那些遇到过的问题

一个 IP 上的 Postfix、多域和多证书

DSX*_*DSX 8 ssl postfix ssl-certificate

我有一个 postfix 服务器,它有多个域,我想每个都有一个特定的证书。我的服务器只有一个IP。

我找到了一个多 IP 的解决方案,但没有我不知道如何做到这一点。

  • 服务器:Debian 9
  • 后缀:3.1.8

小智 12

如果您使用 Postfix >=3.4,请考虑以下改编自此链接的步骤:

Step 1: Comment out the top two lines and add the follow lines to /etc/postfix/main.cf:

---
# smtpd_tls_cert_file = /etc/pki/dovecot/certs/dovecot.pem
# smtpd_tls_key_file = /etc/pki/dovecot/private/dovecot.pem

# provide the primary certificate for the server, to be used for outgoing connections (note the indentation)
smtpd_tls_chain_files =
    /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem,
    /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem

# provide the map to be used when SNI support is enabled
tls_server_sni_maps = hash:/etc/postfix/vmail_ssl.map
---

Step 2: Create the file /etc/postfix/vmail_ssl.map with the following:

---
# Compile with postmap -F hash:/etc/postfix/vmail_ssl.map when updating
# One host per line
mail.yourprimarymailserverdomain.com /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem
mail.yoursecondarymailserverdomain.com /etc/letsencrypt/live/mail.yoursecondarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yoursecondarymailserverdomain.com/fullchain.pem
# add more domains with keys and certs as needed
---

Step 3: Run postmap -F hash:/etc/postfix/vmail_ssl.map.

Step 4: Run systemctl restart postfix.

Step 5: Now test your domains' SSLs! For each of your domains, run the following command: openssl s_client -connect localhost:25 -servername mail.mydomainname.com -starttls smtp
Run Code Online (Sandbox Code Playgroud)

per*_*ris 8

对于那些不知道的人来说,每次证书更改时都需要重建 SNI 表,因为生成用于导入postmap -F文件内容的基础表(它不仅仅存储对文件名的引用)。

postmap -F hash:/etc/postfix/tls_server_sni_maps.map

San*_*ton 4

据我所知,postfix 中没有可用的 SNI。然而。文档 ( http://www.postfix.org/TLS_README.html ) 说“没有计划在 Postfix SMTP 服务器中实现 SNI”,尽管 Victor 在 1 月份提到他希望在 postfix 3.4 中添加 SNI 支持。备择方案 :

  • 多个IP
  • 包含所有域名的证书。

此外,为所有域使用相同的 MX 也没有什么问题。MX 主机名是您的服务域或其他名称。还将 helo/ehlo 名称配置为相同/相似的主机名。如果这对 GoogleApps 和其他主要电子邮件提供商有好处,那么对我们也有好处。

归档时间:

查看次数:

8665 次

最近记录:

4 年,11 月 前
相关归档
从 aws 证书管理器下载 SSL 证书 49
Postfix 无法传送到用户的 Maildir 6
postfix/smtp:致命:未知服务:smtp/tcp – 但 /var/spool/postfix/etc/services 存在 5
SSL - 如何使 http 和 https 都能工作 4
保护仅 SVN 的服务器 3
从死机恢复 SSL 密钥 3
如何在 Postfix 2.11 中强制使用一组自己的密码? 3
恢复我的 SSL 证书的密码? 0
购买的 ssl 证书上的 ssl 地址不匹配 0
无法从 Exchange 向 Postfix 获取电子邮件 0
难疑归档
为什么我需要 Nginx 和 Gunicorn 之类的东西? 268
权限被拒绝(公钥)。从本地 Ubuntu 到 Amazon EC2 服务器的 SSH 227
“在known_hosts 中添加正确的主机密钥”/每个主机名有多个ssh 主机密钥? 179
什么限制了 Linux 服务器上的最大连接数? 96
Splunk 的替代品? 76
nginx 的“主线”和“稳定”分支有什么区别? 68
磁带机的优势是什么? 62
如何从客户端测试 LDAP 连接 61
ping 尝试时“TTL 在传输中过期”是什么意思? 58
如何设置一个假的 SMTP 服务器来捕获所有邮件? 55