Schutz von Webmail und E-Mails mithilfe eines SSL/TLS-Zertifikats¶
E-Mails und Anmeldeinformationen können abgefangen, gelesen und manipuliert werden. Ihre vertraulichen Informationen werden dabei kompromittiert. Vermeiden Sie solche Angriffe, indem Sie E-Mail-Verbindungen mit SSL/TLS-Zertifikaten schützen. In diesem Artikel erfahren Sie, welche Verbindungen geschützt werden sollten und wie das funktioniert.
Auf dem Weg vom Absender zum Empfänger kann eine E-Mail an mehreren Stellen kompromittiert werden. Über SSL/TLS-Zertifikate werden vertrauliche Daten geschützt, indem Verbindungen verschlüsselt werden. Für einen Rundumschutz von E-Mails verwenden Sie am besten SSL/TLS-Zertifikate, um alle Schritte der Übertragung zu schützen:
- Verbindung zwischen dem Browser eines Benutzers und Webmail, das auf einem Webserver ausgeführt wird. Wir nennen diesen Vorgang hier einfach „Webmail schützen“.
- Verbindung zwischen dem Plesk Mailserver und dem Sender-MTA. Wir nennen diesen Vorgang hier einfach „Plesk Mailserver schützen“.
1 Securing Webmail¶
Wenn Sie über Webmail auf Ihr Postfach zugreifen, wird eine Verbindung zwischen Ihrem Browser und dem Webmail auf einem Webserver hergestellt. Um die übertragenen E-Mails und Anmeldedaten zu schützen, ist Webmail standardmäßig über die gleichen selbstsignierten SSL/TLS-Zertifikate geschützt wie Plesk. Über diese selbstsignierten SSL/TLS-Zertifikate werden die übertragenen Daten verschlüsselt. Wenn Sie jedoch auf Webmail zugreifen, sehen Sie jedes Mal eine Warnmeldung, in der auf ein nicht vertrauenswürdiges SSL/TLS-Zertifikat hingewiesen wird. Damit diese Meldung nicht mehr angezeigt wird, müssen Sie ein gültiges SSL/TLS-Zertifikat für Webmail installieren.
So schützen Sie Webmail mit einem SSL/TLS-Zertifikat:
Rufen Sie ein SSL/TLS-Platzhalterzertifikat oder ein SAN-Zertifikat ab, mit dem Sie
webmail.<domain>
in SAN konfigurieren können. Gehen Sie dabei so vor:- Rufen Sie ein kostenloses Platzhalterzertifikat von Let’s Encrypt ab. Wenn Sie diese Option auswählen, überspringen Sie Schritt 2.
Bemerkung
Wir empfehlen diese Option, da über ein Platzhalterzertifikat alle E-Mail-Verbindungen geschützt werden können.
- Erwerben Sie ein Zertifikat über eine Zertifizierungsstelle.
- Sie können auch ein Zertifikat hochladen, das Sie bereits besitzen.
Gehen Sie zu E-Mail > Tab „E-Mail-Einstellungen“, klicken Sie auf den Domainnamen, wählen Sie das SSL/TLS-Zertifikat für Webmail aus und klicken Sie dann auf OK.
2 Securing the Mail Server in Plesk¶
Wenden Sie sich an Ihren Hosting-Provider, um herauszufinden, ob der Plesk Mailserver mit einem gültigen SSL/TLS-Zertifikat geschützt wird. Dabei handelt es sich jedoch nicht um ein selbstsigniertes SSL/TLS-Zertifikat, mit dem der Mailserver standardmäßig geschützt wird. Ziel ist es, die Verbindung zwischen dem Plesk Mailserver und dem Absender-MTA zu verschlüsseln, damit eingehende E-Mails nicht abgefangen werden können.
Wenn Sie jedoch nicht für einen dedizierten Server bezahlen, hat ein kostenloses Zertifikat auch Nachteile. Wenn Sie auf das Postfach zugreifen, sehen Sie eine Warnmeldung, in der auf ein nicht vertrauenswürdiges SSL/TLS-Zertifikat hingewiesen wird. Dies ist darauf zurückzuführen, dass der E-Mail-Client eine Abweichung zwischen dem Domainnamen im Zertifikat (Domainname des Plesk Servers) und dem Domainnamen der E-Mail erkennt. Daher sehen die meisten E-Mail-Clients das Mailserver-Zertifikat als nicht vertrauenswürdig an.
Wenn Sie die Postfix- und Dovecot-E-Mail-Clients (in Plesk für Linux) und MailEnable (in Plesk für Windows) verwenden, können Sie die Abweichung der Zertifikate beheben, indem Sie Ihrem individuellen E-Mail-Konto für die Domain ein SSL/TLS-Zertifikat zuweisen.
Für andere E-Mail-Clients (wie qmail oder Courier) ist dies derzeit nicht möglich. Ob die Verbindung zum Mailserver geschützt ist, hängt davon ab, wie Ihr E-Mail-Client nicht vertrauenswürdige Zertifikate behandelt:
- Eine Verbindung zwischen dem E-Mail-Client und dem Mailserver wurde über SSL/TLS hergestellt. Eine Warnmeldung wird möglicherweise angezeigt, in der Sie darauf hingewiesen werden, dass ein Zertifikat nicht vertrauenswürdig ist. In diesem Fall wird die Verbindung verschlüsselt und übertragene E-Mails werden davor geschützt, abgefangen zu werden.
- Der E-Mail-Client stellt keine Verbindung zum Mailserver über SSL/TLS her und Sie müssen eine nicht verschlüsselte Verbindung verwenden. In diesem Fall können Ihre übertragenen E-Mails abgefangen werden. Wir empfehlen, dass Sie zu einem E-Mail-Client wechseln, der Verbindungen über SSL/TLS zulässt, auch wenn das Zertifikat nicht vertrauenswürdig ist.
Bemerkung
Es gibt eine weitere Möglichkeit, diese Abweichung der Zertifikate zu lösen. Wenn Sie den Mailserver in Plesk verwenden, können Sie Ihren E-Mail-Client so konfigurieren, dass der Domainname des Servers genutzt wird. Beispiel: Die Serverdomain ist server.com
und Ihre Domain lautet example.com
. Wenn der Mailserver über ein SSL/TLS-Zertifikat geschützt ist, das server.com
zugewiesen ist, ändern Sie den Domainnamen des Mailservers in den Einstellungen des E-Mail-Clients von mail.example.com
in server.com
.
3 Assigning an SSL/TLS certificate to Mail for a Domain¶
Wenn Sie die Postfix- und Dovecot-E-Mail-Clients (in Plesk für Linux) und MailEnable (in Plesk für Windows) verwenden, können Sie E-Mails für eine Domain mit einem individuellen SSL/TLS-Zertifikat schützen. Wir empfehlen diese Vorgehensweise, wenn Ihr E-Mail-Client eine Warnmeldung anzeigt, in der darauf hingewiesen wird, dass das SSL/TLS-Zertifikat für den Mailserver-Schutz nicht überprüft werden kann. Wenn Sie E-Mails für eine Domain mit einem individuellen SSL/TLS-Zertifikat schützen, gibt der Mailserver das Zertifikat zum Schutz Ihrer E-Mails zurück und nicht das serverweite Zertifikat, das von Ihrem Hosting-Provider zugewiesen wurde. Die Warnmeldung wird dann nicht mehr angezeigt.
Bemerkung
Über das SSL/TLS-Zertifikat für E-Mails in einer Domain wird die Verbindung nur verschlüsselt, wenn der Plesk Mailserver auch über ein SSL/TLS-Zertifikat geschützt ist. Wenden Sie sich an Ihren Hosting-Provider, um herauszufinden, ob der Plesk Mailserver mit einem gültigen SSL/TLS-Zertifikat geschützt wurde.
So schützen Sie E-Mails für eine Domain mit einem SSL/TLS-Zertifikat:
Rufen Sie ein SSL/TLS-Platzhalterzertifikat oder ein SAN-Zertifikat ab, mit dem Sie
mail.<domain>
in SAN konfigurieren können. Gehen Sie dabei so vor:- Rufen Sie ein kostenloses Platzhalterzertifikat von Let’s Encrypt ab.
Bemerkung
Falls Sie bereits ein SSL/TLS-Platzhalterzertifikat für Webmail abgerufen haben, gehen Sie zu Schritt 2, um die E-Mails für Ihre Domain mit diesem Zertifikat zu schützen.
Bemerkung
Wir empfehlen, ein kostenloses SSL/TLS-Platzhalterzertifikat von Let’s Encrypt abzurufen, da mit diesem Zertifikat nicht nur E-Mails für eine Domain, sondern auch Webmail, die Domain selbst sowie mehrere Subdomains (falls notwendig) geschützt werden können.
- Erwerben Sie ein Zertifikat über eine Zertifizierungsstelle.
- Sie können auch ein Zertifikat hochladen, das Sie bereits besitzen.
Gehen Sie zu E-Mail > Tab „E-Mail-Einstellungen“, klicken Sie auf den Domainnamen, wählen Sie das SSL/TLS-Zertifikat für E-Mails aus und klicken Sie dann auf OK.