow.email

          Ein Blick ins Log des ACME Containers hilft auch meistens

          • Ddelphi99

              Moolevel 3
            • Post #11
            • Edited
            • This post is in German

            HI,
            acme log hilft nicht viel, die Zertifikate werden ja anstandslos erstellt. Oder muss ich da auf irgendwelche Besonderheiten achten?
            Das mit autodiscover und autoconfig muss ich erst überprüfen. Wird heute nix mehr.

            vlcht. mache ich mir eine VM und probiere es dort mal mit Thunderbird. Mal sehen, was der dazu sagt.

            • DocFraggle

              • Community Hero
              Moolevel 243
            • Post #12
            • Edited
            • This post is in German

            So wie ich Deinen ersten Post verstanden fehlen im SSL Zertifikat alle Domain SANs die nicht Deiner Hauptdomain entsprechen (also der Domain mit der Deine mailcow aufgesetzt wurde).

            mail.domain1.tld ist da
            mail.domain2.tld ist nicht da
            etc.

            Wenn Du aber o.g. Parameter gesetzt hast (und DNS passt) muss es ja einen Grund haben warum die fehlen, und den solltest Du im ACME Log sehen.

            Evtl verstehe ich auch nicht was Du meinst 🙂

            vlcht. mache ich mir eine VM und probiere es dort mal mit Thunderbird. Mal sehen, was der dazu sagt.

            Hi,
            SSL check auf den mailcow-Host gibt nur sich selbst als Alt-Name zurück. Bei check des expliziten mailhosts taucht auch nur dieser auf. Scheint soweit alles ok zu sein. Da ich ja auf SNI umgestellt habe, dürften m.M. nach keine weiteren Alt-Names auftauchen, oder?

            Aber, aber, aber:
            I.Z. mit meiner Suche nach mailcow/autodiscover bin ich auf den Hinweis gestossen, die URL https://mail.DOMAIN.COM./.well-known/autoconfig/mail/config-v1.1.xml zu prüfen.
            Und siehe da, mit meinen Daten für eine der Domains (ohne den punkt hinter .com), taucht an allen relevanten Stellen der mailcow-Host auf anstatt des Domain-Hosts :-(

            Im DNS habe ich nur den A- und MX-Record drin stehen, zusätzl. SPF und DKIM.
            Ich habe nun jetzt mal testweise für eine Domain autodiscover und autoconfig hinzugefügt.
            Was muss ich jetzt im Client tun, um die Änderung zu testen?

            Danke Euch.

            No one is typing