Dasselbe Let’s Encrypt-Zertifikat, das Ihre Website absichert, kann auch Ihre E-Mail-Verbindungen verschlüsseln. Diese Anleitung behandelt die TLS-Konfiguration für die gängigsten E-Mail-Server.
Warum E-Mail TLS braucht
Ohne TLS wird E-Mail-Verkehr (einschließlich Passwörter und Nachrichteninhalte) als Klartext gesendet:
- SMTP (E-Mail senden) — Port 25/587 standardmäßig unverschlüsselt
- IMAP (E-Mail lesen) — Port 143 standardmäßig unverschlüsselt
- POP3 (E-Mail lesen) — Port 110 standardmäßig unverschlüsselt
TLS verschlüsselt diese Verbindungen genauso wie HTTPS den Web-Traffic verschlüsselt. Moderne E-Mail-Clients erwarten TLS und warnen Benutzer vor unverschlüsselten Verbindungen.
Zertifikatseinrichtung
Sie können dieselben Zertifikatsdateien von GetHTTPS sowohl für Ihren Webserver als auch für Ihren E-Mail-Server verwenden — solange das Zertifikat den Hostnamen Ihres E-Mail-Servers abdeckt (z. B. mail.example.com).
Holen Sie sich ein Zertifikat, das Ihren Mail-Hostnamen abdeckt:
- Fügen Sie in GetHTTPS
mail.example.comhinzu (oder den Hostnamen, auf den Ihr MX-Eintrag zeigt) - Sie können ihn zusammen mit Ihrer Web-Domain einschließen:
example.com+www.example.com+mail.example.com - Laden Sie die Dateien herunter:
fullchain.pem,privkey.pem
Postfix (SMTP)
Bearbeiten Sie /etc/postfix/main.cf:
# TLS für ausgehende E-Mail (Senden)
smtp_tls_security_level = may
smtp_tls_loglevel = 1
# TLS für eingehende E-Mail (Empfangen) — STARTTLS auf Port 25/587
smtpd_tls_cert_file = /etc/ssl/gethttps/fullchain.pem
smtpd_tls_key_file = /etc/ssl/gethttps/privkey.pem
smtpd_tls_security_level = may
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_loglevel = 1
Für Submission (Port 587) bearbeiten Sie /etc/postfix/master.cf:
submission inet n - y - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
Neuladen: sudo systemctl reload postfix
Dovecot (IMAP/POP3)
Bearbeiten Sie /etc/dovecot/conf.d/10-ssl.conf:
ssl = required
ssl_cert = </etc/ssl/gethttps/fullchain.pem
ssl_key = </etc/ssl/gethttps/privkey.pem
ssl_min_protocol = TLSv1.2
ssl_prefer_server_ciphers = no
Beachten Sie das < vor dem Dateipfad — Dovecot verwendet diese Syntax, um Dateiinhalte inline zu lesen.
Neuladen: sudo systemctl reload dovecot
IMAP/POP3-Ports
| Dienst | Unverschlüsselt | STARTTLS | Implizites TLS (empfohlen) |
|---|---|---|---|
| IMAP | 143 | 143 (Upgrade) | 993 |
| POP3 | 110 | 110 (Upgrade) | 995 |
| SMTP-Submission | 587 | 587 (Upgrade) | 465 (smtps) |
Moderne E-Mail-Clients sollten sich über die impliziten TLS-Ports verbinden (993, 995, 465). Konfigurieren Sie diese in Dovecot und Postfix zusätzlich zu den STARTTLS-Ports.
E-Mail-TLS überprüfen
# SMTP STARTTLS testen
openssl s_client -connect mail.example.com:587 -starttls smtp
# IMAP implizites TLS testen
openssl s_client -connect mail.example.com:993
# SMTP implizites TLS testen (smtps)
openssl s_client -connect mail.example.com:465
Suchen Sie nach Verify return code: 0 (ok) und Ihren Zertifikatsdetails.
Erneuerung
Wenn Sie Ihr Let’s Encrypt-Zertifikat erneuern, ersetzen Sie die Dateien und laden Sie sowohl Ihren Webserver als auch Ihren E-Mail-Server neu:
sudo systemctl reload nginx # Web
sudo systemctl reload postfix # SMTP
sudo systemctl reload dovecot # IMAP
Wenn Sie Certbot mit --deploy-hook verwenden, fügen Sie die Neuladen-Befehle für den E-Mail-Server zum Hook-Skript hinzu.
Häufig gestellte Fragen
Kann ich dasselbe Zertifikat für Web und E-Mail verwenden?
Ja — solange das SAN (Subject Alternative Name) des Zertifikats den Hostnamen des E-Mail-Servers enthält. Wenn Ihr MX auf mail.example.com zeigt, fügen Sie diesen Namen bei der Zertifikatsanforderung hinzu.
Funktioniert Let’s Encrypt für E-Mail-Server?
Ja. Let’s Encrypt-Zertifikate sind Standard-X.509-Zertifikate, die mit jedem TLS-fähigen Dienst funktionieren — nicht nur mit Webservern. Das Zertifikat weiß nicht, ob es für HTTPS, SMTP, IMAP oder etwas anderes verwendet wird.
Brauche ich ein separates Zertifikat für jedes E-Mail-Protokoll?
Nein. Ein Zertifikat funktioniert gleichzeitig für SMTP (Postfix), IMAP (Dovecot) und Ihren Webserver. Verweisen Sie alle Dienste auf dieselben fullchain.pem und privkey.pem.
Was ist mit Microsoft Exchange?
Exchange verwendet das PFX/PKCS#12-Format. Konvertieren Sie Ihre PEM-Dateien in PFX, dann importieren Sie über das Exchange Admin Center → Server → Zertifikate → Importieren. Der Vorgang ist ähnlich wie die IIS-Zertifikatsinstallation.