Alle Bereitstellungsanleitungen Bereitstellung

SSL/TLS für E-Mail-Server (Postfix, Dovecot, Exchange)

Dasselbe Let’s Encrypt-Zertifikat, das Ihre Website absichert, kann auch Ihre E-Mail-Verbindungen verschlüsseln. Diese Anleitung behandelt die TLS-Konfiguration für die gängigsten E-Mail-Server.

Warum E-Mail TLS braucht

Ohne TLS wird E-Mail-Verkehr (einschließlich Passwörter und Nachrichteninhalte) als Klartext gesendet:

  • SMTP (E-Mail senden) — Port 25/587 standardmäßig unverschlüsselt
  • IMAP (E-Mail lesen) — Port 143 standardmäßig unverschlüsselt
  • POP3 (E-Mail lesen) — Port 110 standardmäßig unverschlüsselt

TLS verschlüsselt diese Verbindungen genauso wie HTTPS den Web-Traffic verschlüsselt. Moderne E-Mail-Clients erwarten TLS und warnen Benutzer vor unverschlüsselten Verbindungen.

Zertifikatseinrichtung

Sie können dieselben Zertifikatsdateien von GetHTTPS sowohl für Ihren Webserver als auch für Ihren E-Mail-Server verwenden — solange das Zertifikat den Hostnamen Ihres E-Mail-Servers abdeckt (z. B. mail.example.com).

Holen Sie sich ein Zertifikat, das Ihren Mail-Hostnamen abdeckt:

  1. Fügen Sie in GetHTTPS mail.example.com hinzu (oder den Hostnamen, auf den Ihr MX-Eintrag zeigt)
  2. Sie können ihn zusammen mit Ihrer Web-Domain einschließen: example.com + www.example.com + mail.example.com
  3. Laden Sie die Dateien herunter: fullchain.pem, privkey.pem

Postfix (SMTP)

Bearbeiten Sie /etc/postfix/main.cf:

# TLS für ausgehende E-Mail (Senden)
smtp_tls_security_level = may
smtp_tls_loglevel = 1

# TLS für eingehende E-Mail (Empfangen) — STARTTLS auf Port 25/587
smtpd_tls_cert_file = /etc/ssl/gethttps/fullchain.pem
smtpd_tls_key_file = /etc/ssl/gethttps/privkey.pem
smtpd_tls_security_level = may
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_loglevel = 1

Für Submission (Port 587) bearbeiten Sie /etc/postfix/master.cf:

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes

Neuladen: sudo systemctl reload postfix

Dovecot (IMAP/POP3)

Bearbeiten Sie /etc/dovecot/conf.d/10-ssl.conf:

ssl = required
ssl_cert = </etc/ssl/gethttps/fullchain.pem
ssl_key = </etc/ssl/gethttps/privkey.pem
ssl_min_protocol = TLSv1.2
ssl_prefer_server_ciphers = no

Beachten Sie das < vor dem Dateipfad — Dovecot verwendet diese Syntax, um Dateiinhalte inline zu lesen.

Neuladen: sudo systemctl reload dovecot

IMAP/POP3-Ports

DienstUnverschlüsseltSTARTTLSImplizites TLS (empfohlen)
IMAP143143 (Upgrade)993
POP3110110 (Upgrade)995
SMTP-Submission587587 (Upgrade)465 (smtps)

Moderne E-Mail-Clients sollten sich über die impliziten TLS-Ports verbinden (993, 995, 465). Konfigurieren Sie diese in Dovecot und Postfix zusätzlich zu den STARTTLS-Ports.

E-Mail-TLS überprüfen

# SMTP STARTTLS testen
openssl s_client -connect mail.example.com:587 -starttls smtp

# IMAP implizites TLS testen
openssl s_client -connect mail.example.com:993

# SMTP implizites TLS testen (smtps)
openssl s_client -connect mail.example.com:465

Suchen Sie nach Verify return code: 0 (ok) und Ihren Zertifikatsdetails.

Erneuerung

Wenn Sie Ihr Let’s Encrypt-Zertifikat erneuern, ersetzen Sie die Dateien und laden Sie sowohl Ihren Webserver als auch Ihren E-Mail-Server neu:

sudo systemctl reload nginx      # Web
sudo systemctl reload postfix    # SMTP
sudo systemctl reload dovecot    # IMAP

Wenn Sie Certbot mit --deploy-hook verwenden, fügen Sie die Neuladen-Befehle für den E-Mail-Server zum Hook-Skript hinzu.

Häufig gestellte Fragen

Kann ich dasselbe Zertifikat für Web und E-Mail verwenden?

Ja — solange das SAN (Subject Alternative Name) des Zertifikats den Hostnamen des E-Mail-Servers enthält. Wenn Ihr MX auf mail.example.com zeigt, fügen Sie diesen Namen bei der Zertifikatsanforderung hinzu.

Funktioniert Let’s Encrypt für E-Mail-Server?

Ja. Let’s Encrypt-Zertifikate sind Standard-X.509-Zertifikate, die mit jedem TLS-fähigen Dienst funktionieren — nicht nur mit Webservern. Das Zertifikat weiß nicht, ob es für HTTPS, SMTP, IMAP oder etwas anderes verwendet wird.

Brauche ich ein separates Zertifikat für jedes E-Mail-Protokoll?

Nein. Ein Zertifikat funktioniert gleichzeitig für SMTP (Postfix), IMAP (Dovecot) und Ihren Webserver. Verweisen Sie alle Dienste auf dieselben fullchain.pem und privkey.pem.

Was ist mit Microsoft Exchange?

Exchange verwendet das PFX/PKCS#12-Format. Konvertieren Sie Ihre PEM-Dateien in PFX, dann importieren Sie über das Exchange Admin Center → Server → Zertifikate → Importieren. Der Vorgang ist ähnlich wie die IIS-Zertifikatsinstallation.

Verwandte Artikel

Erste Schritte 2026-05-08
Kostenloses SSL-Zertifikat erhalten (Schritt-für-Schritt-Anleitung)
Erhalten Sie ein kostenloses SSL-Zertifikat von Let's Encrypt in 5 Minuten — keine Software-Installation, kein Konto erforderlich. Vollständige Anleitung mit 4 Methoden, beiden Challenge-Typen, Installation auf 6 Plattformen und Fehlerbehebung.
Bereitstellung 2026-05-08
So installieren Sie ein SSL-Zertifikat auf Nginx
Schritt-für-Schritt-Anleitung zur Installation eines SSL-Zertifikats auf Nginx. Behandelt Dateiupload, vollständige Serverblock-Konfiguration, TLS Best Practices, HTTP/2, HSTS, Weiterleitungs-Setup, Tests und Fehlerbehebung für 6 häufige Fehler.
SSL & Zertifikate 2026-05-07
SSL-Zertifikatsformate: PEM, PFX, DER erklaert
Verstehen Sie die Zertifikatsformate PEM, PFX/PKCS#12 und DER. Erfahren Sie, welches Format Ihr Server benoetigt und wie Sie mit OpenSSL zwischen ihnen konvertieren.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten