Auteur Topic: Breinkraker: 2e certificaat voor extra (mail)domein?  (gelezen 1956 keer)

Offline OSXtv

  • Bedankjes
  • -Gegeven: 26
  • -Ontvangen: 6
  • Berichten: 90
Breinkraker: 2e certificaat voor extra (mail)domein?
« Gepost op: 08 februari 2023, 18:23:53 »
Hallo allemaal,

Ik ben Mail Server aan het ontdekken op een DS218j. Ik heb de instructies van @Briolet gevolgd in het grote Mail Server topic.

Ik heb nu draaiend:
- Ziggo particuliere aansluiting met (nu nog) een dynamisch IP adres. Uitgaande poort 25 niet beschikbaar
- 1 eigen testdomein bij een domein hosting provider: "hutspot.nl" (fictief)
- DS218j met Mail Server (niet MailPlus, maar dat komt later wanneer de nieuwe Synology DS920+ arriveert: MailPlus is immers enkel verkrijgbaar op + modellen)
- Een Synology DDNS adres "boerenkool.synology.me" (ook fictief) ingeschakeld
- Ziggo SMTP relay poort 587
In settings van domein hosting provider:
- MX record naar "boerenkool.synology.me"
- SPF record naar mx
- CNAME record voor "mail.hutspot.nl" naar "boerenkool.synology.me"
- In DSM een Lets Encrypt certificaat voor "mail.hutspot.nl"

Werkend: mail ontvangen én versturen, certificaat werkt ook.
bijvoorbeeld: frits@hutspot.nl, kees@hutspot.nl enz.

MAAR: nu heb ik een domein "stamppot.nl" (ook fictief) toegevoegd.
Ik kan nu ook mailadressen gebruiken als johan@stamppot.nl, leo@stamppot.nl enz.

Werkend: mail ontvangen én versturen, certificaat werkt niet, want ik kan maar 1 certificaat koppelen aan de service-onderdelen "Mailserver-dovecot" en "Mailserver-postfix", zie plaatje.

Ik heb dus een tweede Mailserver "service" nodig die hoort bij "mail.stamppot.nl", zodat ik een bijbehorend certificaat kan koppelen.

Hoe maak ik zo'n extra Mailserver service?

Een vriend van mij heeft dit voor elkaar gekregen. De service heeft dan de naam van het domein (dus i.c. "stamppot.nl") en daaraan kan dan het certificaat worden gekoppeld. Hij weet helaas niet meer hoe hij dit gefixt heeft.

N.B. hij gebruikt MailPlus, maar omdat dit een instelling is in DSM -> beveiliging veronderstel ik dat Mail Server of MailPlus Server niet uitmaakt.

Ik zie uit naar jullie reacties!!
  • Mijn Synology: DS720+
  • HDD's: 2x Samsung EVO 250GB
Groeten, Pieter

Synology DS720+
Synology DS218j (remote backup)
Synology DS119j (lokale backup)
Synology 415play (pensioen)
pfSense, UniFi, Canon dSLR, iOS+macOS, G-Technology

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Breinkraker: 2e certificaat voor extra (mail)domein?
« Reactie #1 Gepost op: 08 februari 2023, 22:04:16 »
Citaat
- In DSM een Lets Encrypt certificaat voor "mail.hutspot.nl"

In Let's Encrypt kun je extra domeinnamen opnemen in het 'alternate' veld.  Daar kun je dus mail.stamppot.nl toevoegen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline OSXtv

  • Bedankjes
  • -Gegeven: 26
  • -Ontvangen: 6
  • Berichten: 90
Re: Breinkraker: 2e certificaat voor extra (mail)domein?
« Reactie #2 Gepost op: 08 februari 2023, 22:23:37 »
Beste @Briolet, hartelijk dank voor je reactie! Het certificaat was al eerder gelukt, alleen kan ik het niet koppelen aan een service. En ik zoek een manier om de service die overeenkomt met het 2e domein te kunnen koppelen.

