Hoi Gijs, Op 18-09-17 om 11:13 schreef Gijs Hillenius: > Ik antwoord maar even op mijn eigen vraag over LetsEncrypt (LE) en imapd > (cyrus) > > er zijn twee antwoorden: > > 1) it can be done. De manier is kopietjes maken > van het certificaat, en van deze kopietjes de permissies goed zetten. En > dan, als cron het LE certificaat vernieuwt, die kopietjes updaten. > > Waarschuwing: als je dit doet: dan zijn er wellicht mail clients > (waaronder Thunderbird) die omvallen, omdat ze blijkbaar niet kijken > naar nieuwe certs. En dat dus iedere twee maanden weer? > > 2) De vraag is of LE iets toevoegt aan de mail server. Mail servers > vragen niet bij certificate authorities om the latest news re > certificates. > > Kortom, het werkt, maar ik doe het dan toch maar niet.
Zelf gebruik ik bij mailservers nog geen Letsencrypt certificaat. Ik gebruik overigens ook Cyrus Imapd. Hou er ook rekening mee dat je wellicht ook Postfix van een certificaat wilt voorzien, en dat draait in een chroot, en kan daarom niet bij willekeurige mapjes zoals die van Letsencrypt. Ik gebruik daarom altijd de map /etc/postfix/tls/ voor de certificaten. Uiteraard wil ik hier ook graag letsencrypt gaan gebruiken, maar ik ben nog niet zo ver. Wellicht een "hook" maken in het script wat certificaten kopieert, en de betrokken programma's zoals Cyrus en Postfix herstart. Dat programma's problemen geven heb ik nog nooit gemerkt, en ik heb aardig wat klanten die TLS gebruiken op de IMAP en SMTP. Maar weinigen gebruiken IMAPS en SMTPS. Zelf zou ik graag encryptie verplicht willen stellen naar bepaalde SMTP servers waarvan ik weet dat ze encryptie ondersteunen. Denk aan XS4all en Gmail. Maar ik weet nog niet zo goed hoe dat te realiseren. Bij sommige IMAP servers stel ik encryptie al verplicht, dat gaat goed. Nu mijn belangrijkste mailserver nog... Groeten, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://www.vandervlis.nl/
