Um einen Mailserver mit mehreren IP-Adressen und Zertifikaten zu betreiben kann man wie folgt vorgehen.
Postfix mit mehreren IP Adressen und Zertifikaten ausrüsten.
Zuerst entfernen wir die eventuell vorhandenen Konfigurationszeilen smtpd_tls_key_file= und smtpd_tls_cert_file= aus der main.cf.
Dann müssen wir die master.cf folgendermaßen editieren.
Diese Zeilen weisen Postfix an ein unterschiedliches Zertifikat pro IP bereitzustellen. Das Zertifikat wird für den Port 25 und den Submission-Port 587 passend zur IP definiert.
Für den Fall, dass amavis-new über milter aufgerufen wird kann man die Anweisungen (-o smtpd_proxy_filter=127.0.0.1:10024 und -o receive_override_options= ) weglassen.
1.1.1.1:smtp inet n - n - - smtpd -o smtpd_sasl_auth_enable=yes -o smtpd_tls_key_file=/etc/postfix/cert_ip_1.key -o smtpd_tls_cert_file=/etc/postfix/cert_ip_1.crt # amavis-new proxy -o smtpd_proxy_filter=127.0.0.1:10024 -o receive_override_options= 1.1.1.1:submission inet n - n - - smtpd -o smtpd_sasl_auth_enable=yes -o smtpd_tls_key_file=/etc/postfix/cert_ip_1.key -o smtpd_tls_cert_file=/etc/postfix/cert_ip_1.crt -o smtpd_tls_security_level=may -o smtpd_sasl_authenticated_header=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject 2.2.2.2:smtp inet n - n - - smtpd -o smtpd_sasl_auth_enable=yes -o smtpd_tls_key_file=/etc/postfix/cert_ip_2.key -o smtpd_tls_cert_file=/etc/postfix/cert_ip_2.crt # amavis-new proxy -o smtpd_proxy_filter=127.0.0.1:10024 -o receive_override_options= 2.2.2.2:submission inet n - n - - smtpd -o smtpd_sasl_auth_enable=yes -o smtpd_tls_key_file=/etc/postfix/cert_ip_2.key -o smtpd_tls_cert_file=/etc/postfix/cert_ip_2.crt -o smtpd_tls_security_level=may -o smtpd_sasl_authenticated_header=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject
Nach dem Restart von Postfix steht nun pro IP ein anderes Zertifikat bereit.
Submission kann bei Bedarf auch weggelassen werden. Dazu einfach den kompletten Block einkommentieren oder löschen. Weiterhin ist es möglich mit dem Parameter -o myhostname=mailserver_ip1.de unterschiedliche SMTP Banner pro IP zu definieren.
Dovecot mit mehreren IP Adressen und Zertifikaten.
Sinnvoll ist es auch in Dovecot die entsprechenden Zertifikate pro IP zu konfigurieren. Dazu fügen wir in /etc/dovecot/conf.d/10-ssl.conf folgende Zeilen ein.
Achtung! Wichtig ist es, die schon bestehenden default Anweisungen ssl_cert und ssl_key nicht zu löschen.
local 1.1.1.1 { ssl_key = </etc/postfix/cert_ip_1.key ssl_cert = </etc/postfix/cert_ip_1.crt } local 2.2.2.2 { ssl_key = </etc/postfix/cert_ip_2.key ssl_cert = </etc/postfix/cert_ip_2.crt }
Nun stellt Dovecot auch auf den entsprechenden IP Adressen die passenden Zertifikate bereit.
Das gezeigt Beispiel ist auf beliebig viele IP Adressen und Zertifikate ausbaubar.
Hallo, wow – nach Tagen habe ich Deine Anleitung gefunden!
Ich nutze allerdings Plesk und 2 IP Adressen…. Bekomme allerdings ist noch diese Meldung von der mxtoolbox.com
„SMTP Reverse DNS Mismatch, Warning – Reverse DNS does not match SMTP Banner“
Hier mal das ganze Scenario da schon gepostet…. hoffe Du kannst mir bissle weiterhelfen….
http://forum.sp.parallels.com/threads/1-server-2-ips-5-domains-external-dns-provider-smtp-reverse-dns-mismatch.330906/
Grüsse aus Mainz,
Alex
Hi Alex,
dazu musst Du entweder den RDNS für diese IP passend zum SMTP-Banner ändern oder den SMTP-Banner mit der Option -o myhostname=hostname für diese IP anpassen.
Grundsätzlich sollten RDNS und STMP-Banner übereinstimmen.
Diese Anleitung bezieht sich allerdings nicht auf eine Plesk-Installation, da Plesk die Konfigurationen selber schreibt wirst Du bei einem Update oder eine Änderung der Konfiguration vermutlich Probleme bekommen.
Der Artikel bezieht sich auf einen per Hand konfigurierten Postfix bzw. Dovecot.
Ich hoffe ich konnte Dir helfen.