Over je tip van het certificaat: bijgaand een schermafbeelding met de manier waarop ik al mijn certificaten aanvraag. Misschien doe ik het niet goed?

Bijgaand een nieuw plaatje met wat ik nodig heb.

Dank!
  • Mijn Synology: DS720+
  • HDD's: 2x Samsung EVO 250GB
Groeten, Pieter

Synology DS720+
Synology DS218j (remote backup)
Synology DS119j (lokale backup)
Synology 415play (pensioen)
pfSense, UniFi, Canon dSLR, iOS+macOS, G-Technology

Offline OSXtv

  • Bedankjes
  • -Gegeven: 26
  • -Ontvangen: 6
  • Berichten: 90
Re: Breinkraker: 2e certificaat voor extra (mail)domein?
« Reactie #3 Gepost op: 08 februari 2023, 23:19:29 »
Ik heb nog even nagedacht. Er móet een service beschikbaar komen in de lijst met certificaatkoppelingen (zie mijn schermafbeelding) wanneer je een extra domein toevoegt in Mail Server. Maar in mijn 218j configuratie komt die er niet wanneer ik een extra domein toevoeg in Mail Server.

Het zou kunnen zijn dat hiervoor toch MailPlus nodig is. Die vriend van mij draait MailPlus en aanvankelijk dacht ik dat dat niet uit zou moeten maken, maar ik heb vandaag geconstateerd dat de wijze van werken met meerdere domeinen één van de wezenlijke verschillen is tussen Mail Server en MailPlus Server.

Want:
In Mail Server leidt het toevoegen van een extra domein er enkel toe dat er daarmee ook mail geaccepteerd wordt vanuit dat 2e domein.
In MailPlus Server kun je echter ook:
- Users koppelen per domein
- Aliassen maken per domein
- SPF / DKIM enz. instellen/sleutels genereren per domein

Dus:
Wie weet kun je ook per domein een certificaat aanmaken, of misschien komt er bij gebruik van MailPlus wel automatisch een "entry" van dat 2e domein in de certificaatkoppelingen in DSM.

Het lijkt me daarom verstandig om eerst nog eens op zijn systeem e.e.a. te experimenteren.
  • Mijn Synology: DS720+
  • HDD's: 2x Samsung EVO 250GB
Groeten, Pieter

Synology DS720+
Synology DS218j (remote backup)
Synology DS119j (lokale backup)
Synology 415play (pensioen)
pfSense, UniFi, Canon dSLR, iOS+macOS, G-Technology

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Breinkraker: 2e certificaat voor extra (mail)domein?
« Reactie #4 Gepost op: 09 februari 2023, 00:13:21 »
Bij mail plus is de scheiding van domeinen idd beter doorgevoerd. 

Ook bij iets als dkim, gebruikt Mail Server één public key voor alle domeinen. In de plus versie kun je per domein een apart key-paar aanmaken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline OSXtv

  • Bedankjes
  • -Gegeven: 26
  • -Ontvangen: 6
  • Berichten: 90
Re: Breinkraker: 2e certificaat voor extra (mail)domein?
« Reactie #5 Gepost op: 09 februari 2023, 22:01:12 »
Ik heb een DS923+ besteld bij CoolBlue (€634). Ik kan dus dit weekend zelf aan de slag met een "+" model en dus met MailPlus.

Mijn redenatie was steeds dat als je meer dan 1 (mail)domein hebt, dat je dus automatisch niet voor alle domeinen dezelfde mailservernaam kunt gebruiken. En dat betekent weer dat je niet met één certificaat kunt volstaan voor alle domeinen: een certificaat is immers direct gekoppeld aan de FQDN van de mail server.

Wanneer ik echter kijk naar de mail server van mijn huidige mail/domein/web provider, dan moet ik voor alle drie mail domeinen dezelfde mail server gebruiken: mail.mihos.net. Kennelijk komt al het SMTP verkeer via één FQDN binnen en wordt het vervolgens gedistribueerd naar het juiste domein (en dus de juiste mailbox). Wellicht gebruiken ze daar een proxy voor.

