-- StefanHegger - 18 Apr 2021

Da ich meinen E-Mail Server demnächst auf Debian Stretch upgraden möchte, beschäftige ich mich gerade mit ein paar (neuen) Einstellungen und Möglichkeiten. Bisher nutzte ich für die TLS <-> TLS Kommunikation zwischen E-Mail-Servern ein selbst ausgestelltes Zertifikat. Das wollte ich nun endlich mal ändern und habe mich kurz mit dem Certbot beschäftigt, der sich unter anderem dazu eignet, auf einem E-Mail Server ein Let’s Encrypt TLS-Zertifikat zu beantragen.

Die Schritte auf Debian Wheezy sind denkbar einfach.

Ordnerstruktur und Download:

mkdir /opt/certbot 
cd /opt/certbot 
wget https://dl.eff.org/certbot-auto 
chmod a+x certbot-auto

Zertifikat für die Domain »mail.geheggert.de« (ohne Webserver (systemctl stop apache2) beantragen:

/opt/certbot/certbot-auto certonly --standalone --rsa-key-size 4096 -d mail.geheggert.de

Einbinden in Postfix und Dovecot:

/etc/letsencrypt/live/mail.geheggert.de/fullchain.pem
/etc/letsencrypt/live/mail.geheggert.de/privkey.pem

Wichtig: dovecot einmal durchstaren, sonst werden nicht die neuen Zertifikate übernommen.

Cronjob für die automatische Erneuerung:

/opt/certbot/certbot-auto certonly --standalone --force-renewal -d mail.geheggert.de --post-hook "/etc/init.d/dovecot reload; /etc/init.d/postfix reload" | mailx -E'set nonullbody' -s "Let's Encrypt - [Mailserver]" root@localhost

Manuell erneuern

certbot --expand -d mail.sok-it.de

Prüfen:

openssl s_client -connect mail.geheggert.de:25 -starttls smtp
openssl s_client -connect mail.geheggert.de:993