Ik ben benieuwd naar de 923+!
  • Mijn Synology: DS720+
  • HDD's: 2x Samsung EVO 250GB
Groeten, Pieter

Synology DS720+
Synology DS218j (remote backup)
Synology DS119j (lokale backup)
Synology 415play (pensioen)
pfSense, UniFi, Canon dSLR, iOS+macOS, G-Technology

Offline OSXtv

  • Bedankjes
  • -Gegeven: 26
  • -Ontvangen: 6
  • Berichten: 90
Re: Breinkraker: 2e certificaat voor extra (mail)domein?
« Reactie #6 Gepost op: 10 februari 2023, 01:35:51 »
@Briolet het probleem is opgelost: er was in mijn hoofd een misverstand. Maar ik heb nu mijn eigen brein gekraakt:

Bij het configureren van het 1e mail domein “hutspot.nl” in Mail Server heb ik in de DNS instellingen van het domein “hutspot.nl” een CNAME “mail.hutspot.nl” aangemaakt die naar mijn WAN IP adres wijst (boerenkool.synology.me).

Logischerwijs heb ik dus bij het configureren van de mail CLIENT voor het email adres “cor@hutspot.nl” de naam “mail.hutspot.nl” gebruikt als server voor inkomende post. Dat was goed.

Het ging in mijn hoofd mis toen ik het 2e mail domein “stamppot.nl” ging toevoegen in Mail Server. Toen wilde ik een mail CLIENT account maken voor mail adres “joris@stamppot.nl”. Bij de vorige waren de FQDN’s van email adres en mail server allebei “hutspot.nl” dus mijn brein dacht dat die twee altijd gelijk moesten zijn. Dus ik vulde bij server inkomende post deze keer  "mail.stamppot.nl" in toen ik het mail CLIENT account voor mail adres “joris@stamppot.nl” ging maken.

Maar dat hoeft natuurlijk niet, weet ik nu. De FQDN van de mail server die ik kies om bij de Synology uit te komen is gewoon een domeinnaam die verwijst naar het IP adres van mijn WAN aansluiting. Ik zou daarvoor net zo goed mijn boerenkool.synology.me DDNS naam voor kunnen gebruiken of een willekeurig ander domein kopen en naar mijn IP adres laten verwijzen (alleen zou dat onnodig geld kosten).

Maar goed, dat had ik dus even niet door.

Nu heb ik voor het mail CLIENT account van “joris@stamppot.nl” als server inkomende post gewoon “mail.hutspot.nl” ingevuld en dan komt de mail ook gewoon binnen.

En ik heb dan dus ook maar één certificaat nodig, namelijk voor “mail.hutspot.nl”.

Sorry dat ik je aandacht heb gevraagd voor iets wat ik verkeerd heb begrepen. Wel fijn dat het is opgelost.
  • Mijn Synology: DS720+
  • HDD's: 2x Samsung EVO 250GB
Groeten, Pieter

Synology DS720+
Synology DS218j (remote backup)
Synology DS119j (lokale backup)
Synology 415play (pensioen)
pfSense, UniFi, Canon dSLR, iOS+macOS, G-Technology

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Breinkraker: 2e certificaat voor extra (mail)domein?
« Reactie #7 Gepost op: 10 februari 2023, 10:04:05 »
Of je één certificaat nodig hebt, ligt er vooral aan in hoeverre je het bestaan van het andere domein voor je gebruikers wilt verbergen.

Zoals ik al eerder schreef kun je bij Let's Encrypt meerdere domeinen op één certificaat zetten. Let's encrypt laat er 50 toe, maar DSM limiteert dat door hun invulveld tot 256 karakters in totaal. In de praktijk zijn het er dan ca 10 stuks, afhankelijk van de lengte van de domeinnamen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline OSXtv

  • Bedankjes
  • -Gegeven: 26
  • -Ontvangen: 6
  • Berichten: 90
Re: Breinkraker: 2e certificaat voor extra (mail)domein?
« Reactie #8 Gepost op: 10 februari 2023, 18:35:34 »
Of je één certificaat nodig hebt, ligt er vooral aan in hoeverre je het bestaan van het andere domein voor je gebruikers wilt verbergen.
Die snap ik even niet. Bedoel je hiermee te zeggen dat je eigenlijk wel voor elk domein een certifcaat nodig hebt, aparte dan wel gecombineerd ?
 
Ik was juist tot de conclusie gekomen dat het 2e (stamppot.nl) en evt 3e (spruitjes.nl) mail domein helemaal geen certificaat nodig heeft, omdat er voor het ophalen en versturen van mail met @stamppot.nl en @spruitjes.nl domeinuitgangen geen andere verbinding wordt gemaakt dan die eerste verbinding voor @hutspot.nl. Mail met  @stamppot.nl en @spruitjes.nl domeinuitgangen komt immers in dezelfde Synology aan op hetzelfde publieke IP adres dat ik heb van Ziggo, dus ik kan voor alle 3 de maildomeinen gewoon 1 FQDN mail server domeinnaam gebruiken, namelijk mail.hutspot.nl. En daar hoort dan één certifcaat bij.

N.B.  het tweede en derde domein worden uitsluitend gebruikt voor mail (MX), niet voor web of andere services op de synology. Ik gebruik ze dus ook niet om van buiten een verbinding met de synology te maken. Daar heb ik een andere domeinnaam voor (menukaart.nl, ook fictief), met subdomeinen "synology@menukaart.nl", "drive@menukaart.nl", "photos@menukaart.nl", "filestation@menukaart.nl" en nog een paar.

Ik dacht daarom dus eigenlijk dat de DNS records voor het 2e (stamppot.nl) en 3e (spruitjes.nl) mail domein enkel worden gebruikt door externe mail servers om informatie op te halen over naar welk IP adres de mail moet en of er SPF/DKIM/DMARC records zijn voor de spam score. Die verbindingen lopen via de domein provider dus daar hoef ik geen certificaat voor te maken. Ik heb enkel een certificaat nodig voor die ene verbinding voor alle mailverkeer naar boerenkool.synology.me.

Op dit moment komt alle mail van mijn twee testdomeinen netjes binnen (en ook uitgaand) via mail.hutspot.nl, met 1 certificaat. Ik krijg geen meldingen van mijn mailclient dat er een onveilige verbinding is, terwijl ik die wel kreeg toen ik nog geen enkel certificaat had aangemaakt (toen werd het standaard synology self signed certificaat gebruikt voor de Synology mail services MailServer-dovecot en MailServer-postfix.

Als ik toch nog een denkfout maak hoor ik het graag.

Zoals ik al eerder schreef kun je bij Let's Encrypt meerdere domeinen op één certificaat zetten. Let's encrypt laat er 50 toe, maar DSM limiteert dat door hun invulveld tot 256 karakters in totaal. In de praktijk zijn het er dan ca 10 stuks, afhankelijk van de lengte van de domeinnamen.
Nooit geweten. Interessant wel!
  • Mijn Synology: DS720+
  • HDD's: 2x Samsung EVO 250GB
Groeten, Pieter

Synology DS720+
Synology DS218j (remote backup)
Synology DS119j (lokale backup)
Synology 415play (pensioen)
pfSense, UniFi, Canon dSLR, iOS+macOS, G-Technology

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Breinkraker: 2e certificaat voor extra (mail)domein?
« Reactie #9 Gepost op: 10 februari 2023, 22:13:54 »
Het lijkt me toch duidelijk. 

Als jij het mail account voor de VVD en de PvdA beheert, dan zullen beide partijen het niet leuk vinden als je een certificaat hebt waar zowel pvda.nl en vvd.nl in staat. Het is dan netter richting beide doelgroepen een apart certificaat te gebruiken, hoewel dat technisch niet nodig is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline OSXtv

  • Bedankjes
  • -Gegeven: 26
  • -Ontvangen: 6
  • Berichten: 90
Re: Breinkraker: 2e certificaat voor extra (mail)domein?
« Reactie #10 Gepost op: 11 februari 2023, 01:36:29 »
Oké, ofwel ik begrijp je niet, ofwel ik vraag me af: hebben we het over hetzelfde vraagstuk?

In jouw pvda /vvd voorbeeld heb ik een mail server waar van beide partijen mail binnenkomt. Dit komt doordat er voor beide partijen een domeinregistratie is met in de DNS instellingen een MX record naar mijn WAN IP en Synology mail server accepteert mails van beide domeinen.  de mail komt binnen en wordt opgeslagen op de Synology mail server in de homes mappen.

Tot zover zijn er geen certificaten nodig toch?

Vervolgens willen de klanten bij beide partijen hun mail ophalen en versturen.

Ik registreer daartoe een nieuw domein “osxtv.nl”, maak in de DNS instellingen een CNAME record mail.osxtv.nl en verwijs daar naar mijn WAN IP. Voor “osxtv.nl” maak ik een certificaat met een sub “mail.osxtv.nl” en koppel dat aan de Synology mail services.

De mail cliënts van de pvda en vvd leden worden geconfigureerd met “mail.osxtv.nl“ als server inkomende post en server uitgaande post. Ieder haalt alleen z’n eigen mail op.

Waar heb ik dan aparte certificaten  voor pvda en vvd nodig?
  • Mijn Synology: DS720+
  • HDD's: 2x Samsung EVO 250GB
Groeten, Pieter

Synology DS720+
Synology DS218j (remote backup)
Synology DS119j (lokale backup)
Synology 415play (pensioen)
pfSense, UniFi, Canon dSLR, iOS+macOS, G-Technology

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Breinkraker: 2e certificaat voor extra (mail)domein?
« Reactie #11 Gepost op: 11 februari 2023, 11:16:06 »
Citaat
De mail cliënts van de pvda en vvd leden worden geconfigureerd met “mail.osxtv.nl“

Je wilt natuurlijk altijd met je eigen domeinaam naar je mail.  In het groot gebeurt dit ook bij de meeste grote mailservers die voor bedrijven de mail verzorgen. Elke klant krijgt dan een eigen certificaat zodat ze hun mail via hun eigen domein kunnen benaderen.

Maar zoals ik in het begin al schreef: Dit hangt er vanaf of je wel/niet wilt dat gebruikers van elkaars domeinnaam weten.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline OSXtv

  • Bedankjes
  • -Gegeven: 26
  • -Ontvangen: 6
  • Berichten: 90
Re: Breinkraker: 2e certificaat voor extra (mail)domein?
« Reactie #12 Gepost op: 11 februari 2023, 13:11:10 »
Ah oké dat hoeft van mij niet per se want ze zijn alle drie van mezelf. Op dat punt waren onze uitgangspunten dus verschillend.

als je dat wilt heb je dus meerdere mail server namen die naar dezelfde Synology wijzen, Bv mail.vvd-mail.nl en mail.PvdA-mail.nl. Even zo gedaan omdat de vvd.nl en PvdA.nl domeinen waarschijnlijk al in gebruik zijn.

Dan krijg je echter wel meteen weer het probleem waar ik dit topic voor ben begonnen: meer dan één mail domeinnaam certificaat koppelen aan de Synology mail services. Dat hoef ik nu voor mijn situatie niet meer op te lossen, maar ik denk eigenlijk niet dat het met Synology mail server op te lossen is. Misschien wel met mailplus, daar moet ik nog in duiken. De nieuwe 923+ is voorzien van twee testschijven (250GB Samsung evo 860 SSD’s) en is klaar voor gebruik.
  • Mijn Synology: DS720+
  • HDD's: 2x Samsung EVO 250GB
Groeten, Pieter

Synology DS720+
Synology DS218j (remote backup)
Synology DS119j (lokale backup)
Synology 415play (pensioen)
pfSense, UniFi, Canon dSLR, iOS+macOS, G-Technology